2024 yaklaşırken birçok şirket yeni bir siber güvenlik bütçesiyle yeni bir başlangıç yapıyor. Ancak siber saldırıların sayısının artması ve bunların giderek daha karmaşık hale gelmesi nedeniyle, 2024 için siber güvenlik bütçeleri artan şirketlerin bile, mümkün olan maksimum yatırım getirisini elde etmek için verilen bütçelerini en üst düzeye çıkarmanın ve araçlarını optimize etmenin yollarını araması gerekiyor.
Siber güvenlik gibi her gün yeni bir “sahip olunması gereken” ürünün piyasaya çıktığı bir sektörde, saldırı yüzeyinizi genişleten ve minimum değer sağlayan (veya hiç sağlamayan) ürünlere gereksiz para harcamaya sürüklenmek kolaydır. Ekonomik belirsizliğin ve 2024 bütçe planlamasının olduğu bir dönemde güvenlik harcamalarının inceliklerini ve optimizasyonun faydalarını keşfedelim.
Panikle satın alma kültürü gerçektir
Bu, korku, belirsizlik ve şüpheyi (FUD) bir satış taktiği olarak kullanan ve güvenlik liderlerinin, her ürünün kendi kuruluşlarının refahı için bir başarı ya da başarısızlık ürünü olduğunu hissetmelerine neden olan bir sektördür. Her şeyi düzeltecek bir çözüm (efsanevi sihirli çözüm) vaadi, bu ortamda, özellikle de çok sayıda güvenlik aracını uygulamaya koyacak veya şirket içinde siber uzmanları işe alacak bütçesi olmayan küçük kuruluşlar için özellikle cazip geliyor . Satıcılar kar elde etmek için bu çaresizlikten yararlanıyor ve birçoğu bu konuda çok iyi.
Korku tacirliği aynı zamanda alıcının mevcut teknoloji yığınıyla doğru şekilde yapılandırılmayacak ürünlere yatırım yapma yönünde fevri kararlara da yol açabilir ve böylece daha da fazla risk oluşturabilir. Yalın operasyonda oyunun adı, özelleştirilebilir, uyarlanabilir ve bir kuruluşun güvenlik ekibinin değişen ihtiyaçlarına göre büyüyecek bir çözümdür.
Sonuçları milyonlara mal olabilir
IBM’in 2023 Veri İhlalinin Maliyeti Raporu’na göre kuruluşlar artık ihlallerle başa çıkmak için 4,5 milyon dolar ödüyor; bu, son üç yılda %15’lik bir artış. Ürünü satın almak için para harcamanın yanı sıra panik satın alma, daha geniş bir saldırı yüzeyine, maliyetli otomatik yenilemelere ve yanlış yapılandırmalara neden olabilir.
Yeni teknolojik çözümlerden yararlanmanın (yapay zeka ve makine öğrenimi şu anda hayranların favorisi olduğu için) hem teknolojik hem de itibar açısından son derece faydalı olabileceğine şüphe yok. Ancak büyük resme bakmadan ve söz konusu ürünün gerçek değerini hesaplamadan, bilinçli bir yatırım kararı vermek neredeyse imkansızdır.
Bir ürünün değerini değerlendirmek için güvenlik liderleri, ürünün kurumsal riski artırıp artırmadığını veya azaltıp azaltmadığını ve mevcut siber güvenlik personelinin ve araçlarının onunla etkili bir şekilde etkileşime girip giremeyeceğini incelemelidir.
Bir ürünün değerini hesaplamak bir tahmin oyunu olmak zorunda değildir. Risk = olasılık x etki, bir ürün veya hizmetin değerini çözmek için kullanılabilecek harika bir denklemdir.
Bir saldırı olasılığını hesaplamak için, bir saldırıyı gerçekleştirmenin zorluk derecesini ve varlıklarınızın açığa çıkmasını inceleyin. Kuruluşunuzun kabul edilebilir riskini belirleyin ve bir saldırının parasal etkisini belirlemek için geriye doğru çalışarak bu denklemi kullanın. Bu etki, ürün veya hizmetin fiyatından önemli ölçüde yüksekse, başka bir yere bakmaya değer olabilir.
Güvenliği artırmayan, bunun yerine sizi maliyetli saldırılara karşı savunmasız bırakan siber güvenlik ürünlerini anlık satın alma tuzağına düşmek kolaydır. Kuruluşlar, en değerli varlıklarını korumayı hedeflemeli ve işletmelerinin kritik yapboz parçalarına yönelik tehditleri ele almaya öncelik vermelidir.
Çözüm mümkün ve nispeten basit
İçinize bakın ve optimize edin. Şirketlerin ağlarında ve verilerinde neyin en çekici ve saldırganlara karşı en savunmasız olduğunu anlaması gerekiyor. Sahip olduklarınızı görün, araçlarınızın değerini hesaplayın ve ilerlemek için bilgileri kullanın.
Halihazırda sahip olduğunuz şeyler hakkında tam görünürlük kazanarak riski anlamak, bir saldırı veya ihlal durumunda şirketlerin yatırımcılarla ve halkla daha iyi iletişim kurmasına olanak tanıyabilir. Örneğin, bir saldırı meydana geldiğinde iş üzerindeki etkisi (veya etkisinin olmaması) hakkında net bilgiler verebilecek ve bir sonraki en iyi eylem planını tahmin etmek zorunda kalmadan düzeltme için net adımlar sunabilecekler.
Güvenlik yatırımlarınıza öncelik verme mevsimi geldi
Amacın, uzmanların her gün bulduğu sayıları giderek artan güvenlik açıklarını takip etmek için daha fazla araç satın almak değil, genel hayati iş operasyonlarıyla en alakalı varlıkları korumak ve kaçınılmaz siber olayların etkilerini sınırlamak olduğunu unutmamak önemlidir.
Kuruluşunuzun karşı karşıya olduğu siber risklere bir dolar değeri ekleyerek güvenlik planınızı ve bütçe ihtiyaçlarınızı tartışmak için çok daha iyi bir konumda olacaksınız.
Bütçeler kısıtlı olduğunda, her satın alma işlemi, iş operasyonu açısından değerinin açık bir göstergesiyle muhasebeleştirilmelidir. Bu özellikle maliyetli satır öğeleri olma eğiliminde olan menkul kıymet satın alımları için geçerlidir.
Günümüzün ekonomik ortamında, güvenlik harcamalarının yatırım getirisini kanıtlamak, güvenlik liderlerinin işlerinin büyük bir bölümünü oluşturuyor. Yeni bir siber güvenlik aracı satın almadan, bir hizmete yatırım yapmadan veya uzmanları işe almadan önce bunların işlevselliğini ve amacını anlamanız çok önemlidir.