Muitas empresas estão espremendo orçamentos para liberar recursos para crescimento. BCG's CEO Outlook 2023 mostrou como os líderes mais resilientes estão financiando inovação, sustentabilidade e outros projetos críticos através do controle rígido dos custos. Para o diretor de segurança da informação (CISO), isso pode significar uma nova era. Cada vez mais, eles estão sendo solicitados a melhorar a segurança cibernética com aumentos de orçamento historicamente pequenos. Alguns podem até ser solicitados a gastar menos. É possível reduzir o risco nesse ambiente?
Surpreendentemente, a resposta é sim. A implementação de um processo abrangente de resiliência de custo pode manter - e geralmente melhorar - o perfil de risco de uma organização. Ao otimizar o orçamento cibernético, um CISO revisará pessoas, processos e tecnologia para identificar lacunas e ineficiências. Abordar isso permitirá que os riscos sejam reduzidos enquanto os gastos são mantidos constantes.
Em alguns casos, os custos podem até ser reduzidos. Considere o trabalho recente da BCG com um banco comercial/de varejo de médio porte para melhorar a segurança sem aumentar os custos. Nossa equipe conduziu entrevistas e workshops com as partes interessadas executivas e em nível de equipe, analisou sistemas e processos e as comparou com as melhores práticas em outros bancos. O projeto cortou 8% do orçamento anual de segurança cibernética, alinhando os riscos cibernéticos com o apetite por risco de negócios. Ações e benefícios -chave incluídos:
- Racionalização de ferramentas (mais de 5% de economia)
- Sourcing optimization (nearly 4% savings)
- Improved operating model (1% to 2 % savings)
The increased focus on cost control was highlighted in our 2023 Pesquisa de líderes de segurança cibernética , conduzido em associação com a GLG, uma rede de insights que fornece acesso a perspectivas de especialistas. Em um ambiente econômico difícil, os líderes cibernéticos esperam ver aumentos anuais do orçamento de cerca de 4% - em linha com os aumentos de preços do fornecedor - em vez dos 8%mais típicos. No entanto, a pressão para minimizar o risco permanece implacável: o BCG mais recente Pesquisa dos compradores de TI mostra que a segurança aprimorada continua sendo uma das três principais preocupações. (Consulte o Anexo 1.)
Investimento como uma referência
Claramente, qualquer programa de resiliência de custo deve ser gerenciado com cuidado; Uma organização que corta os cantos da cibersegurança está na pista rápida de uma crise. Os riscos continuam a proliferar, com contínuo Transformação digital Aumentar o impacto de qualquer interrupção e atacantes que implantam novas tecnologias, como a IA.
Um importante ponto de partida é analisar o retorno do investimento. Na pesquisa do BCG de líderes cibernéticos, 56% dos CISOs no quintil "avançado" para a maturidade cibernética disseram que eles consistentemente medem o ROI da segurança cibernética; Para aqueles na categoria "despreparados", isso foi de apenas 22%. O ROI deve fornecer o critério para a ação à medida que as melhorias são planejadas, forçando um alinhamento entre gastos e resulta na forma de risco reduzido. A economia estimada do orçamento de segurança de cada ação também é indicada.
Based on our extensive work with cost resilience initiatives and cybersecurity, we have identified six action areas that can help organizations provide optimal security while controlling costs. Estimated security budget savings from each action are also indicated.
