Se você tiver alguma responsabilidade orçamentária tecnológica, é uma pergunta que você ouvirá - muito. “Você está gastando o suficiente em segurança cibernética ? " É perguntado por clientes, acionistas, reguladores, membros do conselho e executivos se perguntando em voz alta se há um preço pelo qual a paz de espírito pode ser comprada Não, e você provavelmente desencadeará uma disputa para comprar algo - tudo - que pode reverter essa resposta e proteger a percepção de negligência. proliferando a falsa crença de que a segurança pode ser garantida simplesmente atingindo algum benchmark orçamentário.
Any leader—including CEO, chief risk officer, chief information security officer, even chief financial officer—who is asked the question will find it tremendously difficult to answer. A “yes” will leave you precariously positioned if—or when—your cybersecurity falters. Say “no,” and you’ll likely trigger a scramble to purchase something—anything—that can reverse that answer and protect you from the perception of negligence. No shortage of vendors will step up to oblige with a plethora of technologies, products, services, promises. But there’s no guarantee that any of these “magic bullets” will really meet your organization’s needs. And if you move forward without proper diligence, you risk spending too much on the wrong thing and proliferating the false belief that security can be ensured simply by meeting some budget benchmark.
A melhor resposta: responda à pergunta com perguntas. Dessa forma, você aprimorará sua compreensão da paisagem e começará a construir competência de segurança cibernética - e resiliência cibernética - aproveitar sua instituição. Então você pode tomar uma decisão informada sobre o que é certo para sua organização. De fato, o Gartner relata que os gastos com segurança média anual por funcionário dobraram, de US $ 584 em 2012 para US $ 1.178 em 2018. Alguns dos principais bancos e empresas de tecnologia têm orçamentos anuais de segurança cibernética que excedem meio bilhão de dólares e continuam a crescer. alocar. Mas é difícil comparar os gastos de uma empresa com qualquer referência. Algumas das principais vozes da indústria prescrevem abordagens muito diferentes para calcular os gastos com segurança cibernética. (Veja Anexo 1.) Essas diferenças refletem algumas verdades fundamentais, percepções errôneas e desconhecidos sobre segurança cibernética nesta fase do jogo. Também não há definição comum ou metodologia contábil para emprestar clareza. É improvável que esse desafio seja resolvido, uma vez que os gastos com segurança cibernética geralmente são implicitamente distribuídos pelos orçamentos de vários departamentos. De fato, a segurança cibernética é inerentemente transversal. Requer parcerias entre TI, risco, fraude, segurança física, conformidade e funções legais; as linhas de negócios; e outros. Alguns dos gastos mais eficazes relacionados à segurança nunca farão parte do orçamento explícito de segurança cibernética. Por exemplo, os altos padrões de segurança aumentarão os custos de compras, porque o fornecedor mais barato pode não ter os recursos e certificações de segurança necessários. Os altos padrões de segurança também podem aumentar os custos de tecnologia: os métodos seguros de desenvolvimento de software exigem mais desenvolvedores, por exemplo, e o uso de criptografia forte para o tráfego da Web requer mais servidores. E a segurança pode aumentar os custos de RH, exigindo verificações e treinamento de antecedentes mais do mundo, ou um processo de revisão com contagem de cabeça intensiva no qual dois conjuntos de olhos devem ser aplicados a todos os principais processos de negócios.
How Much Is Enough?
No surprise, cybersecurity is expensive and becoming more expensive.
As the world becomes ever more reliant on technology, and as cybercriminals refine and intensify their attacks, organizations will need to spend more on cybersecurity. Indeed, Gartner reports that average annual security spending per employee doubled, from $584 in 2012 to $1,178 in 2018. Some of the leading banks and tech companies have total annual cybersecurity budgets that exceed half a billion dollars and continue to grow.
