Остерегайтесь ловушек затрат, которые могут ограничить драгоценные бюджеты на обеспечение кибербезопасности

Последние данные дают двоякую картину в отношении бюджетов на кибербезопасность. С одной стороны, исследования указывают на их здоровый рост, поскольку руководители по кибербезопасности внимательно следят за дополнительными расходами. С другой стороны, что бюджеты на безопасность либо сокращаются, либо даже урезаются, несмотря на их предварительное утверждение, что ограничивает стратегии безопасности и создает потенциально опасные слепые зоны.

Несколько факторов, таких как размер компании и сектор, несомненно, играют роль в возникновении несоответствий, но независимо от того, достаточны средства CISO или скудны, возможность сэкономить деньги за счет избежания скрытых, ненужных затрат, безусловно, приветствуется всеми.

Инвестиции в безопасность могут сопровождаться ловушками затрат, которые не всегда очевидны, но со временем истощают драгоценные средства руководителей служб безопасности, о чем они даже не подозревают. Они варьируются от затрат, которые заметны при наличии необходимых знаний, до других, которые несколько неожиданны даже для самых опытных CISO.

CISO сталкиваются со структурами взимания платы за продукты и услуги безопасности

Многие CISO сталкиваются со сложностями в структурах взимания платы за свои продукты, которые многие поставщики систем безопасности устанавливают вокруг своих продуктов. “Многие продукты в настоящее время имеют очень сложную структуру взимания платы, и хотя базовая версия решения может выглядеть относительно привлекательно, нередки случаи, когда за более продвинутые функции – часто те, которые требуются CISO – взимается дополнительная плата”, – рассказывает CSO Брейн Хонан, консультант по кибербезопасности и член консультативной группы Агентства Европейского союза по кибербезопасности (ENISA).

Это может быть довольно распространенным явлением в решениях для управления информацией о безопасности и событиями (SIEM) или security operations center (SOC), где первоначальная покупка инструмента или платформы относительно дешева, но по мере увеличения объема хранимых данных, отслеживаемых событий, анализируемого трафика или контролируемых конечных точек могут произойти значительные скачки соответствующих цен, добавляет он.

Эти дополнительные накладные расходы на продукты и услуги безопасности могут включать также расходы на лицензирование, техническое обслуживание и поддержку. “Я слышал о CISO, которые покрывают больше основных функций безопасности, таких как SOC и инфраструктура, и обнаружил, что они удерживают расходы на поддержку и обслуживание, которые на самом деле должны были лежать на CIO / CTO, особенно если статьи бюджета довольно тесно связаны”, – говорит Пол Уоттс, выдающийся аналитик Форума информационной безопасности (ISF).

Внимательно изучите расходы сторонних организаций

Прежде чем принимать решение о покупке какой-либо услуги по обеспечению кибербезопасности или привлекать третью сторону, CISO должны узнать и тщательно оценить все потенциальные дополнительные расходы, связанные с ее использованием. “Это вопрос совершенствования стратегий взаимодействия с поставщиками и ведения переговоров с целью оплаты продуктов и услуг по самой низкой разумной цене”, – говорит Майк Мэнрод, CISO в Grand Canyon Education. В частности, должно быть много возможностей для переговоров, когда продукт является сетевым – новое дополнение, новые отношения и / или сценарий, в котором затраты связаны с интеллектуальной собственностью в большей степени, чем с физическими продуктами.

“Что касается сервисов, то лучший способ – настаивать на том, чтобы каждый новый продукт сопровождался множеством профессиональных сервисов для его внедрения, а затем поручать вашим наиболее перспективным сотрудникам управлять сеансом со своей клавиатуры, а профессиональный сервисный инженер говорит им, что делать”, – говорит Мэнрод.

Затем поручите этому специалисту поддержку этого продукта и последующее решение проблем, и если вы выберете правильного человека, он будет экспертом, говорит он. “Как только это будет сделано, попросите их подготовить резервную копию и создать культуру документирования и устойчивой передачи знаний. С моей стороны было бы даже неуместно говорить, сколько денег это сэкономило нам за последние 6,5 лет, что я работаю на этой работе “.

По словам Манрода, еще одно соображение может помочь договориться о более разумных ценах на новые продукты безопасности. “Например, когда некоторые поставщики удаленной изоляции браузеров назвали абсурдные цены, мы подробно объяснили, как мы могли бы создать наш собственный проект и создать проект на GitHub, чтобы сделать его бесплатным для других, если мы выделим часы капитальных затрат, равные их затратам”. По его словам, это была очень существенная проверка реальности для поставщиков, и цены стали более разумными.

