Cisos, güvenliğe akıllıca harcamak için baskı baskısına karşı karşıya. Ancak, birçok kuruluş yanlış yerleştirilmiş öncelikler ve verimsiz bütçeleme nedeniyle savunmasız kalmaktadır. Bu makale yaygın tuzakları araştırıyor ve siber güvenliği güçlendirmek için stratejiler sunuyor.
Son veriler bir paradoksu vurgular: Siber güvenlik bütçeleri yükselirken, güvenlik olayları hız kesmeden devam eder. Ponemon Enstitüsü tarafından yapılan bir anket, geçen yıla göre siber bütçelerde% 59’luk bir artış olduğunu ortaya koydu, ancak kuruluşların% 61’i son iki yılda bir veri ihlali veya siber güvenlik olayı yaşadı. Bu tutarsızlık, artan harcamaların mutlaka iyileştirilmiş güvenliğe dönüşmediğini göstermektedir.
“Siber güvenlikteki en yaygın atık, yetersiz araçlardan değil – onaylanmış risk modellerine bağlı olmayan yatırımlardan. Güvenlik harcamaları, gerçek dünya tehditlerini ölçülebilir sonuçlara bağlayan kapalı döngü sisteminin bir parçası olmadığında, aslında gerçek koruma yerine dijital tiyatro için ödeme yapıyorsunuz ”dedi.
“Birçok CISO, araçların tek başına çalıştığı ve tehlikeli kör noktalar yarattığı parçalanmış güvenlik mimarileriyle çalışır. Saldırı yüzeyleri kod, AI sistemleri, bulut altyapısı ve geleneksel BT arasında genişledikçe, bu sessiz yaklaşım sadece verimsiz değil – tehlikeli. Derinlik savunması, tüm alanlarda koordineli görünürlük gerektirir ”diye ekledi Rice.
Aşırı harcamaların ortak alanları
Alet aşırı yükü
Kuruluşlar genellikle örtüşen işlevlerle birlikte birden fazla araca yatırım yaparlar. Bir OptiV çalışması, katılımcıların% 40’ının genel etkinliği engelleyen çok fazla güvenlik aracına sahip olduklarına inandıklarını bulmuştur.
Tavsiye: İşten çıkarılmaları tanımlamak için mevcut araçların kapsamlı bir denetimi yapın. Güvenlik yığınını kolaylaştırmak maliyetleri ve karmaşıklığı azaltabilir.
Yetersiz teknolojiler
Yapay zeka ve makine öğrenimi gibi ileri teknolojilere yapılan yatırımlar övgüye değerdir. Bununla birlikte, uygun entegrasyon ve yetenekli personel olmadan, bu araçlar yetersiz kalır.
Tavsiye: Yeni çözümler satın almadan önce, kuruluşun bunları dağıtmak için gerekli uzmanlığa ve altyapıya sahip olduğundan emin olun.
Uyum odaklı harcamalar
Öncelikle düzenleyici gereksinimleri karşılamak için fon tahsis etmek, yanlış bir güvenlik duygusuna yol açabilir. Uyum, kapsamlı tehdit korumasına eşit değildir.
Tavsiye: Gerçek dünyadaki tehditleri ele alan proaktif güvenlik önlemlerine yapılan yatırımlarla uyum çabalarını dengelemektedir.
Daha fazla yatırıma ihtiyaç duyan alanlar
Olay Yanıt Planlaması
Birçok kuruluşun bir olay müdahale planından yoksundur, bu da uzun süreli iyileşme sürelerine ve artan ihlal maliyetlerine yol açar. Bir siber güvenlik olayı sırasında ve sonrasında etkili iletişim, tüm paydaşlara olan güveni korumak için gereklidir.
Tavsiye: Bir olay müdahale planı geliştirmeye ve düzenli olarak güncellemeye yatırım yapın. Simülasyonlar yoluyla personelin eğitimini hazırladığını artırabilir.
Sürekli Güvenlik Eğitimi
Önemli sayıda güvenlik olayı insan hatasından kaynaklanmaktadır. Buna rağmen, yerel yönetim yetkililerinin sadece% 23’ü kendilerini organizasyon çapında siber güvenlik çabalarında “çok meşgul” olarak nitelendirdi.
Tavsiye: Güvenliğe duyarlı bir kültürü teşvik etmek için sürekli, role özgü siber güvenlik eğitimi için fon tahsis edin.
Gelişmiş tehdit tespiti ve yanıt
Geleneksel güvenlik önlemleri sofistike saldırılara karşı yeterli olmayabilir. Gelişmiş tehdit tespitine yatırım yapmak ihlal etkisini önemli ölçüde azaltabilir. Etkili tehdit tespiti, ağ faaliyetlerine kapsamlı bir görünürlük ve ağdaki olayları sürekli izleme yeteneği gerektirir.
Tavsiye: Gerçek zamanlı izleme ve otomatik yanıt özellikleri sunan çözümleri önceliklendirin.
Bütçeleme Önerileri
- Riske dayalı bir yaklaşım benimseyin: Bütçe tahsislerini kuruluşun özel tehdit manzarası ve risk profili ile uyumlu hale getirin. Bu, fonların en acil güvenlik açıklarını ele almasını sağlar.
- Sürekli Değerlendirme: Güvenlik yatırımlarının etkinliğini düzenli olarak değerlendirin. Metrikler ve temel performans göstergeleri bilgilendirilmiş bütçeleme kararlarına rehberlik edebilir. Proaktif olarak siber güvenliğe yatırım yapmak, tehditleri gerçekleşmeden önce önleyerek ve güvenlik operasyonlarını kolaylaştırarak YG’yi artırır.
- Departmanlar arası işbirliği: Siber güvenlik sadece bir BT endişesi değildir. Güvenliğe bütüncül bir yaklaşım sağlamak için diğer departmanlarla işbirliği yapın ve yatırım getirisini en üst düzeye çıkarın.
“Hackerone anketi, çoğu CISO’nun güvenlik yatırımları için yararlı geleneksel YG önlemleri bulamadığını ortaya koydu. Bu şaşırtıcı değil – siber güvenlik geleneksel metriklerle ölçülmesi çok zor. Önlenen potansiyel kayıpları açıklayan hafifletme getirisi gibi daha anlamlı yaklaşımlar, güvenliğin gerçek iş değerinin daha doğru bir resmini sunuyor ”dedi.
“Rahatsız edici gerçek mi? Temel güvenlik boşluklarını ele almak yerine sıklıkla gizleyen karışık bir nokta çözümleri ekosistemi oluşturduk. Bir sonraki parlak aracı satın almadan önce sorun: Bu çözüm gerçek güvenlik duruşunuza anlamlı şeffaflık sağlıyor mu? Belirli, onaylanmış riskleri nasıl azalttığını izleyebilir misiniz? Nihayetinde, etkili güvenlik araç biriktirmekle ilgili değildir – güven oluşturmakla ilgilidir. Ve güven, hem iç paydaşlar hem de müşteriler için şeffaflık gerektirir. En stratejik CISO’lar en büyük güvenlik bütçesine sahip olanlar değil, ancak her doların tam olarak harcanan güvenlik temellerini doğrudan nasıl güçlendirdiğini gösterebilenler değil ”dedi.