Olet vihdoin saanut kovasti lobbaamasi kyberturvallisuusbudjetin, mutta mihin käytät sen? Kuten minkä tahansa budjetin kohdalla, on tärkeää valita alat, jotka tuottavat parhaan mahdollisen vastineen rahoillesi. Huolellinen analyysi siitä, mitä kyberturvallisuusympäristössä tapahtuu, auttaa tekemään oikean päätöksen tietoturvamenoista.
Tässä on MetaCompliancen opas siitä, mihin tietoturvabudjettisi kannattaa käyttää.
Mihin käyttää kyberturvallisuusbudjetti
McKinseyn raportin mukaan budjetit ovat olleet tiukkoja, mutta vuonna 2021 70 prosenttia CISO:ista aikoo pyytää merkittäviä lisäyksiä kyberturvallisuusbudjettiinsa. Kaikenkokoisten yritysten ja kaikkien alojen kyberhyökkäykset aiheuttavat tarpeen sulkea luukut ja kovettaa IT-järjestelmiä hakkereita vastaan. MetaCompliance on tarkastellut viittä keskeistä alaa, jotka ovat kovalla kädellä hankitun kyberturvallisuusbudjetin arvoisia:
1. Tietoturvakoulutus ja phishing-koulutus
Ennaltaehkäisy on edullisempaa kuin parannuskeino, kun on kyse verkkohyökkäysten aiheuttamista vahingoista. Esimerkkinä voidaan mainita lunnasohjelmat. Sophosin raportissa "State of Ransomware 2021" todettiin, että kiristysohjelmahyökkäyksen korjauskustannukset ovat kaksinkertaistuneet viimeisten 12 kuukauden aikana ja ovat nyt keskimäärin 1,85 miljoonaa dollaria.
Lunnasohjelmat toimitetaan usein phishing-sähköpostien kautta. Egressin vuonna 2021 julkaisemassa raportissa korostetaan, että 95 prosenttia IT-johtajista uskoo, että tiedot ovat vaarassa sähköpostikanavan kautta. Raportissa todetaan myös, että 83 prosenttia organisaatioista kärsi sähköpostin kautta tapahtuneesta tietomurrosta viimeisten 12 kuukauden aikana, ja 24 prosenttia murroista johtui siitä, että työntekijä jakoi tietoja vahingossa. Ihminen koneessa on riskipiste, johon on puututtava kiireesti.
Koko organisaation työntekijöiden kouluttaminen kyberturvallisuusasioissa, mukaan lukien yksityisyyden suojaan liittyvät näkökohdat, on olennainen askel kyberturvallisuusriskin vähentämisessä. Tietoturvatietoisuuskoulutus voidaan räätälöidä yrityksesi profiiliin sopivaksi. Työntekijöiden sortuminen phishing-syötteisiin voidaan myös torjua käyttämällä erikoistuneita phishing-torjuntakoulutusohjelmia, jotka opettavat työntekijöitä ajattelemaan ennen kuin he klikkaavat haitallista liitetiedostoa tai linkkiä.
2. Hallinnointi, riskit ja vaatimustenmukaisuus
Tietosuojaa koskevat määräykset ovat tiukkoja, ja niiden noudattaminen vaatii paljon aikaa ja resursseja. Säädökset vaativat usein asiantuntija-apua, jotta voidaan varmistaa, että vaatimukset täytetään oikein. Vaatimusten noudattamatta jättämisen vaikutukset ovat kalliita, ei pelkästään raskaiden sakkojen muodossa vaan myös asiakkaiden luottamuksen menettämisenä ja maineen vahingoittumisena.
Prosessia voi helpottaa, jos saat apua erikoistuneilta yrityksiltä, jotka osaavat arvioida vaatimustenmukaisuustarpeesi. Compliance-konsultit voivat varmistaa, että organisaatiosi täyttää säädökset ja standardit, ja auttaa organisaatiotasi korjaamaan mahdolliset puutteet vaatimustenmukaisuuden vaatimuksissa.
3. Turvallisuusvälineet ja -toimenpiteet
Oikeiden tietoturvatyökalujen käyttöönotto on olennainen budjettikohta. Pitäisikö tietoturvan hallinta kuitenkin ulkoistaa vai ottaa käyttöön ja ylläpitää näitä toimenpiteitä talon sisällä? Vastaus riippuu siitä, miten hyvin osaat käyttää nykyaikaisia turvatoimia, joista osa on älykkäitä ja joiden määrittäminen ja tulkinta voi vaatia erityisosaamista.