If you are thinking about solving your cybersecurity challenges by purchasing new technology products and services or increasing security staff, you are likely looking for guidance about how much spending to allocate. But it’s hard to compare an individual company’s spending against any benchmarks. Some of the leading voices in the industry prescribe very different approaches to calculating spending on cybersecurity. (See Exhibit 1.) These differences reflect some fundamental truths, misperceptions, and unknowns about cybersecurity at this stage of the game.
Existing regulations offer no specific guidance to help you understand what you are actually spending on security. There’s also no common definition or accounting methodology to lend clarity. This challenge is unlikely to be resolved given that cybersecurity spending is often implicitly distributed across multiple departments’ budgets. Indeed, cybersecurity is inherently transversal. It requires partnerships between the IT, risk, fraud, physical security, compliance, and legal functions; the lines of business; and others. Some of the most effective security-related spending will never be part of the explicit cybersecurity budget. For example, high security standards will drive up procurement costs, because the least expensive supplier might not have the required security capabilities and certifications. High security standards can also increase technology costs: secure software development methods require more developers, for example, and using strong encryption for web traffic requires more servers. And security can drive up HR costs by requiring more-thorough background checks and training, or a head-count-intensive review process in which two sets of eyes must be applied to all key business processes.
There is no existing guidance to help you understand what you are actually spending.
Dadas essas variáveis, a determinação dos gastos apropriados em segurança cibernética deve ocorrer somente após uma avaliação cuidadosa das necessidades e recursos atuais e futuros da sua organização. tem uma capacidade ilimitada para implementar e operar melhorias simultâneas. Essa abordagem “dê a todos e mais alguns” da tecnologia distrai os recursos de melhorias organizacionais e culturais mais eficazes e pode deixar uma organização menos segura.
What Are the Right Questions to Ask?
Although, currently, some chief information security officers (CISOs) reportedly enjoy unlimited budgets that give them access to alluring and expensive new technical solutions, no organization has a boundless capacity to implement and operate simultaneous improvements. Such a “give it our all and then some” approach to technology distracts resources from more effective organizational and cultural improvements, and can leave an organization less secure.
A segurança não é uma camada discreta a ser empilhada no negócio existente. Os CISOs e outros executivos devem colaborar de perto para incorporar segurança na cultura e processo de sua organização. Mais de 70% das violações são causadas por falhas por parte de pessoas e processos, portanto, corrigir esses elementos organizacionais é crucial. (Ver " Construindo uma organização cibernética , ”BCG Artigo, janeiro de 2017.)
Fazer a si mesmo as três perguntas a seguir podem ajudar. (A Figura 2 resume as perguntas - e como se preparar para responder.)
< /
What is our risk appetite? One large government-owned bank in the Americas decided that its public mandate required near-perfect system availability, even in the face of a cyberattack. With this low risk appetite, the bank was willing to invest $250 million on high-performance backup systems—much more than other organizations of similar size would spend. Still, it’s important to bear in mind that even near perfect comes with residual risk that no amount of spending can completely mitigate.
Na maioria das vezes, uma organização deve estar preparada para aceitar um nível de risco que não é quase perfeito - isto é, de fato, um pouco menos do que perfeito. Por exemplo, depois de sofrer uma suspeita de violação, um fabricante industrial dos EUA contratou um fornecedor de tecnologia para enviar paletes de firewalls caros de próxima geração para todos os locais em que o fabricante operava. Em determinados locais, os firewalls foram necessários e usados. Mas ficou claro que eles não eram apropriados em todos os lugares: a empresa tinha uma longa cauda de escritórios muito pequenos que não eram críticos para as operações da empresa, não possuíam dados confidenciais e foram suficientemente separados dos sistemas críticos. Os firewalls caros, com suas despesas gerais de alta administração, não eram a solução certa para esses pequenos escritórios. Em vez disso, a solução certa era aceitar a possibilidade de uma violação barata de sistemas não críticos, em vez de investir milhões para proteger ativos de baixo valor.
As organizações devem aceitar um nível de risco menos que perfeito.
