KPMG’ye göre, ABD’li CEO’ların %91’i ABD’nin resesyona doğru gittiğine inanıyorum. Birçok şirkette maliyet kısıntıları halihazırda devam ediyor.
Gartner’ın güvenlik teknolojisi ve hizmetlerine yapılan harcamaların artacağını tahmin ettiği için, kemerlerini sıkmanın yollarını arayan CEO’lar güvenlik bütçelerine uzun uzun baktıkları için affedilebilirler. Önümüzdeki dört yılda her yıl %11 büyümek. Ancak fidye yazılımlarının ve diğer siber saldırıların sıklığı ve maliyeti onları durdurmuyorsa, hızla gelişen düzenleme ve uyumluluk gereklilikleri de durmalıdır. Sonuç olarak, birçok yönetici güvenlik bütçelerini azaltmak yerine düzene koymanın ve yeniden önceliklendirmenin yollarını arıyor.
Tehditlerin Sıklığı ve Etkisi Artıyor
Fidye yazılımı saldırılarının hızı 2022’de yavaşlasa da intikam alarak geri döndü. Zincirleme tahminler fidye yazılımı ödemelerinin 2023’te bir önceki yıla göre %45 artışla neredeyse 900 milyon dolara ulaşabileceğini söyledi. Ve tüm ihlallerin bedeli artmaya devam ediyor — Ponemon raporları ortalama ihlalin maliyeti 2020’den bu yana %15’in üzerinde bir artışla 4,45 milyon dolara ulaştı.
Ancak bir fidye yazılımı saldırısının gerçek maliyeti, gerçek fidyeyi çok aşabilir. Arıza sürelerinden sistem iyileştirme ve itibar hasarına kadar ihlaller, şirketleri yıllarca olumsuz yönde etkileyebilir. Sonuç olarak, güvenlik bütçelerini azaltmak yerine, Kuruluşların %51’i güvenlik yatırımlarını artırmayı planlıyorözellikle olay müdahale planlaması ve testi, çalışanların eğitimi ve tehdit tespit ve müdahale araçları için.
Oyunun Kurallarını Değiştiren Mevzuat ve Uyumluluk Gereksinimleri
Menkul Kıymetler ve Borsa Komisyonu’nun yakın zamanda duyurduğu siber güvenlik açıklama ve raporlama düzenlemeleri aynı zamanda birçok şirket için uyandırma çağrısı görevi görmelidir. Yeni kurallar, halka açık şirketlerin tüm önemli siber ihlalleri dört gün içinde açıklamasını gerektiriyor. Ayrıca kuruluşlar siber güvenlik risk yönetimini, stratejilerini ve yönetişim yaklaşımlarını yıllık raporlarında yayınlamalıdır.
Düzenlemeleri sıkılaştıran sadece SEC değil. FedRAMP Rev. 5 gibi yeni nesil PCI 4.0 da ufukta görünüyor. Şirketlerin artan para cezaları veya yaptırımları beklemesi gerektiği için, mevzuata uyumsuzluğun iş maliyetleri de daha önemli hale geliyor. Daha da kötüsü, artan şeffaflık ve raporlama seviyeleri, ihlallerin (ve şirketin tepkisinin) kamuya açıklanacağı ve ayrıntılı olarak analiz edileceği anlamına geliyor. Etkili, iyi koordine edilmiş ve uyumlu güvenlik müdahalelerine sahip olmayan kuruluşlar, itibar kaybı, müşteri kaybı ve düşük hisse senedi fiyatları değerlemeleriyle karşı karşıya kalabilir.
Bu düzenleyici değişiklikler bütçe kesintilerinden ziyade güvenlik harcamalarının arttığını gösteriyor. Kuruluşların, siber güvenlik tehditlerine müdahaleyi ve güvenlik uzmanlığı düzeylerini iyileştirmek için süreçlerini, araç kitlerini ve raporlama protokollerini yenilemeleri gerekecek. PwC’ye göreBirçok şirket geçişe yeterince hazırlıklı değil.
BT ve Güvenlik Bütçelerinde Verimliliği Bulma
Güvenlik bütçelerini azaltmaya alternatif olarak kuruluşlar, verimsizlikleri ve gereksiz maliyetleri ortadan kaldırma fırsatlarını takip etmelidir:
- Çoğaltmayı ve israfı tanımlayın. Ayrıntılı bir altyapı denetimi, harcamaları azaltma veya yeniden tahsis etme fırsatlarını ortaya çıkarabilir. Örneğin kullanımdan kaldırılabilecek uygulamalar veya hizmet dışı bırakılabilecek veya birleştirilebilecek donanım varlıkları var mı? Bakım veya lisans ücretleri azaltılabilir veya yeniden müzakere edilebilir mi?
- Etki için öncelik verin. Hızla değişen güvenlik ortamı, geçen yılın finanse edilen önceliklerinin gelecek yılın bütçesinde aynı sonuçları vermeyebileceği anlamına geliyor. En önemli konulara öncelik verilmesi ve finansman sağlanması (ve ikincil girişimler için kaynakların kesilmesi), güvenlik finansmanının en büyük etkiyi sağlayacak şekilde yeniden tahsis edilmesine yardımcı olabilir.
- Bulutun benimsenmesini hızlandırın. Buluta geçmek altyapı maliyetlerini düşürebilir, yönetim gereksinimlerini azaltabilir ve uygulama geliştirme ve kullanıma sunma sürelerini hızlandırabilir. Buluta geçiş aynı zamanda sermaye ve insan kaynağı maliyetlerini de azaltabilir.
NOC ve SOC’yi Birleştirmek — Stratejik Bir Değişim
Buluta geçiş, geleneksel altyapının aksine, hizmet olarak yazılımın (SaaS) yönetilmesine daha fazla önem verilmesini sağlar. Ağ operasyon merkezi (NOC) ve güvenlik operasyon merkezi (SOC) işlevlerinin entegre edilmesi, kaynak kullanımını optimize edebilir ve maliyetleri düşürebilir. Bu entegrasyon aynı zamanda gelişmiş görünürlük ve işbirliğini teşvik eder ve gelişmiş olay analizi için daha geniş bir bağlam sağlar.
NOC ve SOC’nin birleştirilmesi raporlamayı, organizasyon yapısını ve hatta şirket kültürünü etkileyebilecek önemli bir değişikliktir. Önemli mali ve operasyonel faydalar sağlayabilir ancak yönetim ekibinin yukarıdan aşağıya güçlü bir kararlılığını gerektirir.
Güvenlik En Önemli Önceliğimiz olmaya devam ediyor
Kuruluşlar belirsiz bir ekonomide maliyetleri düşürmenin yollarını ararken, aynı zamanda daha sık ve yıkıcı siber saldırılarla ve hızla değişen düzenleme ortamıyla da karşı karşıya kalıyor. Güvenlik bütçelerini azaltmak yerine verimlilik bulmak ve kaynakları yeniden önceliklendirmek, şirketlerin riskleri azaltmasına ve etkili bir güvenlik altyapısını sürdürmesine yardımcı olabilir.