Toinen näkökohta on se, minkälaisiin turvatoimiin budjetti käytetään. Tämä päätös riippuu toimialastasi ja muista seikoista, kuten etätyötarpeista ja vuorovaikutuksesta kolmansien osapuolten ja kuluttajien tietojen kanssa. Nyrkkisääntönä voidaan kuitenkin pitää, että kyberturvallisuusbudjetin käyttöä seuraavilla aloilla olisi harkittava:
- Identiteetin- ja pääsynhallinta (IAM): Tunnuslukuvarkaudet ja tunnusten täyttäminen (kun huijarit yrittävät murtautua tileille varastettujen tunnusten avulla) ovat merkittävä kyberturvallisuusongelma. Varastettujen valtakirjojen avulla huijarit voivat varastaa suuria määriä tietoja. Verizon Data breach Investigations Report-raportin mukaan 61 prosenttia tietomurroista johtuu valtakirjojen vaarantamisesta.
- Zero Trust Security: Nollaluottamus: Nollaluottamusperiaatteen taustalla on periaate "älä koskaan luota, tarkista aina".
- Loppupisteen turvallisuus: Päätelaitteiden, kuten mobiililaitteiden, määrä on kasvanut huimasti. Jokainen päätepiste on potentiaalinen portti verkkoon.
- Sovellusturvallisuus: 72 prosenttia organisaatioista on kärsinyt tietoturvaloukkauksesta sovellusturvallisuuden haavoittuvuuden vuoksi.
- Pilviturvallisuus: Gartner Inc:n raportin mukaan vuoteen 2025 mennessä 99 prosenttia pilvipalvelun tietoturvaongelmista on asiakkaan syytä. Garter suosittelee hallintokäytäntöjen ja seurannan käyttämistä riskien vähentämiseksi tällä alalla.
4. Kybervakuutus
Jos pahin tapahtuu ja organisaatiosi saa lunnasohjelmatartunnan tai työntekijäsi joutuu spear-phishing-iskun kohteeksi, asiakastietokantaan murtaudutaan ja niin edelleen, verkkovakuutus voi auttaa lieventämään tuskaa. Kybervakuutus kattaa tyypillisesti tietotekniikkajärjestelmien vahingoista ja tietotekniikkajärjestelmien ja -verkkojen tietojen menetyksestä aiheutuvat tappiot. Kybervakuutuksen kustannukset vaihtelevat, mutta jotkut vakuutusyhtiöt tarjoavat alennettuja vakuutusmaksuja, jos organisaatiosi voi osoittaa, että sinulla on käytössäsi tiettyjä turvatoimia, kuten esimerkiksi
- Tietoturvatietoisuuskoulutus
- alan tietoturva- ja tietosuojastandardien, kuten ISO 27001:n, noudattaminen.
- IT-järjestelmien ja -verkkojen säännöllinen tunkeutumistestaus
5. Mittaukset ja suorituskykyindikaattorit (KPI).
Turvallisuustoimenpiteiden tehokkuuden mittaaminen on hyvä tapa perustella menovalintoja tai muuttaa tulevia tietoturvabudjetteja. Tietoturvamittarit antavat tietoa siitä, miten tehokas tietoturvatilanne on, ja myös siitä, toimivatko vaatimustenmukaisuustoimenpiteet. Nämä mittarit tarjoavat kvantitatiivisen tavan osoittaa johdolle ja hallituksen jäsenille, miten tietoturvaohjelma toimii. Näillä mittareilla voi myös olla merkitystä dokumentoitaessa yrityksen lähestymistapaa tietosuojaan sääntelyvaatimusten mukaisesti. Keskeisten suorituskykyindikaattoreiden ja keskeisten riski-indikaattoreiden (KRI) analysointi antaa kuvan tiimistäsi ja tietoturva-asemastasi, jotta voit optimoida toimenpiteet ja lähestymistavat.
On olemassa useita keskeisiä suorituskykyindikaattoreita, joita voidaan mitata:
- Turvallisuusvälikohtaukset
- Keskimääräinen aika havaitsemiseen (MTTD)
- Keskimääräinen ratkaisuaika (MTTR)
Menot, menot, menot kyberturvallisuuteen
Koska tietoturvamenojen odotetaan ylittävän 1 biljoonan dollarin ra jan maailmanlaajuisesti vuoteen 2025 mennessä, tietoturvabudjetin optimointi on elintärkeää tuhlauksen välttämiseksi. Sinulla saattaa jo olla kokemusta siitä, missä organisaatiosi on suurimmassa vaarassa, mutta jatka tietoturvamaiseman tutkimista sen muuttuessa. Kun sinulla on hyvä tietämys siitä, mitä alalla tapahtuu ja minkälaista apua on saatavilla kyberriskien vähentämiseksi, voit varmistaa, että sovitusta budjetista saat vastinetta rahalle.
Oletko valmis ryhtymään ennakoiviin toimiin? Tutustu MetaPhishiin, johtavaan Phishing-simulaatio-ohjelmistoon, joka on suunniteltu parantamaan organisaatiosi verkkopuolustusta, ja tutustu eLearning Security -sisältökirjastoomme, jonka avulla voit edistää vankkaa tietoturvatietoisuuden kulttuuria työntekijöissäsi.