Esses exemplos demonstram três requisitos: primeiro, desenvolva um inventário de ativos para que você saiba o que está protegendo; Esta é uma etapa crucial para garantir que os recursos de segurança sejam implantados onde são mais necessários. Segundo, com esse entendimento estabelecido, defina um apetite por risco para incutir uma direção estratégica em suas decisões de gasto de segurança. Esta é uma responsabilidade fundamental do Conselho de Administração. (Veja Relatório de Davos: Supervisão do Conselho da CyberResilience , BCG e Relatório do Fórum Econômico Mundial, janeiro de 2017.) E, terceiro, no grau possível, avaliam o impacto financeiro dos ataques cibernéticos que você pode enfrentar; Isso é essencial para determinar quanto investir para mitigá -los. Esse terceiro requisito é uma tarefa difícil, como a próxima pergunta explora.
Onde nosso investimento será mais eficaz? A lacuna entre riscos e capacidades é onde o investimento deve ser direcionado. Esse processo é eficaz apenas se os riscos forem quantificados e as capacidades forem medidas com precisão, no entanto. A segmentação de lacunas é apenas um primeiro passo: você também precisa garantir que está gastando de maneiras que sustentem suas capacidades existentes à medida que o ambiente evolui. Caso contrário, basta criar novas lacunas. Getting the most value from your cyber investments requires understanding the risks you are facing, your risk appetite, and the defensive capabilities you currently have. The gap between risks and capabilities is where investment must be targeted. This process is effective only if risks are quantified and capabilities are accurately gauged, however. Targeting gaps is only a first step: you also need to make sure you are spending in ways that will sustain your existing capabilities as the environment evolves. Otherwise, you’ll just create new gaps.
Understand the risks, your risk appetite, and your existing defense capabilities.
CyberRisk, em comparação com outros tipos de risco, como incêndio ou inundação, é um campo novo e em evolução, com dados atuariais valiosos limitados para confiar. (Este é um desafio sério, mesmo para o setor de seguros.) Também é verdade que, dado o ritmo de mudança de tecnologia, os dados anteriores são um proxy ruim para o futuro caos cibernético. Em outras palavras, você nunca tem dados relevantes suficientes, porque a superfície da ameaça muda à medida que os adversários e as plataformas de computação evoluem. Por enquanto, pelo menos, tomar decisões sólidas em relação ao ciberrasck deve envolver reduzir a ambiguidade ao mínimo e aceitar que algum grau de ambiguidade é inevitável. Tais avaliações são um bom começo, mas as escalas ordinais são insuficientes porque o risco "alto" de uma pessoa pode ser uma probabilidade de 50%, enquanto a outra pode ser de 70%. Esses dois números têm implicações fundamentalmente diferentes de quanto investir para mitigar o risco. Você precisa ir além, anexando probabilidades numéricas e, eventualmente, estimativas monetárias aos riscos, emprestando transparência e semelhança. O raciocínio numérico fornece clareza de tomada de decisão e a precisão da ordem de magnitude é útil e possível. É difícil tomar uma decisão de ROI como executivo de negócios sem poder comparar maçãs com maçãs e dólares com dólares. Eles devem avançar com as melhores informações e melhores instintos que têm. Em seguida, eles podem recorrer à construção da resiliência organizacional necessária para abordar e se recuperar das incógnitas desconhecidas.
That is illustrated by the experience of one large health care provider, which originally assessed its cybersecurity risks on an ordinal scale—high, medium, and low. Such assessments are a good start, but ordinal scales are insufficient because one person’s “high” risk can be a 50% probability while another’s can be 70%. Those two figures have fundamentally different implications for how much to invest to mitigate risk. You need to go further by attaching numerical probabilities and eventually monetary estimations to the risks, lending transparency and commonality. Numerical reasoning provides decision-making clarity, and order-of-magnitude accuracy is both useful and possible. It’s hard to make an ROI decision as a business executive without being able to compare apples to apples and dollars to dollars.
