Finalmente, vi è stato assegnato quel budget per la sicurezza informatica per il quale avete fatto molte pressioni, ma dove lo spendete? Come per qualsiasi budget, è importante scegliere le aree che forniranno il maggior "bang for your buck". Un'attenta analisi di ciò che sta accadendo nel panorama della sicurezza informatica vi aiuterà a prendere la giusta decisione di spesa per la sicurezza.
Ecco la guida di MetaCompliance su dove spendere il budget per la sicurezza informatica.
Dove spendere il tuo budget per la sicurezza informatica
I budget sono stati ristretti, secondo un rapporto di McKinsey, ma nel 2021, il 70% dei CISO intende chiedere aumenti significativi del loro budget per la sicurezza informatica. I cyber-attacchi in tutte le aziende di tutte le dimensioni e in tutti i settori stanno spingendo la necessità di battere i boccaporti e indurire i nostri sistemi IT contro gli hacker. MetaCompliance ha esaminato cinque aree chiave che sono degne di un budget per la sicurezza informatica duramente conquistato:
1. Formazione sulla consapevolezza della sicurezza e formazione sul phishing
La prevenzione è meno costosa di una cura quando si tratta dei danni che i cyber-attacchi possono causare. Prendiamo come esempio il ransomware. Il rapporto di Sophos "State of Ransomware 2021" ha scoperto che il costo della riparazione di un attacco ransomware è raddoppiato negli ultimi 12 mesi, arrivando in media a 1,85 milioni di dollari.
Il ransomware è spesso consegnato tramite e-mail di phishing. Un rapporto del 2021 di Egress concorda nel sottolineare che il 95% dei leader IT crede che i dati siano a rischio dal canale e-mail. Il rapporto nota anche che l'83% delle organizzazioni ha subito una violazione dei dati via e-mail negli ultimi 12 mesi, con il 24% delle violazioni causate da un dipendente che ha condiviso i dati per errore. L'uomo nella macchina è un punto di rischio che deve essere affrontato con urgenza.
Formare i dipendenti di tutta l'organizzazione su questioni di sicurezza informatica, comprese le considerazioni sulla privacy, è un passo fondamentale per ridurre il rischio di sicurezza informatica. La formazione sulla consapevolezza della sicurezza può essere adattata al profilo della vostra azienda. I dipendenti che cadono nelle esche di phishing possono anche essere affrontati utilizzando programmi di formazione anti-phishing specializzati che insegnano ai dipendenti come pensare prima di cliccare su un allegato o un link dannoso.
2. Governance, rischio e conformità
I regolamenti sulla protezione dei dati sono rigorosi e la conformità a questi regolamenti richiede tempo e risorse pesanti. I regolamenti spesso richiedono un aiuto specialistico per garantire che i requisiti siano soddisfatti correttamente. L'impatto della non conformità è costoso, non solo in termini di multe onerose, ma in termini di perdita di fiducia dei clienti e danni alla reputazione.
L'aiuto di aziende specializzate con le competenze per valutare le vostre esigenze di conformità può rendere questo processo più facile. I consulenti per la conformità possono assicurarsi che la vostra organizzazione soddisfi i regolamenti e gli standard e aiutare la vostra organizzazione ad affrontare qualsiasi lacuna nei requisiti di conformità.
3. Strumenti e misure di sicurezza
Avere i giusti strumenti di sicurezza sul posto è un'area di spesa essenziale per il budget. Ma dovreste esternalizzare la gestione della sicurezza o implementare e mantenere queste misure in-house? La risposta dipende dal vostro livello di abilità nell'uso delle moderne misure di sicurezza, alcune delle quali sono intelligenti e possono richiedere conoscenze specialistiche per configurarle e interpretarle.
