Kuruluşlar, siber güvenlik bütçelerini nasıl tahsis edeceklerine karar verirken “paranın karşılığının yüksek olmasını” arıyor ve “mevcut kaynaklardan değer elde etmeye daha fazla odaklanılıyor”. S-RM’nin “Siber Güvenlik İçgörü Raporu 2023.” Büyük kuruluşlardaki 600 üst düzey iş liderinin ve üst düzey BT profesyonelinin yanıtlarını yansıtan rapor, en büyük beş yatırım alanının siber güvenlik teknolojileri (%49), tehdit istihbaratı (%46), risk değerlendirmesi (%42), siber sigorta (%42) ve üçüncü taraf risk yönetimi (%40). 2023’te (%49) 2022’ye (%58) kıyasla daha az sayıda kuruluş teknolojinin paranın karşılığını veren bir ürün olduğunu vurguladı. Teknoloji yatırımlarının, teknolojiyi etkili bir şekilde etkinleştirmek ve yönetmek için yönetişime ve personele yatırım yapmakla el ele gittiğine dair bir farkındalık önermektedir.
Bu farkındalık, BT profesyonelleri arasında üst düzey iş liderlerinden daha yaygın olabilir çünkü BT uzmanları, güvenlik operasyonlarının günlük ayrıntılarıyla daha fazla ilgileniyorlar. BT profesyonellerinin %43’ünün teknolojiyi “yüksek değerli” bir yatırım alanı olarak belirttiğini, buna karşılık üst düzey yöneticilerin %56’sının olduğunu düşünün.
Fark, siber sigorta için daha da belirgindi; üst düzey iş dünyası liderleri, bir siber sigorta poliçesine sahip olmanın BT profesyonellerine (%36) göre paralarının karşılığını (%48) daha fazla verdiğini düşünüyorlardı. Raporda, farkın, üst düzey yöneticilerin yalnızca BT altyapısına verilen zarara değil, bir güvenlik olayının sonucu olarak potansiyel iş kesintisine ve düzenleyici ve itibari etkiye odaklanmış olmasından kaynaklanabileceği öne sürüldü. Rapora göre, üst düzey iş liderlerinin teknik altyapının iyileştirilmesiyle ilgili maliyetlerin azaltılmasından daha fazlasını azaltmak için sigortaya güvenme olasılıkları da daha yüksek.
Katılımcıların neredeyse üçte biri bütçe eksikliğinin (%31) önemli bir güvenlik sorunu olduğunu söyledi; bu da istedikleri bütçenin aldıkları bütçe olmadığının açık bir göstergesi. Rapora göre siber güvenlik, kuruluşun 2023 yılındaki toplam BT bütçesinin yaklaşık dörtte birini oluşturuyordu. Bu durum şu sektörler için geçerliydi: finansal hizmetler (%25); madencilik, petrol ve gaz sondajı ve ormancılığı içeren madenler (%25); yasal (%24); ve sigorta (%24). Bütçeleri BT bütçesinin dörtte birinden biraz fazla olan bir avuç sektör vardı: perakende (%28), telekomünikasyon (%27), ilaç (%27) ve özel sermaye (%26). Enerji ve kamu hizmetleri segmenti, yetersiz yatırım (%18) nedeniyle öne çıktı.
Rapora göre beklenti ile gerçeklik arasındaki fark yıllar içinde oldukça tutarlıydı. Büyük bir kuruluşun ortalama siber güvenlik bütçesi yıllık bazda %3 arttı; bu, katılımcıların 2023’te göreceğini tahmin ettiği %5’lik artıştan daha az. Katılımcılar 2022’de siber güvenlik bütçelerinde %8’lik bir artış bekliyorlardı ancak gerçek anlamda sadece %5,1’lik bir artış görüldü. Bu nedenle kuruluşların 2024’te beklenen %8’den daha küçük, daha mütevazı bir bütçe artışı görmesi muhtemeldir.
Kuruluşlar ayrıca teknolojiye yatırım yapmanın aynı zamanda doğru insanları ve yönetimi devreye sokmak anlamına geldiğinin de farkındadır. Katılımcılar, insanlara yatırım yapmak için güvenlik bütçelerinde artış beklediklerini söyledi. Neredeyse eşit sayıda katılımcı, bütçe artışının mevcut güvenlik ekibinin becerilerinin arttırılmasına (%42) ve daha fazla vasıflı personelin işe alınmasına (%41) bağlı olduğunu söyledi.