Звіт Forrester на 2025 рік акцентує на збільшенні інвестицій в інформаційну безпеку

З наближенням 2025 року керівники служб інформаційної безпеки (CISO) відчувають тиск щодо захисту бізнесу та мінімізації ризиків, працюючи при цьому в умовах обмеженого бюджету. В останньому посібнику з бюджетного планування безпеки та управління ризиками компанії Forrester підкреслюється, що інвестиції в кібербезпеку повинні бути тісно пов’язані з бізнес-операціями, що робить захист критично важливих для бізнесу ІТ-активів пріоритетом.

Захист критично важливих активів і підвищення безпеки

У звіті Forrester рекомендує керівникам департаментів інформаційної безпеки зосередитися на захисті критично важливої для бізнесу інфраструктури, підвищенні безпеки застосунків та вдосконаленні управління людськими ризиками. Це містить пріоритетність безпеки ланцюжка постачання програмного забезпечення, безпеки API та виявлення загроз IoT/OT, які необхідні для підтримання цілісності бізнес-операцій.

За даними Forrester, 90% директорів з інформаційних технологій очікують збільшення бюджетів у 2025 році, тому існує сильний запит на інвестиції в ці критичні сфери. Однак керівникам необхідно стратегічно підходити до своїх витрат, особливо з огляду на те, що середній бюджет на кібербезпеку становить лише 5,7% річних витрат на інформаційні технології. Forrester рекомендує керівникам уникнути пасток, пов’язаних з розростанням технологій, шляхом ретельного аналізу та можливого усунення надлишкових або непотрібних інструментів з їхніх технологічних стеків. Такий підхід гарантує, що нові інвестиції будуть не лише ефективними, але й результативними.

Баланс між зростанням і безпекою

У звіті Forrester підкреслюється, що кібербезпека має розглядатися насамперед як бізнес-рішення. Це означає, що кожна інвестиція повинна оцінюватися з погляду її потенціалу для стимулювання зростання доходів, забезпечуючи при цьому високий рівень рентабельності. Керівникам рекомендується йти на компроміси щодо інструментів та витрат, зосереджуючись на тих напрямках, які матимуть найбільший вплив як на безпеку, так і на результати діяльності компанії.

Ключовим пріоритетом для директорів з інформаційної безпеки має стати захист цифрових ініціатив, які мають суттєве значення для генерування нових потоків доходу. Forrester підкреслює необхідність посилення безпеки в ланцюжках постачання програмного забезпечення та управління програмними інтерфейсами (API). Враховуючи, що минулого року 91% підприємств стали жертвами інцидентів у ланцюгах постачання програмного забезпечення, нагальність посилення контролю над зазначеними напрямами неможливо переоцінити. У звіті запропоновано інтегрувати стратегії безпеки API безпосередньо в робочі процеси DevOps, розглядаючи процес безперервної інтеграції та безперервного доставлення (CI/CD) як критично важливу сферу загроз.

Вирішення викликів безпеки Інтернету речей та операційних технологій

Зростання кількості пристроїв з технологіями Інтернету речей створює ще один виклик для керівників відділів інформаційної безпеки. Датчики Інтернету речей, які використовуються в промислових системах управління (ICS), все частіше стають мішенями для кібератак. За даними компанії Forrester, інциденти, пов’язані з атаками на пристрої Інтернету речей, не тільки більш поширені, але й приводять до більших збитків, порівняно з атаками на пристрої, що не належать до Інтернету речей. Це робить впровадження надійних заходів безпеки, таких як архітектура нульової довіри, вкрай необхідним для забезпечення захисту цих вразливих точок входу в систему.

Прагматичне бюджетування та стратегічне лідерство

В перспективі Forrester радить керівникам департаментів інформаційної безпеки застосовувати прагматичний підхід до бюджетування, зосередившись на таких сферах, як безпека хмарних технологій, модернізація локальних технологій безпеки та підвищення рівня обізнаності з питань безпеки. Очікується, що ці сфери призведуть до значного збільшення бюджетів, а витрати на хмарну безпеку у 2025 році зростуть на 10% або навіть більше.

Зрештою, звіт Forrester закликає до перегляду ставлення до кібербезпеки в організаціях. Замість того, щоб розглядати кібербезпеку виключно як стримувальний фактор, її слід розглядати як рушій зростання, здатний збільшувати доходи та сприяти досягненню бізнес-цілей. Застосовуючи стратегічний підхід до бюджетування та витрат, керівники відділів інформаційної безпеки можуть підвищити свою роль в організації, потенційно підпорядковуючись безпосередньо генеральному директору та ключовим виконавчим менеджерам. Така позиція дозволить їм вести свої компанії через дедалі ширший спектр загроз, забезпечуючи не лише захист від них, але й сприяючи успіху в бізнесі завдяки інвестиціям у кібербезпеку.