با نزدیک شدن به فصل سود، سازمان ها با نبرد دائمی بین رشد و کارایی روبرو هستند. این یک آونگ عقب و جلو است که از طریق تغییرات کلان، نتایج تجاری، چالش‌ها و موفقیت در نوسان است. کسب‌وکارها دائماً در حال این سؤال هستند که آیا باید هزینه‌های بازاریابی را تسریع کنند، به دنبال راه‌هایی برای کاهش هزینه‌ها باشند و ارزیابی کنند که آیا بودجه فعلی آنها به طور مؤثری در جهت ایجاد بازگشت سرمایه مناسب (ROI) است یا خیر. به طور معمول، در سراسر اتاق‌های هیئت مدیره و تیم‌های رهبری، سیستم‌های عمومی و اداری (G&A) به عنوان سربار در نظر گرفته می‌شوند: یک عنصر هزینه مورد نیاز برای کاهش ریسک و رعایت استانداردهای انطباق، نه عنصری که بازده ایجاد می‌کند.

کسب‌وکارها معمولاً بودجه نسبتاً بالایی در زمینه فناوری اطلاعات و امنیت دارند، اما تعداد انگشت شماری از افراد در سازمان معمولاً می‌دانند که این بودجه واقعاً چگونه استفاده می‌شود. متأسفانه، حتی تعداد کمتری نیز می تواند به طور واقعی ROI را از هر قسمت از پشته که این بودجه را جمع آوری می کند، شناسایی کند. برای کسب‌وکارهایی که سعی می‌کنند بودجه امنیت سایبری مناسبی تعیین کنند، فکر کردن در مورد بازگشت سرمایه نباید یک فکر بعدی باشد، بلکه باید یک نقطه شروع باشد. خرج کردن 100000 دلار در سال ممکن است بسیار زیاد به نظر برسد، اما اگر از ضرر سالانه 1 میلیون دلاری حملات سایبری جلوگیری کند، سرمایه گذاری خوبی است.

چرا امنیت سایبری از رکود مصون است؟

شرکت‌ها در هر اندازه‌ای مستعد حملات سایبری هستند، مهم نیست که چند لایه دفاعی دارند. بر اساس تحقیقات دانشگاه هاروارد بیزینس ریویو، سازمان هایی با 10000 کارمند یا بیشتر معمولاً تقریباً 100 ابزار امنیتی را نگهداری می کنند - اما با وجود این، حتی شرکت های معتبر جهانی همچنان قربانی حملات سایبری می شوند. حقیقت تاسف بار این است که به سادگی نمی توان 100% حملات را متوقف کرد. در نتیجه، بیشتر سازمان‌ها شروع به تغییر تفکرات خود از پیشگیری و تمرکز بر محدود کردن آسیب‌های احتمالی که یک حمله می‌کند و درک بهتر آسیب‌پذیری‌های واقعی خود می‌کنند.

CIOها، CISOها و بقیه یک تیم رهبری در نهایت مسئول حفاظت از دارایی های شرکت خود هستند. سازمان‌ها سالانه میلیون‌ها دلار را صرف امنیت سایبری می‌کنند، زیرا بازار کلی امنیت به سمت 300 میلیارد دلار در کل بازار آدرس‌پذیر (TAM) پیش می‌رود. با در نظر گرفتن این موضوع، CISO ها به دنبال انعطاف پذیری بیشتر در بودجه هستند تا اطمینان حاصل کنند که اهداف شرکت خود را برآورده می کنند. با افزایش تعداد حملات سایبری و پیچیده تر شدن این حملات، بسیاری از CISO ها هنوز برای پاسخ به سؤالات اساسی در مورد اینکه آیا شرکت آنها ایمن است و واقعاً دارایی های آنها چقدر محافظت می شود، در تلاش هستند.

به منظور پاسخگویی دقیق به این سؤالات، CISOها باید بتوانند به طور مداوم اثربخشی سایبری را برای رهبری اندازه گیری و نشان دهند. آن‌ها باید ریسک را نشان دهند، کنترل‌ها را تأیید کنند، مواجهه‌هایی که با چارچوب‌های امنیتی ترسیم شده را درک کنند و هزینه‌های امنیتی را در حین مدیریت هزینه‌ها منطقی کنند. خبر خوب برای تیم های امنیتی؟ امنیت سایبری همیشه برای مشاغل حیاتی خواهد بود. حتی در زمان‌های کم‌تر، کسب‌وکارها همیشه باید روی راه‌حل‌های امنیت سایبری سرمایه‌گذاری کنند تا داده‌ها و سایر دارایی‌های خود را ایمن نگه دارند. تا زمانی که تیم‌های امنیتی می‌توانند از داده‌ها برای توجیه راه‌حل‌هایی که برای عملیاتشان ضروری است استفاده کنند، امنیت سایبری به طور موثر ضد رکود است.