- Alinhar gastos para arriscar o apetite. Este processo começa com a definição do apetite por risco de segurança cibernética, trabalhando com unidades de negócios para quantificar o impacto dos incidentes e seus efeitos indiferentes. Em alguns casos, pode ser útil comparar a organização com os colegas. Os CISOs podem identificar áreas em que o investimento excede o necessário para atender ao perfil de risco necessário e realocar os orçamentos de acordo. (Estimated savings 5% to 10%)
- Prioritize the project portfolio. CISOs precisam desafiar o investimento em andamento, que pode ter sido construído aos poucos ao longo dos anos. Projetos em andamento devem ser avaliados, conflitos e sobreposições resolvidas e prioridades decididas por um equilíbrio de custo e redução de riscos. (economia estimada de 5% a 10%)
- Site operações de segurança. Revise todas as operações de segurança com o objetivo de melhorar a eficiência operacional. Quais processos podem ser automatizados? Os custos podem ser reduzidos através da alteração de acordos de nível de serviço (SLAs)? O objetivo é alinhar totalmente a capacidade e os recursos com os requisitos de desempenho de segurança cibernética. (economia estimada de 5% a 10%)
- racionalize as ferramentas tecnológicas. Os fornecedores adoram vender ferramentas em pacotes, mas ao longo dos anos isso pode levar à duplicação e desperdício. Nossa pesquisa mostra que muitos CISOs estão buscando consolidar fornecedores, buscando custos reduzidos e melhores resultados de segurança por meio de integrações de ferramentas aprimoradas. Isso requer análise de oportunidades de consolidação e renegociação de ferramentas e capacidade, inclusive em toda a pilha de tecnologia. Produtos personalizados, ferramentas com benefício adicional marginal e aqueles que podem ser redundantes devem ser colocados sob o microscópio. Os fornecedores de ferramentas devem demonstrar claramente o ROI de suas ofertas, por exemplo, mostrando como eles podem economizar mão -de -obra, cortar prêmios de seguro, combater novas ameaças, evitar incidentes ou reduzir o impacto da eficiência nas operações comerciais. (economia estimada de 5% a 10%)
- Revisão de estratégias de fornecimento. Depois de determinar quais ferramentas, serviços e outros recursos são necessários para atender às metas da organização, os líderes de segurança precisam otimizar o processo de compra, incentivos de fornecedores e expectativas de desempenho. As decisões de SLAs e de terceirização devem ser revisadas para identificar maneiras de maximizar a eficiência de custos enquanto atende às expectativas de desempenho. (economia estimada de 3% a 10%)
- Melhore o modelo operacional. Para aprimorar as operações de segurança, os CISOs podem otimizar os problemas de pessoal e organização, analisando funções sobrepostas, processos duplicados, que tomam decisões e a extensão do controle. Eles também podem garantir que a equipe esteja gastando tempo nas tarefas que geram as maiores reduções de risco. (economia estimada 1% a 5%)
Desenvolva uma abordagem estruturada personalizada
Embora os líderes de segurança de TI possam estar interessados em começar, pedimos um momento de cautela. Uma abordagem rigorosa deve ser implantada para maximizar a economia de custos sem danificar o perfil de risco de segurança cibernética da organização. Além disso, cada organização possui um perfil de risco cibernético distinto devido a diferenças de tecnologia, cenário de ameaças e prioridades de negócios; Não existe um método único para proteger contra riscos. Vários métodos às vezes serão implantados; Nesse caso, eles devem ser cuidadosamente sequenciados. duplicado e pode oferecer economia de custos. O resultado é um orçamento de ferramentas otimizado, com uma visão muito mais clara da relação custo-benefício. Economia com o uso reduzido de ferramentas herdadas pode ser reciclado na compra de novas em áreas emergentes, como software de código aberto ou
The process should begin with a short, one- to two-week diagnostic to identify action areas with the most significant possible savings, followed by selecting the method that best addresses those areas. Multiple methods will sometimes be deployed; if so, they must be carefully sequenced.
We have identified five methods that can be deployed to create a roadmap for cutting costs while maintaining security.
- A cyber tool health index and inventory finds gaps in implementation, areas where security can be improved, and tools that are under-deployed or duplicative and can offer cost savings. The result is an optimized tools budget with a much clearer view of cost-effectiveness. Savings from reduced use of legacy tools can be recycled into buying new ones in emerging areas, such as open-source software or Inteligência Artificial . É essencial monitorar os custos e o uso de ferramentas continuamente para garantir que os orçamentos sejam gastos de maneira eficaz. Isso começa com a atualização da estratégia de fornecimento de segurança cibernética. Isso pode significar identificar novos fornecedores com preços mais competitivos, apoiando negociações de contratos com fornecedores existentes ou novos, redefinindo SLAs para combinar o apetite de risco, reestruturar incentivos de desempenho do fornecedor ou encerrar relacionamentos com fornecedores cujos produtos não são mais necessários. Novamente, as economias podem ser implantadas para reduzir os gastos gerais ou realocados com novos fornecedores para reduzir o perfil de risco.
