55% руководителей в сфере технологий и безопасности, участвовавших в нашем Глобальном исследовании «Доверие к цифровым технологиям – 2021», планируют повысить бюджет на обеспечение кибербезопасности, а 51% респондентов собираются увеличить численность штатных сотрудников, обеспечивающих кибербезопасность, даже несмотря на то, что большинство руководителей организаций (64%) ожидают снижения выручки.
52% руководителей из России также планируют повышение бюджета на кибербезопасность, а 42% респондентов заявили о намерении увеличить численность персонала кибербезопасности.
Очевидно, что кибербезопасность стала как никогда значимым аспектом бизнеса.
Однако 26% респондентам со всего мира и 23% из России придется достигать больших результатов с меньшими затратами, в то время как 13% руководителей со всего мира и 17% руководителей из России должны будут работать с прежними бюджетами.
«Нынешние экономические обстоятельства оказывают огромное давление на организацию безопасности, заставляя нас тщательно следить за тем, чтобы наши инвестиции приносили результат и высокую ценность», – говорит Кейти Дженкинс, директор по информационной безопасности Liberty Mutual.
Получение максимальной выгоды от каждого рубля, вложенного в кибербезопасность, становится все актуальнее по мере цифровизации компаний: каждый новый цифровой актив создает новую уязвимость для кибератаки.
55 % руководителей компаний и подразделений ИТ и ИБ со всего мира и 53% руководителей российских компаний и подразделений ИТ и ИБ не уверены в том, что расходы на кибербезопасность соответствуют наиболее существенным рискам, или в том, что их бюджет финансирует меры по исправлению выявленных недостатков, снижению рисков и (или) методы реагирования, которые обеспечат максимальную отдачу вложений (55%- мир, 52% - Россия), или в том, что бюджеты обеспечат им ресурсы, необходимые в случае серьезного киберинцидента (55%- мир, 42% - Россия), или в том, что процесс позволяет вести мониторинг эффективности программы кибербезопасности относительно расходов (54% - мир, 50% - Россия).
Бюджеты на кибербезопасность могут – и должны – быть согласованы с общим бюджетом предприятия или бизнес-подразделений с учетом стратегии и рисков и на основании данных.
Что касается готовности к будущим рискам, то 58% руководителей со всего мира не уверены в том, что бюджеты на кибербезопасность обеспечивают адекватный контроль над новыми технологиями, в то время как в России в этом не уверены 56% руководителей.
При нехватке уверенности в ходе процедур финансирования кибербезопасности руководители отмечают необходимость их полного пересмотра. 44% руководителей со всего мира и 43% руководителей из России указывают, что пытаются внедрить новые процессы бюджетирования и думают о том, как лучше всего убедить руководителей компании и совет директоров, чтобы они выделили необходимые средства. Тем не менее почти половина опрошенных (47%) респондентов из России полностью согласны с тем, что организации могут усилить свои системы кибербезопасности не за счет серьезного увеличения затрат, а с помощью автоматизации и рационализации технологий.
Наш процесс бюджетирования инвестиций в кибербезопасность:
Руководители в сфере кибербезопасности могут достигать большего с меньшими затратами, но для этого им нужно сделать количественную оценку киберриска и использовать эту информацию для выбора разумных решений по обеспечению безопасности, защиты данных и денежных потоков.
17% руководителей, принявших участие в нашем Глобальном исследовании «Доверие к цифровым технологиям», уже провели количественную оценку киберрисков и сейчас пожинают плоды своих усилий. Например, компания, активно занимающаяся приобретениями, которая определила стоимость киберрисков, может быстрее и более систематично оценивать возможности осуществления сделок. Финансовый институт, который обрабатывает миллионы операций в день, может проводить ежедневные и еженедельные проверки на наличие угрозы и уязвимости, что позволит ему следить за работой базовых средств контроля и выявлять потребности в перераспределении ресурсов.
Количественная оценка киберриска – задача не для слабонервных, требующая преодоления многочисленных препятствий: отсутствие общепринятой модели, отсутствие специалистов, разбирающихся в вопросах кибербезопасности и рисках с точки зрения бизнеса, невозможность масштабирования. Тем не менее почти 60% респондентов начинают проводить количественную оценку рисков или внедряют ее в требуемом масштабе. При этом (17%) планируют начать количественную оценку риска в ближайшие два года.
Важно отметить, что по результатам опроса респондентов из России 63% руководителей заявили о том, что находятся на стадии внедрения количественной оценки рисков, а 13% респондентов рассчитывают, что смогут начать количественную оценку в течение двух лет.
Расчет стоимости проектов в сфере кибербезопасности с точки зрения снижения рисков или менее затратного способа соблюдения требований позволяет сравнивать затраты и выгоды инвестиций в кибербезопасность, благодаря чему становится проще определять их значимость. Количественная оценка также облегчает измерение стоимости всего портфеля инвестиций в кибербезопасность относительно целей бизнеса. Потребность в такого рода тщательности и интеллектуальной проработке будет постоянно расти, особенно по мере того, как рынки и регуляторы будут все чаще привлекать руководителей и членов совета директоров к ответственности в связи с нарушением кибербезопасности и защиты данных.
Экономика кибербезопасности долгое время была сосредоточена на затратах (соблюдение регуляторных требований, обновление технологий и т. д.). Эта ситуация должна измениться.
Перезагрузка стратегии в сфере кибербезопасности – с рассмотрением вопросов кибербезопасности при принятии каждого бизнес-решения – означает, что бюджеты на кибербезопасность должны быть согласованы с общим бюджетом предприятия или бизнес-подразделений с учетом стратегии, рисков и на основании данных.
«Нынешние экономические обстоятельства оказывают огромное давление на организацию безопасности, заставляя нас тщательно следить за тем, чтобы наши инвестиции приносили результат и высокую ценность.»
Виталий Соколов
Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России
Тел: +7 (495) 967 6153
