Enquanto os números estão ficando maiores, os incidentes de segurança estão se tornando mais visíveis, e a segurança cibernética está se tornando mais uma questão de nível de diretoria, o que significa que as CSOs precisam ser capazes de justificar seus orçamentos e investimentos mais atentamente do que nunca.
"Profissionais de segurança estão em uma situação impossível. Eles são os profetas da desgraça ou são o bode expiatório”, diz Nick Taylor, diretor-gerente de estratégia da Accenture UKI. "E você pode gastar dinheiro investindo rapidamente em novas tecnologias.”
Quais tecnologias fornecem o melhor valor e podem ajudar a reduzir os custos? O estudo Cost of Cybercrime da Accenture e o Ponemon quantificam quais tecnologias fornecem a maior economia. Com base em entrevistas com mais de 2,6 mil líderes seniores de 355 empresas, ele destaca as tecnologias de segurança que podem reduzir custos depois de deduzir o montante investido na tecnologia.
A informação de ameaças fornece o maior valor
A inteligência de segurança e o compartilhamento de ameaças, que são usados por 67% das empresas no estudo, forneceu a maior redução de custos, de US$ 2,26 milhões em média, de acordo com o relatório. É útil para atividades de descoberta e investigação, pois ajuda a entender as ameaças para que as empresas possam direcionar melhor os recursos contra ataques antecipados.
Além de fontes de inteligência de ameaças e redes de compartilhamento, essa tecnologia inclui monitoramento da dark web, que pode olhar não apenas para dados que já vazaram, mas também para pessoas que oferecem ou solicitam dados relacionados à sua organização. "Os profissionais de segurança agora estão percebendo que é um ambiente muito difícil em que estão vivendo, e em que cooperar e fazer parceria é muito mais benéfico do que seguir em frente sozinho”, diz Taylor.
Automação e análise oferecem alta recompensa
A automação, inteligência artificial, aprendizado de máquina e análise comportamental foram menos difundidas do que as tecnologias baseadas em inteligência, que também apresentam elevados níveis de valor. Automação e aprendizado de máquina foram usados por apenas um terço das empresas, mas poderiam oferecer uma economia de mais de US$ 2 milhões por empresa.
"Há um baixo número de habilidades no mercado, por isso estamos descobrindo que os clientes estão usando mais automação, mais inteligência artificial e aprendizado de máquina, usando mais análises cibernéticas e análises comportamentais também”, diz Taylor. "Há muito pouco gasto com isso, mas as economias de custo são bastante dramáticas.”
Do ponto de vista analítico, o número de empresas que implementam tecnologias, como a análise do comportamento do usuário, é baixo – novamente, apenas um terço das empresas que a implantam –, mas poderia proporcionar uma economia de US$ 1,72 milhão.
Gerenciamento de identidade e acesso – uma base que está evoluindo
Uma tecnologia antiga que ainda está gerando muito valor é o gerenciamento de identidade e acesso (IAM). Usado por mais de 60% das organizações, ele pode ajudar a reduzir os custos em US$ 1,83 por organização.
"Há toneladas para fazer no IAM, especialmente em torno de algum gerenciamento de acesso privilegiado”, diz Taylor. "A quantidade de pessoas que passam pela sua organização; empreiteiros, fornecedores, rotatividade de funcionários, significa que você precisa ter muito mais cuidado com quem fornece acesso para garantir que não tenhamos combinações tóxicas.”
À medida que as organizações mudam para a nuvem e se afastam das senhas básicas, as tecnologias relacionadas à identidade e autenticação se tornam uma parte cada vez mais importante na postura de segurança de uma organização, tanto internamente quanto com fornecedores e parceiros.
Tecnologia de segurança básica não gera tanto valor, mas não pode ser ignorada
Muitas tecnologias de segurança mais antigas e bem estabelecidas – prevenção de perda de dados (DLP), controles de perímetro e gerenciamento de políticas – proporcionavam o mínimo de economia de custos; todos oferecendo menos de US$ 200 mil em economias em comparação com seus custos. "Esses” brilhantes aspectos básicos "são coisas que temos feito há 20 anos... coisas que são o pão de cada dia da segurança – mas eles precisam dobrar os limites”, diz Taylor.
No entanto, só porque essas tecnologias não geram grandes quantidades de valor ou reduzam custos, isso não significa que elas sejam inúteis ou não valham a pena.
"Seu perímetro é muito, muito mais complexo. É muito mais difícil de proteger, muito mais difícil de entender a dinâmica e as mudanças nela”, diz Taylor. "Por causa dessa complexidade, você está vendo o investimento que está fazendo entregando um retorno menor, porque isso está mudando constantemente e como você protege algo que está realmente em movimento o tempo todo”.
Como demonstrar o valor das tecnologias de segurança e investimentos
Taylor diz que, para melhor transmitir a mensagem ao conselho de administração dos investimentos em segurança cibernética do valor que a organização oferece, os CSOs precisam se concentrar nas métricas certas e colocá-las no contexto de risco para os negócios. "Os conselhos estão esperando mais capacidade de tomada de decisão de investimento orientada por dados”, explica ele. "Compreender o benefício de cada tostão gasto que fornece uma mitigação de risco X. Eles querem isso porque os planos de negócios emocionais de ontem estão se desgastando por eles.”
"Se eu tiver uma cadeia de suprimentos, uma fábrica, uma plataforma de comércio eletrônico, um sistema de gerenciamento de clientes, me diga quem está me atacando nessas partes da minha cadeia de valor e se eles tirarem alguns dos dados, quanto vai me custar.”
Entenda seus ativos para se tornarem orientados por dados
Taylor diz que a maioria das organizações tem inventários de ativos imaturos, e que deve se concentrar em entender quais dados ela têm e o que é mais valioso e, em seguida, focar nessas tecnologias e nas informações que saem dessas soluções. "Os conselhos não querem 100 métricas de tecnologia operacional no nível do conselho. Eles querem ver cinco que lhes deem insights com as tendências ao longo do tempo e permitir que eles equilibrem suas prioridades de investimento. Isso se relaciona com o caso de negócios: se formos violados, isso acontecerá e poderemos perder uma quantidade X de nossos negócios e, portanto, você precisará investir Y para cobrir esse risco.”
Em vez de fornecer números brutos em torno de tentativas de phishing, explique se essa tendência está aumentando ou diminuindo, se eles são bem-sucedidos ou não (e se essa taxa de sucesso está mudando), se estão se tornando mais detalhados, direcionados e avançados. "Faça isso baseado em fatos, orientado a dados”.
Ser violado é ruim para os negócios; bom para orçamentos de segurança
Infelizmente, uma das melhores maneiras de mostrar o valor da segurança é sofrer as consequências do subinvestimento. "As violações causam mais investimento. Uma das empresas com as quais estamos lidando teve uma brecha e agora o CSO tem acesso a quatro vezes a quantia de investimento que eles tinham anteriormente ”, diz Taylor. Isso porque a violação foi pública e teve impacto nas finanças e no preço das ações.
"Você está encorajando o combate a incêndios, em vez de encorajar o gerenciamento proativo. A proatividade é realmente mais benéfica para a empresa do que a reatividade. Mas, infelizmente, a reatividade gera a emoção, que gera financiamento ”, diz Taylor.
Os conselhos estão começando a entender que, se isso pode acontecer aos concorrentes, isso pode acontecer com eles, e o dano que um rival sofre pode ser usado como um exemplo do motivo pelo qual o investimento é necessário.