Żadna firma nie traktuje już cyberbezpieczeństwa jako lekkiej sugestii. Firmy każdej wielkości* wiedzą, że ochrona ich zasobów cyfrowych i operacji wymaga posiadania odpowiedniego budżetu na IT, a co za tym idzie, na cyberbezpieczeństwo.

 

Jak zatem należy zdefiniować i zarządzać budżetem na cyberbezpieczeństwo? Jakie różne podejścia i komponenty należy wziąć pod uwagę w przypadku małych, średnich i dużych firm? Dyrektor ds. Cyberbezpieczeństwa oraz Dyrektor Krajowy na Kanadę, Nabil Diab, pomaga wyjaśnić te i inne powszechne wątpliwości.

 

 

Czy wszystkie firmy powinny mieć budżet na cyberbezpieczeństwo?

Cóż... tak i nie. W idealnym przypadku tak, ale w praktyce wielkość i obroty firmy będą dyktować, czy powinno to być faktycznie priorytetem. Nabil wyjaśnia: „Bardzo małe firmy nie powinny początkowo mieć dedykowanego budżetu na cyberbezpieczeństwo. Powinny zacząć od przydzielenia odpowiedniego budżetu na IT. W przypadku małych firm będzie to zależeć od obrotów. W przypadku większych firm jest to niezbędne”.




Jaką rolę w tym wyzwaniu odgrywa CISO?

Chief Information Security Officer (CISO) to osoba odpowiedzialna za ogólne bezpieczeństwo zasobów firmy. Do jego obowiązków należy zatem zgromadzenie budżetu niezbędnego do przeciwdziałania zagrożeniom cybernetycznym.

 

„Kiedy firma nie ma wystarczającego budżetu na cyberbezpieczeństwo, dzieje się tak albo dlatego, że CISO nie potrafił skutecznie wyjaśnić zarządowi zagrożeń cyberbezpieczeństwa związanych z niskim budżetem, albo dlatego, że Dyrektor Generalny uwielbia ryzyko i nie ma z tym problemu”, wyjaśnia Nabil.

 

Do zadań CISO należy również regularne weryfikowanie potrzebnego budżetu cybernetycznego, zgodnie z ciągłą analizą ryzyka.

 

Jak CISO zarządzają swoimi budżetami

Podobnie jak budżet każdego innego działu, budżet CISO zwykle dzieli się na trzy główne obszary: ludzi, technologie i usługi. W zależności od strategii CISO i obszaru działalności firmy, niektórzy będą inwestować więcej w ludzi, podczas gdy inni w technologie lub usługi.

 

Nabil zwraca uwagę na ciekawy fakt: „Zazwyczaj firmy inwestujące więcej w technologię to te, które mają najniższy budżet na cyberbezpieczeństwo, ponieważ narzędzia IT są tańsze niż specjalistyczna wiedza z zakresu cyberbezpieczeństwa i mogą łatwiej „zaznaczyć pola”, aby zachować zgodność z przepisami”. Oto kilka kontrastujących ze sobą przykładów:

  • Administracja
    W sektorze publicznym organizacje inwestują znacznie więcej w technologię, ponieważ nie mogą sobie pozwolić na wypłacanie odpowiedniego wynagrodzenia najlepszym ekspertom. Oznacza to, że zamiast tego inwestują w produkty IT.

  • Bankowość
    Z drugiej strony operacje banków są oparte na technologii cyfrowej, co oznacza, że ich ekspozycja na ryzyko jest wysoka, a co za tym idzie, ich budżet na cyberbezpieczeństwo również. Mają już dostęp do najlepszej wiedzy i narzędzi, więc naturalne jest, że CISO przeznaczy dużą część budżetu na ludzi.

 

Co powinien obejmować budżet cybernetyczny?