It’s true that unforeseen and unimagined dangers lurk, but decision makers cannot be paralyzed by the specter of these possibilities. They must move forward with the best information and best instincts they have. Then, they can turn to building the organizational resilience necessary to address and recover from the unknown unknowns.
Os tomadores de decisão não podem ser paralisados pelo desconhecido.
Depois de entender os possíveis riscos e seu impacto em sua empresa, você pode começar a medir quanto risco é mitigado pelos recursos existentes e onde estão as lacunas. Aqui, é crucial entender não apenas quais recursos você tem no papel, mas com que eficácia implementou e operou esses recursos realmente. A diferença entre o que se acredita existir e o que está fornecendo valor operacional pode ser amplo. Como as auditorias de segurança geralmente buscam apenas garantir a conformidade com os regulamentos, um dos investimentos mais valiosos que uma empresa pode fazer é obter uma segunda opinião holística sobre sua maturidade real: uma avaliação baseada no risco comercial, não na mera conformidade. A realidade ciberrasiliência requer muito mais teste de pressão e entendimento dos negócios do que está contido em uma lista de verificação para uma auditoria de conformidade. (Ver
One large consumer packaged goods company that had been relying on an external auditor to assess its cyberrisk and maturity discovered—after a breach—that its auditors had repeatedly mismeasured its capabilities. Because security audits often seek only to ensure compliance with regulations, one of the most valuable investments a company can make is to get a holistic second opinion regarding its actual maturity: an assessment based on business risk, not mere compliance. Real cyberresilience requires much more pressure testing and business understanding than is contained in a checklist for a compliance audit. (See A segurança cibernética atende ao gerenciamento de riscos de TI: um sistema imunológico e de defesa corporativo= , BCG Focus, setembro de 2014, atualizado em outubro de 2018.)
Como fazemos nossos investimentos funcionarem? Depois de identificar as maiores lacunas entre seus riscos e suas capacidades, você sabe onde gastar. Em seguida, você deve determinar como gastar - mas não assume que isso significa necessariamente que você precisa comprar algo novo.
Em nossa experiência, as organizações raramente usam todas as ferramentas e recursos de segurança que compraram. Por exemplo, uma empresa de serviços profissionais planejava comprar um sistema que permitisse testar anexos de email em um ambiente seguro e “sandbox” antes que eles pudessem prejudicar os computadores da empresa. No meio do processo de planejamento, a empresa contratou um novo CISO, que descobriu que o Gateway de segurança de e-mail que a empresa já possuía tinha um recurso não utilizado para a caixa de areia. Sua equipe permitiu o recurso e ganhou a funcionalidade, com um custo mínimo adicional ou complexidade de gerenciamento. Antes de embarcar em investimentos ambiciosos ou ser vítima da atração brilhante-novo-objeto, é fundamental verificar se os recursos que você procura ainda não estão em mãos.
Organizations rarely use all the security tools they have purchased.
Algumas ferramentas ou funcionalidades serão realmente novas em uma organização, é claro. Nesses casos, é importante considerar o custo implícito da implantação, execução e gerenciamento de uma nova solução. Algumas soluções de segurança são verdadeiramente prontas para a mão-adquiridas para uma ferramenta existente que aproveita uma interface de usuário semelhante, por exemplo. (Mesmo aqueles, porque induzem mudanças, podem ter custos ocultos de processo.) Mas muitos não são. Por exemplo, uma pequena instituição financeira investiu em uma solução de monitoramento de última geração e feed de inteligência de ameaças-apenas para descobrir que sua equipe existente não tinha capacidades e conhecimentos para integrar essas soluções ao fluxo de trabalho de segurança. Novas ofertas geralmente exigem que a equipe de segurança existente suba uma curva acentuada de aprendizado; Eles podem até exigir a contratação de mais funcionários. Geralmente, essa é uma proposta cara, dada a enorme lacuna de talentos no campo da segurança. (Ver Como ganhar e desenvolver talentos e habilidades digitais , BCG Focus, julho de 2017.)
