Долгие годы мне везло: я имел возможность тратить достаточно средств на внедрение программ кибербезопасности. Я действовал по проверенной схеме: проводил оценку рисков, демонстрировал несколько быстрых побед, составлял бизнес-кейс, и бюджет следовал за ним. Это требовало усилий, но после нескольких циклов процесс казался почти предсказуемым.
Недавний опыт изменил все. Новый начальник, старший вице-президент, сказал мне, когда я вступил в должность: «Нам нужно быть финансово эффективными. Нам необходимо сократить текущие расходы на 10%, учесть инфляцию следующего года, добиться 5%-ной экономии за счет повышения эффективности в следующем году и сделать это так, чтобы новые инициативы финансировались самостоятельно».
Я вспомнил все отраслевые отчеты от Gartner, IDC и других, которые неизменно указывали на ежегодный рост расходов на кибербезопасность, часто на уровне высоких однозначных или двузначных процентов. А мне говорили сокращать, а не расти. Сначала я сопротивлялся. Затем увидел возможность сделать что-то иначе. Вместо того чтобы бороться с цифрами, я начал искать способы сделать команду более эффективной с меньшими затратами. Этот сдвиг открыл новые возможности, которые я никогда раньше не рассматривал.
Когда мы говорим о безопасности, мы обычно не думаем о сокращении мер контроля, затрат или команд, поэтому все, что не связано напрямую с «миссией по снижению рисков», мы воспринимаем как отвлечение. Нас учат добавлять, а не вычитать. Когда деньги есть, мы накапливаем инструменты, увеличиваем команды и гонимся за каждым новым риском. Но изобилие скрывает расточительство. Я видел меры контроля, которыми никто не пользуется, поставщиков, которых никто не проверяет, информационные панели, покрывающиеся пылью, и пересекающиеся команды. В тот момент, когда бюджет сжимается, весь этот беспорядок становится очевидным. Именно тогда вы понимаете, что действительно важно, и где руководство оправдывает свою зарплату.
Эффективность как язык руководства
В условиях финансовых ограничений задача CISO смещается с приобретения на распределение капитала, где центральным вопросом становится, какие действия существенно снижают подверженность рискам и насколько эффективно он выполняет свою работу, учитывая финансовую дисциплину.
Дорожную карту безопасности следует рассматривать как портфель инвестиций, где каждая мера контроля оценивается по стоимости, эффективности и предотвращению потерь. Для повышения ясности и облегчения принятия решений рассмотрите возможность отображения мер контроля на простой матрице «стоимость против эффективности», где размер каждого элемента указывает на риск, который мера контроля устраняет из общего портфеля. Эта визуализация подчеркивает, какие инвестиции обеспечивают значительное снижение рисков на доллар, а какие потребляют ресурсы с ограниченным влиянием.
Авторитет устанавливается не защитой каждой меры контроля, а принятием обоснованных решений и приоритизацией тех, которые обеспечивают измеримое снижение рисков. Перенаправление ресурсов с менее значимых инициатив на те, которые обеспечивают более высокое снижение рисков, является актом управления. Когда мы формулируем компромиссы в финансовых терминах и демонстрируем влияние на подверженность потерям и денежный поток, мы завоевываем доверие быстрее, чем тот, кто просто запрашивает дополнительное финансирование.
Как сделать больше с меньшими затратами
1. Пересмотрите контракты, пересмотрите их или измените операции с новым партнером
Необходимо пересмотреть объем услуг, соглашения об уровне обслуживания и показатели эффективности, поскольку многие контракты были заключены в условиях других профилей рисков, срочности и ценообразования. Модернизация контрактов с акцентом на результаты, а не на действия, переоценка ценовых и сервисных предположений при наличии конкуренции и обмен объемом услуг на измеримую производительность могут привести к структурной экономии. Фиксация многолетних условий при благоприятных ценах и рисках зависимости или использование более коротких сроков продления при наличии рыночного влияния дополнительно способствует повышению эффективности.
Я помню, как сидел с командой и рассматривал контракт, подписанный сразу после крупного киберинцидента. За годы он разросся, добавив одиннадцать поправок, каждая из которых была быстрым решением для последней чрезвычайной ситуации. Мы вернулись к началу, проверили, какие риски мы имели в виду, как услуга фактически использовалась и что мы действительно получали. Оказалось, что мы платили за гораздо большее, чем нам было нужно. Проработав детали вместе, мы обнаружили, что можем получить лучший уровень защиты, сохранив при этом финансирование для обновления SIEM-платформы нового поколения. В других случаях мы просто пересмотрели контракты и сохранили того же партнера, изменив объем услуг.
2. Автоматизируйте рутину
Время часто является самым ограниченным ресурсом в кибербезопасности. Автоматизация рутинных процессов, таких как сортировка, управление заявками, рабочие процессы установки исправлений, анализ пробелов, создание отчетов и стандартные сценарии реагирования, снижает себестоимость инцидента и освобождает квалифицированных специалистов для более ценной работы. Автоматизация должна быть целенаправленным усилием по устранению повторяющихся ручных задач и повышению согласованности в масштабе.