Małe firmy powinny priorytetowo traktować…

... rozwiązania w chmurze i SaaS (Software-as-a-Service), zamiast korzystać z narzędzi lokalnych, ponieważ prawdopodobnie nie będą miały niezbędnych umiejętności, aby je zabezpieczyć. Ponadto, dodaje Nabil, „rozwiązania w chmurze i SaaS już zawierają minimalny poziom bezpieczeństwa. Większość małych firm współpracuje dziś na przykład z Microsoft, który oferuje Entra ID”, rozwiązanie do zarządzania tożsamością i dostępem, które zapewnia predefiniowany poziom ochrony.

 

Jedną z kluczowych funkcji Entra ID, którą powinny wdrożyć wszystkie firmy, jest uwierzytelnianie wieloskładnikowe (MFA). „Jest to bardzo ważne i znacznie zmniejsza ryzyko cyberzagrożeń”, gwarantuje Nabil.

 

Drugim priorytetem dla małych firm jest rozwiązanie Endpoint Detection and Response (EDR), które ma kluczowe znaczenie dla ochrony wszystkich punktów końcowych w sieci firmowej.

 
Z drugiej strony, duże przedsiębiorstwa…

... mają już pełen arsenał klasycznych narzędzi cyberbezpieczeństwa, ale według Nabila, ci, którzy chcą wyjść poza i zapewnić ochronę przed najbardziej zaawansowanymi zagrożeniami, koncentrują się na dwóch głównych obszarach:

  1. Innowacyjne produkty
    Obejmuje to rozwiązania oparte na sztucznej inteligencji (AI). Przykładem tego jest User and Entity Behaviour Analytics (UEBA), która analizuje zachowanie użytkownika w celu wykrycia anomalii.

  2. Personalizacja produktu
    Firmy przeznaczą budżet m.in. na ulepszenie konfiguracji istniejących narzędzi, tworzenie niestandardowych łączników, opracowywanie własnych zestawów reguł.

 

 

Zainwestować we własną firmę czy zlecić ekspertyzę na zewnątrz?

Po raz kolejny wielkość, obroty i budżet są kluczowymi czynnikami, które należy wziąć pod uwagę. Małe i średnie firmy po prostu nie są w stanie zgromadzić niezbędnej wiedzy, aby zbudować i utrzymywać własne Centrum Operacji Bezpieczeństwa (SOC), więc najlepszym stosunkiem jakości do ceny jest zawsze wynajęcie zewnętrznych zarządzanych usług bezpieczeństwa.

 

„Zakładając całodobowy zasięg, firmy po prostu nie mogą zarządzać SOC za mniej niż 1 milion euro rocznie w Europie. Jeśli to zrobisz, oznacza to, że nie masz odpowiedniej wiedzy i odpowiednich ludzi. Ponadto, SOC to tylko część cyberbezpieczeństwa - należy również wziąć pod uwagę wszystkie aspekty organizacyjne, zarządzanie dostępem, przegląd architektury itp.”, argumentuje Nabil.

 

Gdy firmy osiągną pewną skalę, mogą rozważyć zmianę strategii. „Kiedy masz kilka tysięcy pracowników i odpowiedni budżet, możesz zacząć rozważać podejście hybrydowe. Oznacza to posiadanie własnych pracowników, którzy są w stanie zarządzać incydentami, przy jednoczesnym korzystaniu z pomocy firmy zewnętrznej, która zapewni brakującą wiedzę specjalistyczną, której nie posiada twój zespół”, wyjaśnia nasz szef ds. cyberbezpieczeństwa.

 

Tylko duże, międzynarodowe firmy są zwykle w stanie prowadzić własne SOC, ale muszą pamiętać, że jest to bardzo kosztowne i czasochłonne posunięcie, ponieważ wymaga dużej wiedzy specjalistycznej, umiejętności zarządzania i logistyki. „Kiedy masz dostawcę cyberbezpieczeństwa, możesz poprosić go o SOC i w ciągu miesiąca wszystko jest gotowe. Jeśli zrobisz to sam, miną 2, 3 lub 4 lata, zanim wszystko zacznie działać. Kluczem jest więc myślenie długoterminowe i wyjaśnienie zarządowi kluczowych różnic między posiadaniem pełnej wiedzy specjalistycznej, wyborem podejścia hybrydowego lub pełnym outsourcingiem zarządzanych usług bezpieczeństwa”, twierdzi Nabil.