Outro elemento de custo que geralmente é esquecido ao tomar decisões de compra: o impacto da produtividade que uma nova ferramenta pode ter na produtividade da empresa - um custo exacerbado se a ferramenta for pouco implementada. Um escritório corporativo, por exemplo, introduziu uma solução para a prevenção de perda de dados que, como efeito colateral, reduziu drasticamente as taxas de transferência de dados e a estabilidade do sistema. Nesse caso, o dinheiro economizado pela implementação da ferramenta sem o teste de campo adequado foi trivial em comparação com o efeito negativo nos negócios. À medida que você passa para a fase de implementação, é importante não apenas documentar os recursos usados da nova ferramenta, mas também para inventariar os recursos não utilizados, caso você precise habilitá -los posteriormente. Algumas organizações líderes até registram os recursos ausentes para que possam cutucar o fornecedor para implementá -los em uma iteração posterior.
Finding the resources to run a proof of concept or pilot can pay big dividends. As you move into the implementation phase, it is important not only to document the used features of the new tool but also to inventory unused features in case you need to enable them later. Some leading organizations even log missing features so that they can nudge the vendor to implement them in a later iteration.
Mas quanto é demais? Uma empresa estava fazendo um investimento significativo em gerenciamento de identidade e acesso (IAM; a capacidade de garantir que as pessoas certas tenham o acesso certo aos ativos certos). O benchmarking mostrou que essa organização estava, de fato, gastando mais do que seus colegas. Mas, após uma análise mais aprofundada, descobrimos que esse comportamento de gastos não sinalizava que o IAM era uma prioridade, como seria de esperar, mas que a capacidade do IAM era imaturamente e negligenciada e, portanto, uma fonte de excesso de gasto ineficiente. A empresa tinha uma grande equipe de pessoas conduzindo manualmente os processos administrativos de IAM que podem e deveriam ter sido automatizados. Ao investir em sistemas consolidados e processos automatizados, a empresa aumentou sua maturidade do IAM e reduziu os custos.
Regardless of what happens with the budget, it will still be necessary to monitor for misspending and overspending.
We see many companies working to optimize their security portfolio spending to make each dollar deliver greater value, by utilizing all the features of existing solutions and adopting new approaches, such as security automation and managed security services. One company was making a significant investment in identity and access management (IAM; the ability to ensure that the right people have the right access to the right assets). Benchmarking showed that this organization was, in fact, spending more than its peers. But upon further review, we found that this spending behavior signaled not that IAM was a priority, as one would expect, but that the IAM capability was immature and neglected and thus a source of inefficient overspending. The firm had a large team of people manually conducting routine administrative IAM processes that can, and should, have been automated. By investing in consolidated systems and automated processes, the firm increased its IAM maturity and reduced costs.
It is still necessary to monitor for misspending and overspending.
e existem outras maneiras de liberar dinheiro para novos investimentos em segurança enquanto trabalha dentro de um orçamento existente-alavancas de economia de custos como renegociação de custos de licença, por exemplo, e consolidando funções duplicadas. Mas quando se trata de segurança, a redundância geralmente é uma coisa boa, então você precisa distinguir entre os processos e soluções extras que não agregam valor adicional e aqueles que emprestam redundância útil ou limitam o risco inerente às monoculturas, que dependem de uma única solução e, portanto, são menos resilientes. Você está gastando demais na segurança quando simplesmente paga muito pelo que obtém (um problema de compras, por exemplo) ou se estiver fornecendo um nível mais alto de proteção do que seus mandatos de tolerância ao risco. Nesse caso, a redução do orçamento de segurança é apropriada, mas as empresas que fazem isso precisam suportar o apetite por risco que definiram. Eles devem entender seu risco e aceitar certas interrupções ou violações não como falhas da administração, mas como o custo calculado estrategicamente de fazer negócios. Isso exige que os gerentes seniores se comprometam a respeitar os limites que eles estabeleceram; Quando as violações ocorrem, eles não devem punir um CISO por perder expectativas mais altas que não foram articuladas, acordadas e financiadas. Por exemplo, quando um grande banco identificou hackers atacando seus sistemas, ele monitorou sua atividade para aprender com ele, em vez de se mover imediatamente para detê -los; Somente depois que os atacantes roubaram mais de US $ 10 milhões, ele tentou expulsá -los. (Esse tipo de limite deve ser acordado antecipadamente, mas o número real deve ser bem guardado; caso contrário, uma organização com um limite de US $ 10 milhões verá muitos ataques que causam danos de apenas US $ 9,5 milhões.)