Un'altra considerazione è su quale tipo di misure di sicurezza spendere il budget. Questa decisione dipende dal vostro settore industriale e da altre considerazioni come le esigenze di lavoro a distanza e le interazioni con terze parti e i dati dei consumatori. Ma come regola empirica, si dovrebbe considerare la spesa del budget per la sicurezza informatica nelle seguenti aree:
- Gestione dell'identità e dell'accesso (IAM): Il furto di credenziali e il credential stuffing (in cui i truffatori tentano di entrare negli account usando credenziali rubate) sono un importante problema di sicurezza informatica. Le credenziali rubate permettono ai truffatori di rubare grandi quantità di dati. La compromissione delle credenziali è dietro il 61% delle violazioni secondo il Verizon Data breach Investigations Report.
- Sicurezza Zero Trust: Il principio "mai fidarsi, sempre verificare" è alla base dell'uso dell'approccio Zero Trust alla sicurezza.
- Sicurezza degli endpoint: Il lavoro a distanza ha visto il numero di endpoint, come i dispositivi mobili, aumentare vertiginosamente. Ogni endpoint è un potenziale gateway in una rete.
- Sicurezza delle applicazioni: il 72% delle organizzazioni ha subito una violazione a causa di una vulnerabilità della sicurezza delle applicazioni.
- Sicurezza del cloud: Un rapporto di Gartner Inc. ha scoperto che entro il 2025, il 99% dei fallimenti della sicurezza del cloud sarà colpa del cliente. Garter raccomanda l'uso di politiche di governance e di monitoraggio per de-rischiare quest'area.
4. Assicurazione Cyber
Se accade il peggio e la vostra organizzazione viene infettata da un ransomware, o il vostro dipendente subisce uno spear-phishing e il database dei vostri clienti viene violato, e così via, la cyber assicurazione può aiutare ad alleviare parte del dolore. L'assicurazione informatica copre tipicamente le perdite da danni al sistema informatico e la perdita di informazioni dai sistemi e dalle reti informatiche. I costi dell'assicurazione informatica variano, ma alcuni assicuratori offrono premi ridotti se la vostra organizzazione può dimostrare di avere certe misure di sicurezza in atto, come:
- Formazione sulla consapevolezza della sicurezza informatica
- Conformità con gli standard di sicurezza dei dati e della privacy del settore, come ISO 27001
- Test di penetrazione regolari dei vostri sistemi e reti IT
5. Misurazioni e KPI (indicatori chiave di prestazione)
Essere in grado di misurare l'efficacia delle vostre misure di sicurezza è un ottimo modo per giustificare le vostre scelte di spesa, o per modificare i futuri budget di sicurezza informatica. Le metriche di sicurezza forniscono informazioni su quanto sia efficace la vostra posizione di sicurezza, compreso se le vostre misure di conformità stanno funzionando. Queste metriche offrono un modo quantitativo per mostrare al management e ai membri del consiglio come sta funzionando un programma di sicurezza dei dati. Queste metriche possono anche giocare un ruolo nel documentare l'approccio dell'azienda alla protezione dei dati in linea con i requisiti normativi. L'analisi dei KPI e degli indicatori di rischio chiave (KRI) fornisce una visione del vostro team e della posizione di sicurezza in modo da poter ottimizzare le misure e gli approcci.
Ci sono diversi KPI chiave che possono essere misurati, alcuni esempi che misurano le metriche delle minacce includono:
- Incidenti di sicurezza
- Tempo medio di rilevamento (MTTD)
- Tempo medio di risoluzione (MTTR)
Spendere, spendere, spendere per la sicurezza informatica
Con la spesa per la sicurezza che si prevede supererà i mille miliardi di dollari a livello globale entro il 2025, ottimizzare il vostro budget per la sicurezza informatica è vitale per evitare sprechi. Potreste già avere esperienza di dove la vostra organizzazione è più a rischio, ma continuate a ricercare il panorama della sicurezza man mano che cambia. Avendo una buona conoscenza di ciò che sta accadendo in tutto il settore e che tipo di aiuto è disponibile per mitigare il rischio informatico, potete assicurarvi che il vostro budget concordato vi dia un buon rapporto qualità-prezzo.
