O que os líderes de segurança cibernética acertam

Diretores de segurança da informação enfrentam um desafio em constante evolução. O cenário de ameaças está mudando o tempo todo, exigindo vigilância implacável. No entanto, mesmo quando os CISOs buscam melhorar a postura de segurança de sua empresa, eles devem lidar com escassez de talentos e prioridades de orçamento concorrentes. Para entender melhor essas questões, o BCG recentemente fez uma parceria com a GLG, uma empresa de pesquisa que serve principalmente ao setor financeiro, para pesquisar mais de 350 segurança cibernética Líderes de empresas em todo o mundo. ¹ 1 A pesquisa foi realizada em junho de 2024. Os entrevistados eram de empresas de vários tamanhos e de uma variedade de mercados e indústrias geográficas. Esta foi a segunda pesquisa anual de segurança cibernética da BCG; O primeiro foi realizado em 2023.

Takeaways-chave de nossa análise incluem o seguinte:

• Overall, cyber maturity is growing—especially in areas like cybersecurity governance, risk, and compliance—but gaps remain.
  
• CISOs are worried about growing threats but also about controlling spending.
  
• Cyber-mature organizations distinguish themselves in unglamorous but important ways like governance and coordination among IT, business, and cybersecurity.
  
• AI-enabled threats are no longer hypothetical; the majority of CISOs have faced AI-powered phishing and malware attacks, and most CISOs are eager to use AI Ao revidar. Nossa pesquisa, as empresas se avaliaram com a eficácia de 12 melhores práticas em segurança cibernética, da proteção de dados à resposta a incidentes e ao gerenciamento de riscos cibernéticos de terceiros. No geral, as pontuações da empresa aumentaram na maioria das 12 áreas de 2023 para 2024, indicando que a maturidade cibernética está crescendo. Os maiores ganhos foram na governança de segurança cibernética, risco e conformidade (um aumento de 8 pontos percentuais), impulsionados por crescentes pressões regulatórias e uma maior consciência da importância das práticas de governança interna. A continuidade dos negócios e as pontuações de resiliência também aumentaram, um aumento de 8 pontos percentuais.
  
•  Although most CISOs say they want to reduce their vendor count, the real story is much more nuanced, with many continuing to expand in select segments.

These findings offer critical insights for cybersecurity executives, investors (including PE firms), and vendors.

Cyber Maturity Is Growing

In our survey, companies assessed themselves on how effectively they have adopted 12 best practices in cybersecurity, from data protection to incident response and third-party cyber risk management. Overall, company scores increased across most of the 12 areas from 2023 to 2024, indicating that cyber maturity is growing. The biggest gains were in cybersecurity governance, risk, and compliance (an increase of 8 percentage points), driven by growing regulatory pressures and an increased awareness of the importance of internal governance practices. Business continuity and resilience scores also increased, up 8 percentage points.

Apesar desse progresso, algumas lacunas críticas permanecem. Por exemplo, apenas 25% das empresas alcançaram a pontuação mais alta para a segurança de aplicativos, e apenas 22% o fizeram na proteção de dados ou gerenciamento de riscos da cadeia de suprimentos de software. (Ver Anexo 1.) O gerenciamento de riscos cibernéticos de terceiros também é uma prioridade central, mas apenas 28% das empresas atingiram a pontuação mais alta. prioridades concorrentes de TI (46%). Entre as maiores preocupações para os CISOs em nossa pesquisa estão a crescente frequência de ameaças conhecidas, como Ransomware (citado como crítico em 81%dos entrevistados), garantindo que a mitigação de riscos mantenha ritmo com a inovação tecnológica (74%) e o cenário cada vez mais complexo da cibercomão e da listagem (67%). Essa disparidade - com ameaças crescentes, uma preocupação maior do que o controle dos gastos - sustenta a maioria dos setores. (Veja o Anexo 2.)

Among the biggest barriers to improved cybersecurity are talent shortages (cited by 59% of CISOs, more than any other factor), insufficient budgets (53%), and competing IT priorities (46%).

Shifting Priorities in an Ever-Changing Cyber Landscape

The range of cyber threats is growing, and their frequency is increasing. Among the greatest concerns for the CISOs in our survey are the rising frequency of known threats such as ransomware (cited as critical by 81% of respondents), ensuring that risk mitigation keeps pace with tech innovation (74%), and the increasingly complex landscape of cyber and privacy regulations (67%).

Lower on the list of priorities is controlling cyber spending (54%). This disparity—with growing threats a bigger concern than controlling spending—holds true across most industries. (See Exhibit 2.)