Внутренние текущие расходы часто упускаются из виду

Сложная структура затрат на продукты и услуги безопасности – это лишь одна часть головоломки потенциальных скрытых затрат. Еще одна вещь, которую следует учитывать, – это внутренние затраты на их эффективное использование, которые часто упускаются из виду. Возьмите SIEM в качестве примера; это, безусловно, эффективный инструмент, но для управления и хранения в целях соблюдения требований потребуется большой объем данных, что потребует значительных затрат на хранение и времени, говорит Дэйв Аллан, член британского совета CREST.

“Также важно учитывать такие вещи, как обучение персонала, техническое обслуживание, добавление пользователей и устранение ложных срабатываний – все то, что может не быть включено в первоначальный анализ затрат”, – говорит он.

Другие хорошие примеры – услуги тестирования на проникновение и решения с открытым исходным кодом. По словам Аллана, при использовании тестирования на проникновение важно также учитывать время и ресурсы, необходимые внутри компании, стоимость любого потенциального простоя для бизнеса, время, необходимое для анализа отчетов, и затраты на внедрение любых требуемых мер безопасности.

Решения с открытым исходным кодом, хотя их часто рекламируют как экономичную альтернативу коммерческим инструментам, также не обязательно приводят к экономии средств для команды по кибербезопасности, добавляет Хонан. “Текущие расходы на внедрение, управление, интеграцию и поддержку решения часто могут привести к непредвиденным расходам на наем сотрудников с необходимыми навыками или привлечение внешних экспертов”.

Дублирующие услуги и функции без необходимости увеличивают бюджеты

Перекрывающиеся сервисы, дублирующие функции, являются еще одним распространенным перерасходом средств, который может привести к потере бюджетов на обеспечение безопасности. “Оплата этих дублирующих функций безопасности может быть финансово неэффективной и привести к увеличению бюджета”, – говорит Ник Труман, CISO поставщика облачных услуг Nasstar. Это также может привести к проблемам интеграции, когда координация и объединение нескольких поставщиков со схожими функциями приводит к сложностям и проблемам совместимости, добавляет он.

CISO должны провести всесторонний обзор и определить всех действующих поставщиков услуг безопасности и предлагаемые ими услуги. “Оцените их эффективность и соответствие требованиям безопасности бизнеса”, – говорит Труман. При выявлении дублирующих функций рассмотрите возможность объединения услуг под управлением одного поставщика или договоритесь с поставщиками об устранении избыточности.

Бюджеты, потраченные впустую на избыточные услуги и продукты безопасности

Что касается увольнений, то CISO часто в конечном итоге вынуждены платить за инструменты, которые не приносят ожидаемых преимуществ, что существенно влияет на их бюджеты на обеспечение безопасности и планы покрытия. CISO могут столкнуться со сценариями, когда они инвестируют в инструменты безопасности или технологии, которые, несмотря на их первоначальное обещание, не обеспечивают ожидаемой ценности или рентабельности инвестиций (ROI), говорит Пол Бэрд, директор по технической безопасности Qualys.

Это может произойти по нескольким причинам, включая неадекватную интеграцию с существующими системами, ограниченное внедрение пользователями или инструменты, недостаточно эффективно отвечающие конкретным потребностям организации в области безопасности. Такие инвестиции могут привести к перегрузке бюджета на обеспечение безопасности и отвлечь ресурсы от более эффективных мер безопасности, что в конечном итоге подорвет общее состояние организации в области кибербезопасности.

“Я видел, как CISO находят в своих бюджетах позиции, где инструменты либо хранятся на полках, либо используются не в полной мере”, – говорит Бэйрд. “Проблема здесь в том, что мы работаем быстро, чтобы успевать за угрозами и предотвращать атаки, и это затрудняет опережающее решение проблем”.

Определите, подходит ли существующее решение, прежде чем покупать новое

У CISO есть история дорогостоящих закупок, когда они обновляют инструменты и покупают новые без проверки варианта использования и того, устраняет ли существующее решение риски, говорит Рик Холланд, CISO в ReliaQuest. Это приводит к разрастанию избыточных и потенциально ненужных средств контроля безопасности, которые усложняют операции по обеспечению безопасности. Компаниям необходимо согласовать все инвестиции, чтобы убедиться, что они соответствуют модели угроз организации и минимизировать риск, добавляет он.