 

 

Pytanie za milion dolarów: jaki procent budżetu IT należy przeznaczyć na cyberbezpieczeństwo?

Wszystkie firmy na tyle duże, by posiadać budżet na cyberbezpieczeństwo (i CISO), powinny przeznaczać na ten cel co najmniej 10% budżetu IT. „Jeśli jest to mniej niż 10%, to nie wystarczy”, zapewnia nasz szef ds. cyberbezpieczeństwa. „Jeśli natomiast możesz osiągnąć 25%, to zdecydowanie jesteś dobrym CISO, który przedstawił zarządowi solidne argumenty”.

 

 

Jak często należy weryfikować budżet cyberbezpieczeństwa?

CISO powinni co roku dokonywać przeglądu ryzyka firmy i odpowiednio dostosowywać budżet cyberbezpieczeństwa. „Trzeba to robić co roku”, radzi Nabil, ”ponieważ ryzyko nie zawsze jest takie samo, pojawiają się nowe podatności, podmioty i czynniki geopolityczne. Na przykład ryzyko ukraińskiej firmy nie jest takie samo jak 3 lata temu”.

 

Dzisiejsze firmy, zwłaszcza te posiadające CISO, coraz częściej przyjmują proaktywne podejście do cyberbezpieczeństwa. Jednak niepożądana liczba firm nadal utrzymuje podejście reaktywne: „Wiele firm nadal inwestuje w reagowanie na incydenty cybernetyczne, więc zwiększają swój budżet na cyberbezpieczeństwo dopiero wtedy, gdy ich operacje zostaną zagrożone. To nie jest dobra strategia”, ostrzega Nabil.

 

 

Rosnąca przyszłość budżetów na cyberbezpieczeństwo

Oczekuje się, że budżety IT będą zajmować coraz więcej miejsca w ogólnych budżetach firm. Naturalnie więc budżety na cyberbezpieczeństwo będą podążać za tym trendem i również będą rosnąć, ponieważ ryzyko i zagrożenia będą nadal się pojawiać.

 

Podczas gdy tak się dzieje, Nabil przewiduje inny trend o przeciwstawnej sile. „Możemy być świadkami integracji kilku rozwiązań w firmach, które są naprawdę interesujące i mogą nieco obniżyć budżet. Na przykład rozwiązania AI, które mogą zastąpić część personelu”.

 

Dobrym tego przykładem jest to, co dzieje się wewnątrz SOC. „Jeszcze około 3 lata temu mieliśmy trzy poziomy analityków SOC: L1, L2 i L3. Poziom L1 już nie istnieje, ponieważ zastąpiliśmy go narzędziami, które są zdecydowanie tańsze. Więc być może jutro L2 również zniknie. Nie jest to dobre dla zasobów ludzkich, ale jest to rozwiązanie, które może ograniczyć budżet na cyberbezpieczeństwo i zwiększyć ochronę. Nie twierdzę, że rozwiąże to problem rosnących budżetów na cyberbezpieczeństwo, ale jest to okazja do korzystania z bardziej zaawansowanych narzędzi, które mogą pomóc nam stawić czoła nowym zagrożeniom bez wydawania większej ilości pieniędzy”, podsumowuje Nabil.

 


* Na potrzeby tego artykułu rozważamy:

  • Małe firmy: Poniżej 500 pracowników.
  • Średnie firmy: 500 - 10.000 pracowników.
  • Duże firmy: Ponad 10 000 pracowników.

 

Uzupełnij tę lekturę o poprzedni artykuł napisany przez Nabila.
Udostępnij ten artykuł