Πώς τα στελέχη της κυβερνοασφάλειας υποστηρίζουν τις συνεχείς επενδύσεις σε τεχνολογία σε μια σκληρή οικονομία

Τα στελέχη της κυβερνοασφάλειας έχουν απολαύσει μια καλή σειρά από να λαμβάνουν τους οικονομικούς πόρους που χρειάζονται για να προστατεύουν τους οργανισμούς τους από επιθέσεις. Όμως, δεδομένης της τρέχουσας οικονομικής αβεβαιότητας, πολλοί πιθανότατα θα χρειαστεί να επανεξετάσουν την προσέγγισή τους στις επενδύσεις σε εργαλεία και υπηρεσίες.

«Η κυβερνοασφάλεια δεν είναι απρόσβλητη από οικονομικές πιέσεις και αβεβαιότητα», δήλωσε ο Daniel Soo, σύμβουλος για θέματα κινδύνου και χρηματοοικονομικών κινδύνων στην Deloitte. Τα στελέχη της κυβερνοασφάλειας δέχονται αυξημένη πίεση να βελτιώσουν την αποτελεσματικότητά τους και συχνά αναμένεται να κάνουν περισσότερα με λιγότερα, ενώ ταυτόχρονα συμβαδίζουν με τις απειλές στον κυβερνοχώρο και τις όλο και πιο περίπλοκες επιφάνειες επιθέσεων, είπε.

«Οι CISO θα πρέπει να είναι έτοιμοι να δικαιολογήσουν τις δαπάνες ως αποτέλεσμα», είπε ο Soo. “Ένας αποτελεσματικός μηχανισμός για τη δικαιολόγηση των επενδύσεων στον κυβερνοχώρο είναι να ληφθεί υπόψη ο αρνητικός αντίκτυπος της επιχειρηματικής διακοπής που προκαλείται από ένα περιστατικό στον κυβερνοχώρο στα έσοδα, γεγονός που μειώνει επίσης την εμπιστοσύνη που δημιουργείται μεταξύ των οργανισμών και των ενδιαφερομένων τους.”

Είτε η οικονομική ύφεση είναι μια προσωρινή πτώση που διαρκεί ένα έως δύο τρίμηνα είτε μια παρατεταμένη περίοδος λιτότητας, οι CISO πρέπει να αποδείξουν ότι λειτουργούν ως προσεκτικοί χρηματοοικονομικοί διαχειριστές κεφαλαίων, δήλωσε ο Merritt Maxim, αντιπρόεδρος και διευθυντής έρευνας της Forrester Analysis.

“Είναι επίσης καιρός για τους CISO να ενισχύσουν την επιρροή, να δημιουργήσουν καλή θέληση και να διαλύσουν την αντίληψη της ασφάλειας ως κέντρου κόστους, ανακουφίζοντας τα βάρη που προκαλούνται από την ύφεση που επιβαρύνουν πελάτες, συνεργάτες, συναδέλφους και ομάδες που επηρεάζονται”, δήλωσε η Maxim.

Όταν δίνουν προτεραιότητα στις επενδύσεις ασφάλειας, οι ηγέτες ασφάλειας θα πρέπει να συνεχίσουν να επενδύουν σε ελέγχους ασφαλείας και λύσεις που προστατεύουν τον φόρτο εργασίας του οργανισμού που αντιμετωπίζει πελάτες και δημιουργεί έσοδα, είπε η Maxim. Θα πρέπει να συνεχίσουν να υπερασπίζονται τυχόν επενδύσεις που υποστηρίζουν τις προσπάθειες εκσυγχρονισμού του οργανισμού με το cloud και την εξέλιξή του σε ασφάλεια μηδενικής εμπιστοσύνης, είπε.

Μερικές από τις λειτουργίες κυβερνοασφάλειας που αξίζουν αυξημένη ή διαρκή χρηματοδότηση σε αυτήν την οικονομία περιλαμβάνουν λύσεις ασφάλειας διεπαφής προγραμματισμού εφαρμογών, λύσεις διαχείρισης bot, ασφάλεια φόρτου εργασίας στο cloud, ασφάλεια κοντέινερ, έλεγχο ταυτότητας πολλαπλών παραγόντων, αναλυτικά στοιχεία ασφαλείας και πρόσβαση σε δίκτυο μηδενικής εμπιστοσύνης, είπε η Maxim.

Επιπλέον, οι CISO θα πρέπει να συνεχίσουν να πειραματίζονται με νεότερες τεχνολογίες ασφάλειας, όπως η διαχείριση επιφανειών επίθεσης, η ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού και η εκτεταμένη ανίχνευση και απόκριση, είπε η Maxim.