“Например, нужно ли вам обновлять облачную службу защиты от распределенного отказа в обслуживании (DDoS), если вы не находитесь в вертикали, где доступность веб-сайта имеет решающее значение для получения дохода? Достаточно ли низка вероятность DDoS-атаки и ее последствия, чтобы ограниченные ресурсы могли быть направлены в другое место?”

По опыту Хонана, изучавшего средства обеспечения безопасности в организациях, часто два или три продукта были внедрены просто потому, что организация не знала, что все необходимые функции были доступны в оригинальном продукте, который они приобрели. Например, многие современные операционные системы поставляются со встроенными функциями безопасности, такими как шифрование диска, которые, по его словам, при внедрении могут устранить необходимость в сторонних решениях.

“Инвестирование в инженера по продуктам для проверки ваших конфигураций и обеспечения надлежащего внедрения решений может избавить CISO от покупки другого инструмента и связанных с ним затрат, связанных с его интеграцией и управлением”, – добавляет Хонан.

Блокировка поставщиков приводит к бесконечным нецелевым расходам

Еще одна ловушка затрат, с которой могут столкнуться некоторые CISO, – это привязка к поставщику. Инвестиции в деньги, время и ресурсы для обеспечения эффективной работы решения в конечном итоге могут оказаться значительно выше, чем первоначально ожидалось. Это может привести к тому, что CISO не захотят переходить на альтернативный продукт или платформу, поскольку они могут почувствовать, что инвестиции будут потеряны или что стоимость миграции будет непомерно высокой.

“Это может быть особенно актуально, когда функция или процесс обеспечения безопасности были переданы на аутсорсинг третьей стороне или облаку, что приводит к более длительным постоянным затратам, несмотря на доступность более экономичных решений”, – говорит Хонан.

Скрытые затраты также могут возникнуть, когда CISO выбирает межсекторальную “инициативу”, возглавляемую центром, для реализации которой они придерживают кошелек с точки зрения реализации и ежедневных нулевых затрат, обещая, что “если это сработает, мы интегрируем в бизнес-бюджеты”, – говорит Уоттс.

“Затем это становится постоянным видом обычной деятельности, и со временем перераспределение текущих расходов по всему бизнесу становится предметом обсуждения, которое никто не хочет вести, поэтому оно ложится на бюджетную строку CISO, вызывая у них раздражение, особенно если это действительно не соответствует профилю централизованных расходов на обеспечение безопасности”.

Несогласованные бизнес-приоритеты приводят к переплатам за безопасность

Несоответствие организационных приоритетов может бросить вызов CISO, потенциально приводя к переплатам. Такое несоответствие обычно возникает, когда стратегические цели и перспективы различных заинтересованных сторон, включая высшее руководство и различные департаменты, не согласуются с приоритетами CISO в области кибербезопасности.

“Когда происходит такое несоответствие, это может привести к спорам по поводу распределения бюджета”, – говорит Бэйрд. CISO, возможно, придется обосновывать свои бюджетные запросы в соответствии с требованиями других департаментов, что потенциально может привести к компромиссам, которые могут неадекватно удовлетворять потребности организации в области безопасности, приводя к нерегулярным расходам в ответ на инциденты или нарушения безопасности.

“Организации могут оперативно распределять ресурсы для устранения непосредственных угроз, часто неся дополнительные расходы. Такой оперативный подход может привести к перегрузке бюджета и не обеспечить всеобъемлющую и экономически эффективную долгосрочную стратегию безопасности”.

Иногда и компании, и руководители служб безопасности недальновидны в этом отношении, выбирая самый простой путь на квартал, который может иметь нейтральные результаты в течение года, но катастрофические результаты в течение полудесятилетия, говорит Мэнрод. “Если мы хотим решить эту проблему, нам всем нужно ориентироваться на долгосрочное мышление”.

Из всех факторов, которые помогли внести множество улучшений в программу обеспечения безопасности, одним из наиболее значимых было длительное пребывание в одной компании при последовательной и непоколебимой поддержке других руководителей, что позволило runway вести постоянную работу над сложными проблемами, которые часто остаются нерешенными, добавляет он. “Уверен ли кто-нибудь из нас в успехе? Вовсе нет. Тем не менее, я хотел бы думать, что все мы стремимся максимально снизить риски при любом уровне инвестиций “. CISO должны согласовывать свои приоритеты в области безопасности со стратегическими целями организации и регулярно оценивать эффективность инвестиций в обеспечение безопасности, чтобы гарантировать, что ресурсы распределяются эффективно и что планы обеспечения безопасности эффективны и экономичны.