Although every organization is different, overall spending levels are growing, with 76% of respondents expecting an increase in cybersecurity spend this year. Moreover, that growth is accelerating; respondents estimated that their cyber spending increased by 9% in 2023 and will increase by 11% this year. (Spending estimates for Asia-Pacific companies were higher than for companies in North America and Europe.)

When asked to pick three products they expected to see the largest spend increase in, companies reported:

• Zero-trust network access (cited in the top three by 21% of respondents)
  
• Identity and access management (cited in the top three by 17% of respondents)
  
• Gerenciamento de postura de segurança em nuvem (citado entre os três primeiros por 14% dos entrevistados)
  
• segurança de dados (citada entre os três primeiros por 13% dos entrevistados)

But spending more does not correlate with greater cyber maturity. Nearly half of the least mature organizations in our survey allocate more than 10% of their IT spend to cyber. These companies may be throwing money at the problem, instead of investing strategically. They may also be paying the price—literally—for sticking with outdated IT systems, or trying to play catch-up after years of underinvestment.

Conversely, 40% to 45% of highly cyber-mature organizations allocate less than 10% of their IT spending to cyber. Many of these companies are “spending smart”—and capitalizing on previous wise cyber investments. Some are also reaping benefits from creating a modern, consolidated IT environment. Advanced companies are far more likely than unprepared firms to measure cyber investment ROI systematically.

How Cyber-Mature Organizations Set Themselves Apart

We segmented companies into five tiers based on their level of cyber maturity (recall Exhibit 1 above) and identified a number of features that separate cyber-mature organizations from the rest of the pack:

•   Responsabilidade. Para as organizações entre os dois primeiros ("avançados" e "proativos") de desempenho, os CISOs são mais propensos do que outras partes interessadas, como proprietários de produtos ou unidades de negócios, de serem diretamente responsáveis ​​pelos aspectos da segurança cibernética. Nessas empresas, os líderes de CISOs e tecnologia possuem a agenda de segurança cibernética, e essa responsabilidade leva a uma maior probabilidade de que medidas defensivas amplamente direcionadas sejam implementadas. Evento.
  
• Coordinating IT Recovery and Business Continuity. Among high-maturity organizations, more than 80% combine business processes and IT asset recovery priorities when planning recovery from an enterprise-wide cyber event.
  
• Tomada de decisão centralizada. Por exemplo, cerca de 10% mais organizações no nível superior gerenciam centralmente funções como testes de segurança de aplicativos e segurança de produtos dentro da equipe do CISO. Entre as empresas menos maduras, essas decisões são normalmente tomadas pelas equipes de produtos. Entre as ameaças específicas, a engenharia social habilitada para AI (como ataques de phishing) foi citada como a principal preocupação, considerada uma questão significativa ou crítica a ser abordada nos próximos 12 meses por 57% dos CISOs. Isso foi seguido por malware de AI-I-iable (52%) e fraude habilitada para AI (49%). Desafios regulatórios, privacidade e outros fatores estavam mais abaixo no ranking de ameaças. (Veja o Anexo 3.) Cyber-mature organizations are characterized by more centralized decision making regarding cyber solutions. For example, about 10% more organizations in the top-performing tier centrally manage functions like app security testing and product security within the CISO team. Among less mature companies, those decisions are typically made by product teams.

AI Poses a New Threat—and a Potential Solution

A major theme in the survey responses was the increasing prevalence of AI. Among specific threats, AI-enabled social engineering (such as phishing attacks) was cited as the top concern, considered either a significant or a critical issue to address over the next 12 months by 57% of CISOs. That was followed by AI-enabled malware (52%) and AI-enabled fraud (49%). Regulatory challenges, privacy, and other factors were all further down in the threat rankings. (See Exhibit 3.)

CISOS também observou que ai e Genai poderia aumentar a ameaça cibernética em outras áreas, incluindo segurança de dados, gerenciamento de identidade e acesso e segurança de aplicativos. Todos foram citados por 35% a 45% dos CISOs como categorias de produtos cibernéticos que precisam de aprimoramentos para abordar as ameaças relacionadas a Genai. Entre os entrevistados, 38% sofreram pelo menos um ataque usando a geração de código maliciosa de AII ou Genai nos últimos 12 meses. Os números são ainda maiores para malware incorporado aos ataques de phishing automatizados de IA (59%) e AI-A-i-aprimorados (72%). Os fornecedores de segurança cibernética estão começando a incorporar o Genai em seus produtos, e os CISOs são receptivos. Soluções cibernéticas com genai ou estão em processo de implementá-las. Contagem de fornecedores

Notably, the survey also showed that AI (including GenAI) is no longer a hypothetical threat. Among respondents, 38% have experienced at least one attack using AI- or GenAI-powered malicious code generation in the past 12 months. The numbers are even greater for malware embedded with AI (59%) and AI-enhanced automated phishing attacks (72%).

