Эксперты разработали эвристическую модель для обоснования инвестиций в кибербезопасность

Juniper Networks в партнерстве с корпорацией RAND, некоммерческой организацией, которая помогает улучшить политики и принятие решений на базе исследований и анализа, представили новое понимание экономических проблем, компромиссов и требований, с которыми сталкиваются компании при попытке противостоять растущим угрозам безопасности.icon
Экперты по безопасности и экономике RAND утверждают, что зачастую специалисты по  информационной безопасности (CISO — chief information security officers)  сталкиваются с хаотичностью и неопределенностью, когда необходимо выбрать наиболее эффективный и экономичный способ управления рисками безопасности бизнеса. Многие компании, расходуя большее количество средств на инструменты кибербезопасности, не уверены, что эти инвестиции делают их инфраструктуру реально безопасной.
Juniper Networks считает, что эта тенденция существует из-за недостатка точных вычислений, которые бы учитывали как стоимость средств безопасности и ресурсов, так и потенциальные расходы на взломы, которые по определению не предсказуемые. CISOs нужны инструменты для соотношения  переменных целостно влияющих на стоимость управления рисками кибер-безопасности и различными решениями для защиты организаций. Чтобы удовлетворить эту потребность RAND разработала эвристическую экономическую модель, которая впервые отображает основные факторы и решения, которые влияют на стоимость кибер-рисков для организаций и которая отражена в отчете «The Defender’s Dilemma: Charting a Course Toward Cybersecurity»
В модели RAND принято во внимание, что риски будут увеличиваться на 38% в течение ближайших 10 лет.  Juniper считает, что сейчас самое время для организаций начать управление расходами безопасности и управления рисками как отдельными бизнес-функциями.

Данная модель разработана по такому же принципу как различные общепринятые бизнес-модели, которые помогают организациям понять и достичь своих стратегических маркетинговых и торговых целей и задач.  Специалистам по безопасности нужен инструмент для лучшего понимания экономики управления рисками безопасности, диапазон сопричастных переменных, и какие инвестиции требуются, чтобы более эффективно защищать инфраструктуру.

Основные моменты:

Juniper Networks выделяет пять основныхdiagramm_ факторов, подтвержденных моделью RAND, которые компании должны серьезно рассмотреть для понимания их позиции безопасности:

 

  1. Многие системы защиты теряют стоимость. Компаниями необходимо осторожней инвестировать и внедрять новые инструменты, так как через 10 лет эффективность многих технологий упадет на 65% в связи с тем, что хакеры постоянно развивают меры обхода защиты новых систем. Особое внимание следует обратить на улучшение управления системой безопасности, совершенствование политик безопасности и автоматизацию.
  2. Интернет вещей (IoT). Согласно исследованию RAND, Интернет вещей окажет существенное влияние на системы защиты, однако неизвестно, будет ли эффект позитивным или негативным. Если технологии защиты будут применяться к Интернету вещей должным образом, компании в долгосрочной перспективе сэкономят. Однако модель RAND допускает, что внедрение IoT увеличит связанные с кибер-атаками потери компаний на 30% в течение ближайших 10 лет.
  3. Инвестирование в рабочую силу приведет к меньшим потерям. Компании могут серьезно выиграть, создавая систему безопасности, ориентированную на людей — тренинги для сотрудников, найм дополнительного персонала по безопасности, системы автоматизации управления. Исследование RAND свидетельствует, что компании, которые серьезно относятся к построению системы безопасности, смогут сократить расходы на управление рисками на 19% в течение года и на 28% к десятому году по сравнению с другими компаниями.
  4. Единого рецепта не существует. Исследование RAND выявило, что крайне небольшое количество компаний имеют оптимальную стратегию инвестирования, учитывающую их особенности. К примеру, для малого и среднего бизнеса эффективней вкладывать в основные инструменты и политики, в то время как крупным организациям требуется широкий спектр систем для защиты от кибер-атак.
  5. Для снижения затрат необходимо устранять уязвимости ПО. Потери бизнеса при кибератаках напрямую зависят от количество уязвимостей в ПО и приложениях. Если сократить их наполовину, в целом расходы на системы кибер-защиты снизятся на 25%.