Analisi comparativa del budget per la sicurezza informatica nel 2023
#17Febbraio #BigData #CloudComputing #Contributors #Security
Contenuto originale di CloudTweaks
Sapere su quali aree concentrarsi in un budget per la sicurezza informatica per generare il valore aziendale più significativo è un'abilità indispensabile per i CISO.
Deloitte ha recentemente scoperto che la sicurezza informatica è fondamentale per la trasformazione digitale basata sul cloud, rappresentando quasi il 50% del successo delle iniziative. Considerando che il benchmarking e il budgeting sono il primo passo per incrementare le entrate e far progredire la propria carriera, i CISO devono sfruttare ogni opportunità per collegare le proprie spese all'aumento delle entrate.
Questa mentalità è essenziale per i CISO che vogliono ottenere una posizione a livello di consiglio e dimostrare di sapere come utilizzare i budget per la sicurezza informatica per aiutare a supportare e aumentare le entrate.
"Vedo sempre più CISO entrare a far parte dei consigli di amministrazione", ha dichiarato il cofondatore e CEO di CrowdStrike George Kurtz durante un keynote al Fal.Con annuale della sua azienda. “Penso che questa sia una grande opportunità per tutti qui [al Fal.Con e nel settore] per capire il loro impatto su un'azienda. Dal punto di vista della carriera, è fantastico far parte di quella sala riunioni e aiutarli nel viaggio.
Sapere quanto consolidamento è sufficiente
I CISO che lo ottengono stanno trasformando la complessità dei loro stack tecnologici e gli elevati costi di manutenzione in opportunità di consolidamento che migliorano la resilienza informatica, aumentano la visibilità e il controllo e riducono le lacune nella loro posizione di sicurezza. Il consolidamento è un dato di fatto per ogni CISO che eredita uno stack tecnologico ampio, complesso e costoso che deve essere ridotto per migliorare la scalabilità.
CrowdStrike è stato all'inizio nell'individuare la necessità di supportare i CISO che devono consolidare gli stack tecnologici per aumentare le entrate. Elaborando una strategia di crescita a vantaggio della loro crescita e delle posizioni di sicurezza dei loro clienti, CrowdStrike aiuta i clienti a trovare il miglior equilibrio possibile tra consolidamento e nuovi investimenti in software e servizi. Fornendo una metodologia e benchmark basati internamente, CrowdStrike ha una solida esperienza nell'aiutare i clienti a comprendere il livello ottimale di consolidamento dati i loro requisiti aziendali unici.
Come CrowdStrike, Palo Alto Networks ha definito una strategia di consolidamento per i suoi clienti. Sebbene le loro strategie di consolidamento differiscano, sia CrowdStrike che Palo Alto Networks cercano di portare una maggiore scalabilità attraverso risparmi sui costi, generando al contempo entrate di upsell e cross-sell. Ciascuno mantiene una forte attenzione all'ottenimento di budget e benchmark corretti.
Quantifica il rischio per ottenere il buy-in del consiglio di amministrazione
La vendita di un consiglio di amministrazione e di un amministratore delegato con un budget per la sicurezza informatica deve iniziare definendolo in termini che attirino rapidamente l'attenzione e il consenso. I CISO dicono a VentureBeat che hanno maggior successo nel vincere le battaglie sul budget spiegando il rischio di entrate negative della mancata protezione di un'area aziendale, quindi utilizzando quei dati per quantificare i rischi informatici.
Rafforzare ulteriormente le ragioni dell'approvazione del budget per la sicurezza informatica richiede di spiegare il potenziale impatto di una violazione sui ricavi e i rischi di non disporre di uno specifico sistema di rilevamento e risposta alle minacce. Questo deve essere quantificato con dati sul rischio informatico e rafforzato con benchmark standard del settore. I Chief Risk Officer (CRO) e i CISO che collaborano ed eccellono nella quantificazione del rischio informatico hanno maggiori possibilità di ottenere il finanziamento dei propri budget.
La quantificazione del rischio informatico è una tecnica per definire ed espandere i budget per strutture e iniziative di sicurezza zero-trust.
"La quantificazione del rischio aiuta a valutare il valore dei progetti di sicurezza informatica utilizzando un quadro comunemente compreso che attribuisce un valore finanziario a ciascuna decisione prioritaria basata sulla modellazione statistica del rischio e della perdita attesa", scrive Mark Tattersall nel suo post sul blog The Business Case for Risk Quantification.
La quantificazione del rischio è essenziale per il benchmarking nel giusto contesto, in modo che i CISO possano disporre di guardrail per prendere le decisioni migliori.
Il benchmarking della sicurezza informatica è essenziale per far crescere un'azienda
Come ha detto Kurtz al Fal.Con: “L'aggiunta della sicurezza dovrebbe essere un fattore abilitante per il business. Dovrebbe essere qualcosa che aumenta la resilienza della tua azienda e dovrebbe essere qualcosa che aiuta a proteggere i guadagni di produttività della trasformazione digitale".
I commenti di Kurtz si sono rivelati preveggenti, poiché uno studio di Deloitte completato più tardi nel 2022 ha quantificato quanto sia fondamentale la sicurezza informatica per tutte le iniziative di trasformazione digitale, con il cloud come il più importante.
"Ciò significa che la sicurezza è ora un fattore trainante della strategia aziendale piuttosto che sepolta come elemento pubblicitario operativo solo per essere gestita e misurata come un costo", ha dichiarato Chris Gilchrist, analista principale di Forrester, durante una sessione al Forrester's Security and Risk Forum 2022 "In altre parole, la sicurezza ora ha la possibilità di difendere e guidare la crescita".
Di Luigi Colombo
Leggi la fonte completa: VentureBeat