Мы начали с основ: автоматизации отчетов и координационной работы, которые всегда отнимали у нас время. Вместо того чтобы составлять каждый отчет вручную, мы настроили простые потоки с помощью таких инструментов, как Power Automate и Power BI. Внезапно генерация отчетов, занимавшая часы, стала занимать минуты, а количество ошибок сократилось. Наши сценарии реагирования обрабатывали рутинные инциденты. Настоящей победой стало то, что наши аналитики освободились от базовых задач и смогли направить свою энергию на реальные угрозы и решения, требующие их суждений.
3. Сократите административные и неосновные расходы
Эффективность не ограничивается инструментами и поставщиками. Административные расходы, командировки, низкоценные повторяющиеся действия, дублирующиеся отчеты и несущественные услуги могут незаметно накапливаться и увеличивать базовую стоимость. Устанавливая ежеквартальный обзор неосновных расходов и принимая явные решения о прекращении низкоценных видов деятельности, организации могут добиться не только немедленной экономии средств, но и значительного увеличения общей пропускной способности. Эти небольшие сокращения, суммированные за год, могут высвободить существенные суммы, подчеркивая их стратегическую важность.
Мы заглянули дальше очевидных мест — поставщиков и инструментов — и пристально посмотрели на мелкие, повторяющиеся расходы, которые незаметно накапливаются. Некоторые подписки и услуги когда-то имели смысл, но теперь просто лежали без дела, почти не использовались. Я помню, как просматривал сервис сканирования кода и понял, что мы платим за большее, чем нам нужно. Сократив его до соответствия тому, что мы действительно использовали, мы сразу сэкономили деньги, не увеличивая риск. Это стало напоминанием о том, что иногда самые большие выгоды приходят от тихой, тщательной уборки, а не от драматических сокращений.
4. Реструктурируйте команды и аутсорсинг вокруг ценности
Организации по безопасности, как правило, развиваются в разрозненных структурах, определяемых технологическими областями, инцидентами или поставщиками, а не рисками, которыми они должны управлять. Анализ целевой операционной модели включает в себя сознательную реорганизацию команд и партнеров вокруг областей ценности, а не инструментов. Области ценности, или кластеры связанных рисков, приоритизируют согласование управления рисками над технологической сегментацией. Консолидация пересекающихся функций, таких как реагирование на инциденты, управление уязвимостями и разведка угроз в области ИТ, OT и защиты данных, сокращает количество передач, устраняет дублирование и повышает скорость выполнения. Цель состоит не в сокращении штата, а в высвобождении мощностей и лучшем распределении ограниченной экспертизы для наиболее существенных рисков.
Когда мы объединяли команды, мы не сокращали численность персонала. Мы просто перестали позволять группам, таким как реагирование на инциденты и управление уязвимостями, работать изолированно. Сосредоточив всех на одних и тех же рисках, мы облегчили реагирование и развертывание наших экспертов там, где они имели наибольшее влияние. Мы также внимательно изучили аутсорсинг, объединив SOC и MDR для OT, IT и защиты данных в одну операцию. Этот шаг сократил расходы, повысил эффективность и снизил риск.
5. Консолидация инструментов
Многие крупные организации используют несколько решений, предназначенных для одной и той же области риска. Консолидация поставщиков, а не их расширение, уменьшает дублирование поставщиков, снижает затраты и оптимизирует операции. Дисциплина заключается в стандартизации на меньшем количестве платформ, выводе из эксплуатации избыточных инструментов и обеспечении активного использования и измерения оставшегося стека.
Мы склонны покупать новый инструмент для каждого нового риска, который мы обнаруживаем в портфеле, и во многих случаях мы ищем лучшие в своем классе решения для каждого отдельного риска, что также может быть неэффективным, поэтому множество инструментов от разных поставщиков, обычно не интегрированных между собой, создают огромный объем работы, чтобы попытаться поддерживать их управляемыми и хорошо функционирующими.
Будущее за дисциплинированными
Я понял, что руководство с меньшими ресурсами означает, что каждый выбор имеет значение. Решение о том, что прекратить, так же важно, как и то, что начать. Когда мы реструктурировали команды, пересматривали контракты и автоматизировали рутинную работу, мы добились реальной эффективности без потери возможностей. Эти шаги были связаны с дисциплиной, а не просто с сокращением расходов. Взглянув в будущее, лидеры, которые смогут продемонстрировать снижение рисков на потраченный доллар, установят стандарт. Эффективность теперь является знаком лидерства.
Следующее поколение лидеров в области безопасности будет оцениваться не по тому, сколько они тратят, а по ясности и влиянию их решений. В совете директоров доверие возникает из демонстрации компромиссов и их соблюдения, а не из погони за большими бюджетами. Речь идет не о сокращении ради сокращения. Речь идет о лидерстве с дисциплиной. Где в вашей среде вы можете протестировать одно из этих решений в этом квартале и измерить результат?
Эта статья опубликована в рамках Foundry Expert Contributor Network.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Marco Túlio Moraes
