Переосмыслите принципы формирования бюджета на кибербезопасность для достижения максимальной эффективности вложений

Бюджеты на кибербезопасность вырастут более чем у половины компаний

55% руководителей в сфере технологий и безопасности, участвовавших в нашем Глобальном исследовании «Доверие к цифровым технологиям – 2021», планируют повысить бюджет на обеспечение кибербезопасности, а 51% респондентов собираются увеличить численность штатных сотрудников, обеспечивающих кибербезопасность, даже несмотря на то, что большинство руководителей организаций (64%) ожидают снижения выручки.

52% руководителей из России также планируют повышение бюджета на кибербезопасность, а 42% респондентов заявили о намерении увеличить численность персонала кибербезопасности.

Очевидно, что кибербезопасность стала как никогда значимым аспектом бизнеса.

Однако 26% респондентам со всего мира и 23% из России придется достигать больших результатов с меньшими затратами, в то время как 13% руководителей со всего мира и 17% руководителей из России должны будут работать с прежними бюджетами.

«Нынешние экономические обстоятельства оказывают огромное давление на организацию безопасности, заставляя нас тщательно следить за тем, чтобы наши инвестиции приносили результат и высокую ценность», – говорит Кейти Дженкинс, директор по информационной безопасности Liberty Mutual.

Получение максимальной выгоды от каждого рубля, вложенного в кибербезопасность, становится все актуальнее по мере цифровизации компаний: каждый новый цифровой актив создает новую уязвимость для кибератаки.

В 2021 г. большинство респондентов увеличат бюджеты на кибербезопасность

Россия Мир

Большинству руководителей не хватает уверенности в процессе бюджетирования

55 % руководителей компаний и подразделений ИТ и ИБ со всего мира и 53% руководителей российских компаний и подразделений ИТ и ИБ не уверены в том, что расходы на кибербезопасность соответствуют наиболее существенным рискам, или в том, что их бюджет финансирует меры по исправлению выявленных недостатков, снижению рисков и (или) методы реагирования, которые обеспечат максимальную отдачу вложений (55%- мир, 52% - Россия), или в том, что бюджеты обеспечат им ресурсы, необходимые в случае серьезного киберинцидента (55%- мир, 42% - Россия), или в том, что процесс позволяет вести мониторинг эффективности программы кибербезопасности относительно расходов (54% - мир, 50% - Россия).

Бюджеты на кибербезопасность могут – и должны – быть согласованы с общим бюджетом предприятия или бизнес-подразделений с учетом стратегии и рисков и на основании данных.

Что касается готовности к будущим рискам, то 58% руководителей со всего мира не уверены в том, что бюджеты на кибербезопасность обеспечивают адекватный контроль над новыми технологиями, в то время как в России в этом не уверены 56% руководителей.

При нехватке уверенности в ходе процедур финансирования кибербезопасности руководители отмечают необходимость их полного пересмотра. 44% руководителей со всего мира и 43% руководителей из России указывают, что пытаются внедрить новые процессы бюджетирования и думают о том, как лучше всего убедить руководителей компании и совет директоров, чтобы они выделили необходимые средства. Тем не менее почти половина опрошенных (47%) респондентов из России полностью согласны с тем, что организации могут усилить свои системы кибербезопасности не за счет серьезного увеличения затрат, а с помощью автоматизации и рационализации технологий.

В настоящее время наблюдается низкий уровень уверенности в применяемых подходах к формированию бюджетов на кибербезопасность (Доля респондентов, которые не «очень уверены»)

Наш процесс бюджетирования инвестиций в кибербезопасность:

Согласован с общим бюджетом компании и/или бизнес-подразделений с учетом их стратегии и рисков

Основывается на мониторинге эффективности реализации программы/планов кибербезопасности

Связан с выделением средства на самые существенные риски для организации

Сосредоточен на мерах по исправлению ранее выявленных недостатков, которые обеспечат максимальную отдачу

Интегрирован с оценкой средств, необходимых для устранения в случае серьезного киберинцидента

Основывается на адекватных средствах контроля, обеспечивающих цифровое доверие новым технологиям для поддержания безопасности и конфиденциальности данных

Источник: Глобальное исследование PwC «Доверие к цифровым технологиям» 2021, октябрь 2020 г., база: 3 249 респондентов и 125 из РФ
Вопрос: Какие подходы формирования бюджета Вы применяете?

Финансовая оценка киберрисков – обязательное требование

Руководители в сфере кибербезопасности могут достигать большего с меньшими затратами, но для этого им нужно сделать количественную оценку киберриска и использовать эту информацию для выбора разумных решений по обеспечению безопасности, защиты данных и денежных потоков.

17% руководителей, принявших участие в нашем Глобальном исследовании «Доверие к цифровым технологиям», уже провели количественную оценку киберрисков и сейчас пожинают плоды своих усилий. Например, компания, активно занимающаяся приобретениями, которая определила стоимость киберрисков, может быстрее и более систематично оценивать возможности осуществления сделок. Финансовый институт, который обрабатывает миллионы операций в день, может проводить ежедневные и еженедельные проверки на наличие угрозы и уязвимости, что позволит ему следить за работой базовых средств контроля и выявлять потребности в перераспределении ресурсов.

Количественная оценка киберриска – задача не для слабонервных, требующая преодоления многочисленных препятствий: отсутствие общепринятой модели, отсутствие специалистов, разбирающихся в вопросах кибербезопасности и рисках с точки зрения бизнеса, невозможность масштабирования. Тем не менее почти 60% респондентов начинают проводить количественную оценку рисков или внедряют ее в требуемом масштабе. При этом (17%) планируют начать количественную оценку риска в ближайшие два года.
Важно отметить, что по результатам опроса респондентов из России 63% руководителей заявили о том, что находятся на стадии внедрения количественной оценки рисков, а 13% респондентов рассчитывают, что смогут начать количественную оценку в течение двух лет.

Расчет стоимости проектов в сфере кибербезопасности с точки зрения снижения рисков или менее затратного способа соблюдения требований позволяет сравнивать затраты и выгоды инвестиций в кибербезопасность, благодаря чему становится проще определять их значимость. Количественная оценка также облегчает измерение стоимости всего портфеля инвестиций в кибербезопасность относительно целей бизнеса. Потребность в такого рода тщательности и интеллектуальной проработке будет постоянно расти, особенно по мере того, как рынки и регуляторы будут все чаще привлекать руководителей и членов совета директоров к ответственности в связи с нарушением кибербезопасности и защиты данных.

Повышение уверенности при принятии бюджетных решений

Экономика кибербезопасности долгое время была сосредоточена на затратах (соблюдение регуляторных требований, обновление технологий и т. д.). Эта ситуация должна измениться.

Перезагрузка стратегии в сфере кибербезопасности – с рассмотрением вопросов кибербезопасности при принятии каждого бизнес-решения – означает, что бюджеты на кибербезопасность должны быть согласованы с общим бюджетом предприятия или бизнес-подразделений с учетом стратегии, рисков и на основании данных.

«Нынешние экономические обстоятельства оказывают огромное давление на организацию безопасности, заставляя нас тщательно следить за тем, чтобы наши инвестиции приносили результат и высокую ценность.»

Кейти ДженкинсДиректор по информационной безопасности Liberty Mutual