تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
إن معرفة المجالات التي يجب التركيز عليها في ميزانية الأمن السيبراني لتحقيق القيمة التجارية الأكثر أهمية هو مهارة لا غنى عنها لمدراء أمن المعلومات.
وجدت شركة Deloitte مؤخرًا أن الأمن السيبراني هو أساس التحول الرقمي القائم على السحابة ، حيث يمثل ما يقرب من 50٪ من نجاح المبادرات. نظرًا لأنهم ينظرون إلى المقارنة المعيارية ووضع الميزانية كخطوة أولى في دفع مكاسب الإيرادات والنهوض بحياتهم المهنية ، يحتاج CISOs إلى الاستفادة من كل فرصة لربط إنفاقهم بمكاسب الإيرادات.
هذه العقلية ضرورية لمدراء أمن المعلومات الذين يرغبون في الحصول على منصب على مستوى مجلس الإدارة ويظهرون أنهم يعرفون كيفية استخدام ميزانيات الأمن السيبراني للمساعدة في دعم وزيادة الإيرادات.
قال جورج كورتز ، الشريك المؤسس والرئيس التنفيذي لشركة CrowdStrike ، خلال كلمة رئيسية في شركة Fal.Con السنوية لشركته: “أرى المزيد والمزيد من CISOs ينضمون إلى مجالس الإدارة”. “أعتقد أن هذه فرصة رائعة للجميع هنا [at Fal.Con and in the industry] لفهم تأثيرها على الشركة. من منظور وظيفي ، من الرائع أن تكون جزءًا من غرفة الاجتماعات هذه وأن تساعدهم في الرحلة “.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
معرفة مقدار التوحيد الكافي
هؤلاء CISOs الذين يحصلون عليها يحولون تعقيد مكدساتهم التقنية وتكاليف الصيانة المرتفعة إلى فرص دمج تعمل على تحسين المرونة الإلكترونية وزيادة الرؤية والتحكم وتقليل الثغرات في وضعهم الأمني. يعتبر الدمج أمرًا مفروغًا منه لكل CISO الذي يرث مجموعة كبيرة ومعقدة ومكلفة من التكنولوجيا التي يجب أخذها في الاعتبار لتحسين الحجم.
كان CrowdStrike مبكرًا في تحديد الحاجة إلى دعم CISOs الذين يجب عليهم دمج مكدسات التكنولوجيا للمساعدة في تحقيق المزيد من الإيرادات. من خلال وضع إستراتيجية نمو تفيد نموهم ومواقف أمان عملائهم ، يساعد CrowdStrike العملاء على تحقيق أفضل توازن ممكن بين الدمج والاستثمارات الجديدة في البرامج والخدمات. من خلال توفير منهجية ومعايير مرجعية داخلية ، يتمتع CrowdStrike بسجل قوي في مساعدة العملاء على فهم المستوى الأمثل للتوحيد نظرًا لمتطلبات أعمالهم الفريدة.
مثل CrowdStrike ، حددت Palo Alto Networks استراتيجية دمج لعملائها. على الرغم من اختلاف استراتيجيات الدمج الخاصة بهم ، فإن كلاً من CrowdStrike و Palo Alto Networks يتطلعان إلى تحقيق نطاق أكبر من خلال توفير التكاليف مع زيادة عائدات البيع والبيع المتبادل. يحافظ كل منها على تركيز قوي على الحصول على الميزانيات والمعايير الصحيحة.
حدد المخاطر للحصول على موافقة مجلس الإدارة
يجب أن يبدأ بيع مجلس إدارة ومدير تنفيذي بميزانية للأمن السيبراني بتعريفها بمصطلحات تجذب الانتباه بسرعة وتؤيدها. يخبر مدراء أمن المعلومات VentureBeat أنهم الأكثر نجاحًا في كسب معارك الميزانية من خلال شرح مخاطر الإيرادات السلبية لعدم تأمين منطقة مؤسسة ، ثم استخدام تلك البيانات لتحديد المخاطر السيبرانية.
يتطلب تعزيز قضية الموافقة على ميزانية الأمن السيبراني شرح التأثير المحتمل لخرق الإيرادات ومخاطر عدم وجود نظام محدد للكشف عن التهديدات والاستجابة لها. يجب قياس ذلك من خلال بيانات المخاطر الإلكترونية وتعزيزه بمعايير الصناعة القياسية. يتمتع كبار مسؤولي المخاطر (CROs) و CISOs الذين يتعاونون ويتفوقون في تقدير حجم المخاطر الإلكترونية بفرصة أفضل للحصول على تمويل ميزانياتهم.