At the same time, GenAI poses a potential solution to some of these problems, reflecting the arms race nature of cybersecurity. Cybersecurity vendors are starting to incorporate GenAI into their products, and CISOs are receptive.

• 75% expressed some degree of openness and comfort with exploring GenAI-powered solutions.
  
• More than 60% of CISOs would prefer to purchase GenAI solutions from existing cyber vendors, rather than from new players or specialists.
  
• 18% are already using GenAI-powered cyber solutions or are in the process of implementing them.
  
• CISOs are willing to pay a premium of approximately 10% for GenAI-enabled solutions—especially those who are already implementing or who plan to implement such solutions.

These trends suggest an emerging opportunity for cybersecurity vendors.

CISOs Want to Reduce Their Vendor Count

Nossa pesquisa anterior em 2023 mostrou que as empresas estavam buscando consolidar seus fornecedores de segurança cibernética, e os resultados para 2024 mostram que a tendência acelerou. Na maioria das categorias de produtos, mais entrevistados planejam consolidar sua base de fornecedores do que expandi -la. A diferença é particularmente acentuada em áreas como firewall e detecção e resposta de rede, com uma diferença líquida de 15 pontos percentuais a favor da consolidação.

O principal motivo? Os CISOs citam melhores resultados de segurança, seguidos de economia de custos e desejo de simplificar a implementação e o gerenciamento de fornecedores. Além disso, a lógica para consolidação de fornecedores varia de acordo com o nível de maturidade. As empresas mais maduras se concentram nas implicações de segurança da integração nativa entre as ferramentas. Por outro lado, empresas menos maduras tendem a priorizar a economia de custos, a facilidade de operações e a facilidade de implementar e manter as ferramentas. (Consulte o Anexo 4.)

A linha de fundo para as partes interessadas

nossa análise sugere várias prioridades para as partes interessadas. Conformidade, continuidade dos negócios e identificação de ameaças ao longo da cadeia de suprimentos de software. A equipe Central CISO deve desempenhar um papel maior no planejamento da postura cibernética geral da empresa, incluindo uso de tecnologia, suporte para unidades de negócios,

Priorities for CISOs. First, CISOs must increase their focus on cyber governance and compliance, business continuity, and identification of threats along the software supply chain. The central CISO team should play a bigger role in planning the overall cyber posture of the enterprise, including tech usage, support for business units, Risco e conformidade e supervisão das equipes de produção digital.

prioridades para investidores. Os provedores também devem procurar integrar a Genai em seus produtos e podem considerar ofertas de serviços para apoiar o CISOs ao lidar com a escassez de talentos cibernéticos e as prioridades de TI concorrentes. para fornecedores de segurança cibernética. Além disso, eles precisam renovar seu marketing para educar os clientes e reforçar as maneiras pelas quais seus produtos estão melhor posicionados do que os dos concorrentes. Armado com o conhecimento de que os CISOs estão buscando consolidar fornecedores, os provedores de segurança cibernética devem enfatizar a simplicidade de usar um único fornecedor - enquanto também escorando suas defesas para que os clientes não sejam expostos excessivamente a um único fornecedor. Private equity firms with investments in cybersecurity vendors should push companies to develop more advanced, comprehensive solutions in order to capitalize on the trend toward vendor rationalization. Providers should also seek to integrate GenAI into their products, and they can consider service offerings to support CISOs in dealing with cyber talent shortages and competing IT priorities.

Building out the portfolio in this way requires investment, so firms should assess potential disruptions to the competitive landscape—particularly among large platform players like Microsoft—before making bold bets.

Priorities for Cybersecurity Vendors. Vendors need to continue building out their offerings by improving capabilities and incorporating GenAI. In addition, they need to revamp their marketing to educate customers and reinforce the ways that their products are better positioned than those of competitors. Armed with the knowledge that CISOs are seeking to consolidate vendors, cybersecurity providers should emphasize the simplicity of using a single vendor—while also shoring up their defenses so that customers are not overly exposed to a single vendor.

---

A segurança cibernética requer vigilância implacável - mas também requer esforço e investimento estratégico. As idéias obtidas com nossa pesquisa podem ajudar CISOs, investidores e vendedores a entender a mudança de cenário de ameaças e as etapas que eles podem tomar para ter sucesso. E-alert.

The authors thank their BCG colleagues Geno Quaid, Morgan Romey, and Renae Tamura for contributions to this article.