Ενώ η επένδυση στην ασφάλεια στον κυβερνοχώρο είναι σημαντική, είναι επίσης σημαντικό να καθοριστεί ποιες δυνατότητες ασφάλειας θα παράγουν μεγαλύτερη απόδοση της επένδυσης για να μεγιστοποιηθεί η μείωση του κινδύνου, σημείωσε ο Soo.

«Οι CISO θα πρέπει να επενδύσουν στο ταλέντο τους για να αυξήσουν την ικανότητά τους να αξιοποιούν καλύτερα την τεχνητή νοημοσύνη και την αυτοματοποίηση, τα οποία αποτελούν μοχλούς για την εκ νέου αρχιτεκτονική του τρόπου με τον οποίο μπορεί να γίνει η εργασία βελτιώνοντας παράλληλα την παραγωγικότητα», είπε ο Soo.

Τα προγράμματα κυβερνοασφάλειας μπορούν επίσης να επωφεληθούν από αυτό που ο κλάδος αναφέρει ως προσέγγιση “shift-left” ή “secure-by-design”, που σημαίνει ότι βασίζονται σε πρακτικές DevSecOps και ενσωματώνουν τις δυνατότητες κυβερνοασφάλειας νωρίτερα στις τεχνολογικές διαδικασίες, είπε ο Soo. Αυτό με τη σειρά του βοηθά στην αποφυγή παραβιάσεων.

«Οι CISO θα πρέπει επίσης να εξετάσουν το ενδεχόμενο να οδηγήσουν τις προσπάθειες βελτιστοποίησης της ασφάλειας μέσω του εξορθολογισμού εργαλείων και τεχνολογίας και να αναζητήσουν εναλλακτικά μοντέλα εργατικού δυναμικού, ταλέντου και λειτουργίας για να επιτύχουν αποτελέσματα με πιο αποτελεσματικά μέσα», είπε ο Soo.

Μια πρόσφατη έκθεση της Forrester σχετικά με τον προγραμματισμό ασφάλειας και κινδύνου ανέφερε ότι ενώ οι ηγέτες των επιχειρήσεων είναι πολύ λιγότερο πιθανό να στοχεύσουν επενδύσεις σε ασφάλεια κατά τη διάρκεια της οικονομικής ύφεσης, «δεν θα ήταν συνετό για τους ηγέτες [ασφάλειας και κινδύνου] να μην ενωθούν με τους ομολόγους τους στον τομέα της πληροφορικής για να αξιολογήσουν τις δαπάνες τους σε γενικές γραμμές. για να εξασφαλιστεί η μέγιστη αξία».

Οι δαπάνες τεχνολογίας εντός των εγκαταστάσεων παραμένουν σημαντικές παρά τη στροφή προς το cloud, αναφέρει η έκθεση Forrester. «Όταν συνδυάζουμε τις δαπάνες για συντήρηση και αδειοδότηση, αναβαθμίσεις και νέες επενδύσεις, οι δαπάνες τεχνολογίας εντός των εγκαταστάσεων είναι μακράν η μεγαλύτερη δαπάνη στον προϋπολογισμό ασφαλείας», ανέφερε. “Δεδομένου ότι πολλές εφαρμογές και φόρτος εργασίας έχουν μεταβεί στο cloud, αυτό υποδηλώνει πιθανή λανθασμένη κατανομή των προϋπολογισμών ασφαλείας. Οι CISO θα πρέπει να ελέγχουν προσεκτικά τις ενδοεπιχειρησιακές δαπάνες για να προσδιορίσουν εάν ευθυγραμμίζονται με τη στρατηγική cloud και εκσυγχρονισμού του συνολικού οργανισμού πληροφορικής.”

Οι CISO αγωνίζονται επί χρόνια να προσλάβουν και να διατηρήσουν ταλέντο ασφαλείας για διάφορους λόγους, αναφέρει η έκθεση. «Είναι δελεαστικό να περικοπούν οι δαπάνες σε αυτούς τους τομείς όταν η οικονομική εικόνα σκοτεινιάζει, αλλά δεν θα εξοικονομήσει πολλά σε σύγκριση με άλλες δαπάνες και θα επιδεινώσει την έλλειψη δεξιοτήτων και θα θυσιάσει την ικανότητα να ενσταλάξει την εμπιστοσύνη ακριβώς όταν δεν υπάρχουν σύνορα, οπουδήποτε τη χρειάζονται οι οργανώσεις εργασίας οι περισσότεροι», είπε ο Φόρεστερ.