Overspending is as important a consideration as misspending. You are overspending on security when you simply pay too much for what you get (a procurement problem, for instance) or if you are providing a higher level of protection than your risk tolerance mandates. In this case, reducing the security budget is appropriate, but companies that do this need to stand by the risk appetite that they have defined. They must understand their risk and accept certain interruptions or breaches not as failures of management but as the strategically calculated cost of doing business. This requires that senior managers commit to respect the thresholds they have set; when breaches occur, they should not punish a CISO for missing higher expectations that were not articulated, agreed upon, and funded.
At the most advanced maturity levels, companies treat minor cybersecurity incidents as opportunities to raise awareness and sharpen response and recovery procedures that will be needed in the event of a major breach. For example, when one large bank identified hackers attacking its systems, it monitored their activity in order to learn from it rather than moving immediately to stop them; only once the attackers had stolen more than $10 million did it try to expel them. (This kind of threshold should be agreed upon up front, but the actual number should be well guarded; otherwise, an organization with a $10 million limit will see a lot of attacks leading to damages of only $9.5 million.)
Como mostra o exemplo, tenha cuidado com a complacência. É necessário melhorar continuamente a segurança apenas para acompanhar os bandidos que estão sempre inovando. Isso não precisa gerar errado ou gastar excessivamente. Um departamento de segurança bem executado pode entrar em um ciclo virtuoso no qual a economia de custos baseada em eficiência gerada por novos investimentos libera dinheiro para a próxima rodada de investimentos.
Quem tem as respostas? Não é a pergunta -chave a ser feita ao avaliar a segurança cibernética, mas admitir que é onipresente. Quando for solicitado, e será, a maioria das empresas recorrerá ao seu CISO, que pode ou não ser capaz de responder. Por fim, porém, o Conselho de Administração e o C-Suite são responsáveis. Depois de fazer e responder às perguntas verdadeiramente necessárias (resumidas no Anexo 2), você pode desenvolver uma estratégia de segurança baseada em risco pela qual possa apoiar. Você estará preparado para justificar, com maturidade robusta e avaliações de risco, suas decisões de gastos, se eles envolvem diminuição ou aumento de gastos de segurança ou manutenção de um nível menor ou mais do que a mediana entre seus pares.
We maintain that “how much are you spending?” is not the key question to ask when assessing cybersecurity but concede that it’s a ubiquitous one. When it’s asked, and it will be, most companies will turn to their CISO, who may or may not be able to answer it. Ultimately, though, the board of directors and C-suite are accountable.
Whatever your role—CISO or member of the board or C-suite—you need to be prepared to answer the question. Once you have asked and answered the truly necessary questions (summarized in Exhibit 2), you can develop a risk-based security strategy that you can stand by. You will be prepared to justify, with robust maturity and risk assessments, your spending decisions, whether they involve decreasing or increasing security spending or maintaining a level less or more than the median among your peers.
O espectro de um incidente de segurança cibernética não nega a necessidade de ser um mordomo criterioso dos recursos da empresa, e os gastos com segurança não são um bom proxy para a eficácia da segurança. Sim, você terá que dedicar parte do seu orçamento a esse problema, mas, fazendo as perguntas certas, você terá como alvo seus gastos com sabedoria, em vez de se sentir pressionado a simplesmente jogar dinheiro na direção geral do problema.
Alex Asen