تقدير المخاطر السيبرانية هو أسلوب لتحديد وتوسيع الميزانيات لأطر ومبادرات الأمن انعدام الثقة.
كتب مارك تاترسال في منشور على مدونته The Business Case for Risk Quantification: “يساعدك تقدير حجم المخاطر على تقييم قيمة مشاريع الأمن السيبراني باستخدام إطار عمل مفهوم بشكل عام ينسب قيمة مالية لكل قرار ذي أولوية بناءً على النمذجة الإحصائية للمخاطر والخسارة المتوقعة”.
يعد قياس المخاطر أمرًا ضروريًا للقياس في السياق الصحيح بحيث يمكن أن يكون لدى CISOs حواجز حماية لاتخاذ أفضل القرارات.
تعتبر المقارنة المعيارية للأمن السيبراني ضرورية لتنمية الأعمال التجارية
كما قال كورتز في Fal.Con: “يجب أن تكون إضافة الأمن عاملاً لتمكين الأعمال. يجب أن يكون شيئًا يضيف إلى مرونة عملك ، ويجب أن يكون شيئًا يساعد في حماية مكاسب الإنتاجية للتحول الرقمي “.
أثبتت تعليقات كورتز أنها كانت بصيرة ، حيث أن دراسة Deloitte اكتملت في وقت لاحق في عام 2022 حددت مدى أهمية الأمن السيبراني لجميع مبادرات التحول الرقمي – مع كون السحابة هي الأكثر أهمية.
قال كريس جيلكريست ، المحلل الرئيسي في Forrester ، خلال جلسة في Forrester’s Security and Risk Forum 2022: “هذا يعني أن الأمن أصبح الآن محركًا لاستراتيجية الشركة بدلاً من دفنه كبند تشغيلي فقط ليتم إدارته وقياسه بتكلفة”. “بعبارة أخرى ، يتمتع الأمن الآن بمجال للدفاع عن النمو ودفعه”.
في نفس الحدث ، استضاف نائب الرئيس والمحلل الرئيسي لشركة Forrester جيف بولارد جلسة بعنوان “الأمن السيبراني يدفع الإيرادات: كيف تكسب كل معركة بشأن الميزانية”. قدم هذا إرشادات قيمة ورؤى وإطارًا مفيدًا يمكن لمدراء أمن المعلومات استخدامه لتحديد ميزانياتهم من خلال إظهار مساهمات الإيرادات التي يساعدون في حمايتها وتقديمها.
قال بولارد في عرضه التقديمي: “عندما يمس شيء ما قدر الإيرادات كما يفعل الأمن السيبراني ، فهو اختصاص أساسي”. ولا يمكنك المجادلة بأنه ليس كذلك.
يعرف كل مورد للأمن السيبراني أنه إذا كان بإمكانهم مساعدة عملائهم على ضبط الميزانيات باستخدام قياس الأداء ، فسيتم تعظيم قيمة عمر العميل (CLV) – وهو أحد المقاييس الأكثر قيمة لنجاح العملاء – إلى أقصى حد. هذا هو السبب في أن بائعي منصات الأمن السيبراني الرائدين لديهم معايير إنفاق داخلية يقدمونها للعملاء والآفاق لبناء دراسة الجدوى.
من الأفضل استخدام المعايير التي يوفرها البائع لتحديد الثغرات الواسعة التي لا يزال يتعين على فرق الأمن السيبراني وتقنية المعلومات مراعاتها في دورات الميزانية. لن تتطابق مجموعة واحدة من المعايير بشكل مثالي مع تحديات شركة معينة ، لذلك من الأفضل اعتبار كل مجموعة بمثابة حواجز حماية للميزنة والتخطيط. هناك العديد من إصدارات الحقيقة لقياس الإنفاق على الأمن السيبراني.
عدد قليل من العديد من معايير الأمن السيبراني المتاحة هي تلك من AT&T Cybersecurity ، و Boston Consulting Group ، CSO Online ، و Cybersecurity Dive ، و Forrester Planning Guide 2023: Security and Risk and SANS.
أصدرت Clutch مؤخرًا نموذجًا مفيدًا يوضح كيفية إنشاء ميزانية للأمن السيبراني للشركات الصغيرة.
