Сфера кибербезопасности не получает должного финансирования

Подготовка и утверждение бюджета на кибербезопасность — одна из основных обязанностей директоров по информационной безопасности. Если бюджет на кибербезопасность не позволяет выстроить комплексную защиту, в случае успешной кибератаки компания может потратить гораздо больше средств на устранение ее последствий. Хотя прямые расходы на кибербезопасность имеют решающее значение, важно не упускать из виду и косвенные, о которых мы расскажем в этой статье.

1. Расходы на сотрудников

Огромное количество руководителей не включает расходы на сотрудников в свой бюджет на кибербезопасность. Некоторые считают, что вопросами персонала нужно заниматься отдельно. Такая ошибка может дорого стоить. Эксперты по кибербезопасности не стоят дешево. В течение многих лет наблюдается серьезная нехватка квалифицированных специалистов по информационной безопасности. И этот дефицит будет сохраняться еще долгие годы. Разумеется, в этих условиях средняя заработная плата специалистов по кибербезопасности будет только расти. Но это не единственная статья расходов на сотрудников, которая должна быть включена в бюджет на кибербезопасность. Фонд оплаты труда должен включать расходы на обучение персонала, чтобы исключить злонамеренные действия, небрежность или ошибки пользователей.

2. Реагирование на инциденты

Реагирование на инциденты — еще одна статья расходов на кибербезопасность, на которую не всегда выделяются необходимые средства. Возможно, это связано с тем, что в большинстве организаций серьезные инциденты безопасности — редкое явление. В таком случае реагирование на инциденты с легкостью отодвигается на второй план. Только став жертвой кибератаки, компания торопится выделить средства на реагирование на инциденты. Такой подход к управлению инцидентами совершенно не продуктивен. Продуманная и надлежащим образом финансируемая стратегия реагирования на инциденты позволит снизить финансовые потери в результате кибератак. Расходы на реагирование на инциденты должны включать в себя регулярную корректировку плана реагирования, обучение персонала и закупку программного обеспечения.

3. Недооценка значимости всех элементов инфраструктуры

Пытаясь представить, какие активы могут пострадать в результате кибератаки, директора по информационной безопасности обычно уделяют внимание только критически важным системам. Оценка затрат на восстановление производится только с учетом этих основных уязвимых систем. Однако атака на менее важные и менее уязвимые системы также способна привести к значительным сбоям в работе организации. Без учета этих систем компании будет непросто оперативно восстановить работу до нормального состояния.

4. Консультации сторонних экспертов

Компаниям не очень нравится привлекать сторонних экспертов: для них это роскошь, особенно когда речь заходит о расходах на кибербезопасность. Тем не менее без помощи сторонних экспертов не обойтись, особенно в сфере кибербезопасности. В случае кибератаки далеко не каждой организации хватит технических знаний или опыта, чтобы самостоятельно локализовать и устранить угрозу. Потребуется привлечь сторонних специалистов, которые хорошо знакомы с атаками такого рода и способны дать практические рекомендации. Ведь каждая минута, пока инцидент остается неразрешенным, — это дополнительное время для киберпреступников на их пути к своим гнусным целей.

5. Киберстрахование

В последнее время многие организации рассматривают киберстрахование как ключевой компонент своей стратегии кибербезопасности. Тем не менее огромное количество предприятий не считают киберстрахование настолько важным, чтобы включать его в свой бюджет по кибербезопасности. Отсутствие киберстраховки означает, что в случае взлома организации придется самостоятельно нести все расходы. Киберстрахование настолько эффективно, что может принести пользу даже без подписания договора. Изучение договора поможет выявить слабые места в системе безопасности.

6. Облачные сервисы безопасности

Использование облачных серверов стало нормой. Если вы руководите крупной организацией или у вас ограниченный штат специалистов по кибербезопасности, вам следует подумать о выделении бюджета на сервис «безопасность как услуга». Он позволит снизить нагрузку на ваших специалистов по кибербезопасности и воспользоваться опытом экспертов в сфере облачной безопасности.

7. Управление изменениями

Вам придется не только решать проблемы безопасности, связанные с существующей системой, но и учитывать затраты на ее поддержание в актуальном состоянии. Новые ситуации могут потребовать новых подходов в сфере безопасности и дополнительных расходов. Стоит изначально выделить бюджет на управление изменениями. Выделенные средства позволят решить множество задач, от изменения стратегии безопасности и рабочих процессов до обновления программного обеспечения и обучения сотрудников.