ایجاد یک برنامه بازی بودجه امنیت سایبری

با توجه به الزامات گزارش‌دهی اخیراً توسط کمیسیون تبادل امنیت (SEC) برای رسیدگی به حوادث سایبری، ثبت‌کنندگان باید در مورد جدید 1.05 فرم 8-K هرگونه حادثه امنیت سایبری را که SEC تشخیص می‌دهد با اهمیت است، افشا کنند. شرکت‌ها همچنین باید جنبه‌های مادی ماهیت، دامنه و زمان حادثه را همراه با تأثیر آن بر ثبت‌کننده توصیف کنند. افشای فرم 10-K و فرم 20-F با گزارش های سالانه برای سال های مالی منتهی به 15 دسامبر 2023 یا پس از آن، سررسید می شود. پس از تاریخ انتشار در رجیستر فدرال یا 18 دسامبر 2023.

این اطلاعات نه تنها به صورت جادویی ظاهر می‌شوند و جمع‌آوری آن مستلزم داشتن منابع مناسب است تا نه تنها حوادث امنیتی احتمالی را شناسایی کند، بلکه به طور مؤثر هم مسیر ترسیم‌شده توسط مهاجم و هم تلاش‌های کاهش‌دهنده سازمان را مستند می‌کند. این بدان معناست که برای سازمان‌ها بسیار مهم است که در محیط‌های دیجیتالی خود دید کامل داشته باشند، با قابلیت‌های نظارت مستمر که می‌تواند تغییرات را در صورت وقوع شناسایی و مستند کند. این قابلیت‌های دید و نظارت مستمر نه تنها به کسب‌وکارها اجازه نمی‌دهد تا به دستورالعمل‌های جدید انطباق پایبند باشند، بلکه به ایجاد یک پایه محکم برای ایجاد یک برنامه امنیت سایبری موفق نیز کمک می‌کنند. سازمان‌ها با ترسیم مؤثر محیط‌های دیجیتال خود و آزمایش آن‌ها برای آسیب‌پذیری‌های شناخته شده، می‌توانند دید دقیق‌تری از نمایه ریسک منحصربه‌فرد خود داشته باشند و اقداماتی را که برای بهبود وضعیت امنیتی خود باید انجام دهند، بهتر درک کنند.

در عمل، این بدان معناست که رهبران ابتدا باید دارایی های داده و ارزش آنها را برای شرکت فهرست کنند. در مرحله بعد، آنها باید در نظر داشته باشند که برای مطابقت با مقررات صنعتی که ممکن است در مورد تجارت آنها اعمال شود، چه کاری باید انجام دهند، مانند HIPAA مراقبت های بهداشتی یا مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR). آیا آنها به راه حل های جدیدی برای فعال کردن دید بیشتر نیاز دارند؟ حفاظت نقطه پایانی قوی تر؟ قابلیت های مدیریت هویت گسترش یافته است؟ هنگامی که رهبران درک محکمی از اهداف خود و مراحل مورد نیاز برای دستیابی به آنها داشتند، باید به بودجه کلی IT شرکت خود نگاه کنند. اگر چیزی که یک شرکت نیاز دارد حدود 20 تا 25 درصد یا کمتر از بودجه عمومی فناوری اطلاعات شما باشد، احتمالاً رقم مفیدی برای شروع دارید. پس از تکمیل، زمان آن فرا می رسد که به ارزیابی و تأیید اینکه چه چیزی کار می کند و چه چیزی هیچ ROI ندارد، غواصی کنید. صرف اینکه یک شرکت پول خرج می کند به این معنی نیست که پول در مکان های مناسب خرج می شود.

همسویی امنیت با کسب و کار

این مسئولیت تا حد زیادی بر دوش CISO یا CTO است، و آنها باید بتوانند به طور مؤثری ادعای خود را به CFO، COO، مدیر عامل و سایر ذینفعان بیان و نشان دهند. از آنجایی که اکثر رهبران کسب و کار تمایل دارند به این فکر کنند که تصمیمات آنها چگونه بر نتیجه کسب و کار تأثیر می گذارد، مهم است که بتوانیم بازده سرمایه گذاری سرمایه گذاری در امنیت سایبری را به درستی بیان کنیم. چه این بازده ها به صورت حذف راه حل های اضافی، ساده کردن فرآیندهای امنیتی یا جلوگیری از نقض های پرهزینه باشد، چارچوب بندی چیزها در یک زمینه تجاری موثرترین راه برای اطمینان از اینکه رهبران امنیتی و تصمیم گیرندگان تجاری می توانند با ابتکارات خود هماهنگ شوند.

ما بهترین آنتی ویروس ابری را فهرست کرده ایم .

این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro تهیه شده است که در آن بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر علاقه مند به مشارکت هستید، اطلاعات بیشتری را در اینجا بیابید: https://www.techradar.com/news/submit-your-story-to-techradar-pro