- Optimizing cyber sourcing is another targeted approach. This starts with refreshing the cybersecurity sourcing strategy. This may mean identifying new vendors with more competitive pricing, supporting contract negotiations with existing or new vendors, redefining SLAs to match risk appetite, restructuring vendor performance incentives, or terminating relationships with vendors whose products are no longer needed. Again, savings can either be deployed to reduce overall spending or reallocated with new vendors to drive down the risk profile.
- Orçamento baseado em zero (ZBB) vai além, fazendo perguntas fundamentais sobre a base de custos e o valor entregue. Orçamento baseado em zero é um processo comprovado que alinha rigorosamente gastos com prioridades estratégicas e, nesse contexto, cria um plano que afetará várias áreas de economia de custos. A melhoria do modelo de operação do ZBB aciona, otimização do portfólio, melhor fornecimento e alinhamento ao arriscar apetite. Um exemplo estaria adotando
- Systematic improvement achieves better outcomes by looking at deeper, organizational issues and aims to create a lean but highly effective cybersecurity organization. An example would be adopting ágil Práticas em escala, aumento da velocidade de execução organizacional e redesenhando o modelo operacional de segurança cibernética. A liderança é essencial aqui; O novo modelo operacional deve permitir um vínculo claro entre Estratégia de risco cibernético , o modelo de equipe e a execução do processo. O aumento da agilidade é um ativo organizacional claro ao responder ao cenário de ameaças em rápida mudança. Ele analisa a probabilidade de ataques e seu possível impacto para oferecer um plano para a ação impulsionada pelo ROI, o que nossa pesquisa mostra que é normalmente implantada por empresas que são mais maduras no gerenciamento de riscos cibernéticos. Conforme mostrado no Anexo 2, o processo CRQ da BCG baseia o investimento em segurança cibernética na quantidade de risco cibernético que reduz. enquanto ainda contém custos. Eles concentram a atenção do gerenciamento em atividades que produzem grandes economias em vez das que são rápidas ou fáceis. Uma equipe multifuncional de curto prazo é necessária para gerenciar a execução, promovendo as vitórias rápidas, estabelecendo um plano de gerenciamento de mudanças para processos que exigem uma resposta organizacional mais complexa. Ao longo do processo, medir o impacto nos custos é essencial para validar os objetivos.
- BCG’s Cyber Risk Quantification (CRQ) takes a strategic approach, battle-tested across a wide range of organizations with highly varied risk profiles. It looks at the likelihood of attacks and their possible impact to deliver a blueprint for action driven by ROI, which our research shows is typically deployed by companies that are most mature in managing cyber risk. As shown in Exhibit 2, BCG’s CRQ process bases cybersecurity investment on the amount of cyber risk it reduces.
The output from CRQ is a prioritized list of actions that can range across the entire cybersecurity operation, from sourcing strategies to improved workflow—providing a foundation for enhancing the risk profile while still containing costs. They focus management attention on activities that yield big savings rather than those that are quick or easy.
Whatever the approach, the final, and critical, step in the process is preparing and implementing the cyber cost resilience program. A short-term, cross-functional team is required to manage execution, pushing through the quick wins while establishing a change management plan for processes that require a more complex organizational response. Throughout the process, measuring the impact on costs is essential to validate objectives.
Em muitas empresas, o controle de custos é o novo imperativo. O CEO do BCG Outlook 2023 mostrou que as economias em toda a empresa estão sendo investidas não apenas em inovação e sustentabilidade, mas também em melhorar, melhorando Cadeias de suprimentos e muitos outros projetos que exigem recursos adicionais em tempos turbulentos. Como tal, é improvável que as pressões de custo sobre os CISOs facilitem, apesar das ameaças cibernéticas cada vez mais potentes para a organização. Mesmo quando os orçamentos eram mais generosos, as etapas descritas neste artigo foram benéficas; Nos momentos mais desafiadores de hoje, eles são essenciais. Inscreva -se
Yet it is possible to reconcile these imperatives—indeed, skillful management can contain costs while enhancing security if suitable methodologies are implemented. Even when budgets were more generous, the steps outlined in this article were beneficial; in today’s more challenging times, they are essential.