قياس الإنفاق على الأمن السيبراني
نظرًا لأن كل شركة لديها مجموعة فريدة من تحديات الأمن السيبراني التي أصبحت أكثر تعقيدًا من خلال اعتمادها على المبيعات والدعم وشبكات سلسلة التوريد ، فمن المستحيل أن يكون لها معيار واحد ونهائي في جميع الصناعات. تعكس الإرشادات التالية الإجماع على أحدث استطلاعات معيارية جنبًا إلى جنب مع المقابلات التي أجرتها VentureBeat مع مدراء أمن المعلومات ومدراء تقنية المعلومات وقادة إدارة الأمن والمخاطر (SRM).
النسبة المئوية لميزانيات تكنولوجيا المعلومات التي يتم إنفاقها على الأمن السيبراني
في المتوسط في عام 2022 ، تنفق الشركات 9.9٪ من ميزانيات تكنولوجيا المعلومات الخاصة بها على الأمن السيبراني. تتصدر خدمات التكنولوجيا والرعاية الصحية والأعمال التجارية (بما في ذلك التأمين) جميع الصناعات في الاستثمار في الأمن السيبراني. ما يثير القلق هو قلة إنفاق قطاعات التعليم والتجزئة والتصنيع على الأمن السيبراني. تؤكد البيانات الواردة أدناه أيضًا أن وباء أمن الصناعة التحويلية يحتاج إلى علاج انعدام الثقة.
بالنسبة لمعظم الميزانيات ، تتراوح البرامج المستندة إلى السحابة من 20٪ إلى 25٪
تماشياً مع الدراسات السابقة لـ Gartner و IDC ، يمثل الإنفاق على البرامج المستندة إلى مجموعة النظراء عادةً 20 إلى 25٪ من ميزانيات الأمن السيبراني. يمكن أن يكون الرقم أعلى بكثير اعتمادًا على النضج السحابي لشركة معينة وصناعة معينة.
على سبيل المثال ، في مجال التكنولوجيا والرعاية الصحية ، تخبر CISOS VentureBeat أن الإنفاق على البرامج المستندة إلى السحابة يمكن أن يشكل 40٪ من ميزانيتها نظرًا لتعقيد المكدس التكنولوجي الذي يديرونه عبر وحدات أعمال متعددة.
CISOs تخصص 20٪ من ميزانياتها لأمن البنية التحتية
يهدف العديد من CISOs إلى تجديد مكدسات التكنولوجيا القديمة لحماية البنية التحتية وإنترنت الأشياء وأنظمة التحكم الصناعية وتطبيقات وأنظمة التكنولوجيا التشغيلية (OT).
تعد إدارة الوصول إلى الهوية (IAM) وإدارة الوصول المتميز (PAM) من بين فئات الميزانية الأسرع نموًا حتى عام 2023. بينما وجدت دراسة Deloitte أن 12٪ من الميزانيات مخصصة لـ IAM ، يسمع VentureBeat من CISOs أن هذا الرقم ينمو بشكل أسرع من السوق وأنظمة PAM المستندة إلى السحابة تساعد في سد الفجوات في مكدسات التكنولوجيا.
الدروس المستفادة من CISOs الذين يتفوقون في المقارنة المعيارية والميزنة
تعتبر عملية المقارنة المعيارية والميزنة عملية متكررة أمرًا بالغ الأهمية لتحقيق النجاح. أخبر أحد CISO VentureBeat أن دورة القياس والميزنة وتصحيح المسار يجب أن تصبح جزءًا من الحمض النووي للمؤسسة حتى تنجح.
يخبر CISOs أيضًا VentureBeat أن بيانات المقارنة المعيارية تختلف اختلافًا كبيرًا حسب القطاع والفئة الفرعية للصناعة ، لذا فإن معرفة التحديات الفريدة أمر بالغ الأهمية. يمكن لمقارنة البيانات المعيارية تحديد الفجوات وتحديد متى يلزم اتخاذ الإجراءات.
أخبر أحد الرؤساء التنفيذيين لشركة تصنيع VentureBeat أن الجانب الأكثر قيمة في المقارنة المعيارية هو العثور على فجوات لم يفكر فيها أحد من قبل وتصحيح المسار بسرعة لسدها. تزامنت تلك الشركة التي حولت الإنفاق من الدفاع إلى المرونة الإلكترونية مع مبادرة انعدام الثقة.
إن معرفة كيفية التنقل في البيانات المعيارية لإنشاء ميزانية يكون كل من صناديق المرونة الإلكترونية ومحركات الإيرادات بمثابة مجالس مهارة يبحث عنها المدراء. كلما كان CISO أفضل في تحقيق التوازن بين الاثنين ، زادت احتمالية تقدم حياتهم المهنية.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
