À medida que os orçamentos ficam mais apertados, a segurança cibernética deve ficar mais inteligente

O papel do Diretor de Segurança da Informação (CISO) em 2023 envolve lidar com duas pressões concorrentes. O mundo dos riscos cibernéticos continua a se expandir, impulsionado pela proliferação de ameaças tradicionais e vetores de ataques emergentes, como a engenharia social habilitada para a AI. Ao mesmo tempo, a deterioração das condições econômicas exige que os líderes de segurança cibernética se contentem com os menores aumentos no orçamento na memória recente.

As companies seek optimal ways to manage these contradictory forces, the landscape of cybersecurity will change in important ways:

• categorias relativamente maduras de soluções de segurança cibernética enfrentarão pressão que leva à consolidação de fornecedores. Como resultado, eles tendem a se unir em cinco pontos de controle naturais: sistemas operacionais, segurança em nuvem, segurança de terminais, networking e segurança zero e segurança e identidade corporativa. Os fornecedores continuarão a proliferar em categorias emergentes, como a segurança da interface de programação de aplicativos (API) e a segurança da nuvem. Proposição. Rede Insight que fornece acesso a perspectivas de especialistas, o BCG pediu a 600 CISOs, profissionais de segurança cibernética e partes interessadas adjacentes sobre suas prioridades, expectativas, orçamentos atuais e futuros e recursos tecnológicos, bem como sobre as pressões que enfrentam. Cerca de dois terços dos entrevistados trabalham em empresas com mais de 2.000 funcionários equivalentes em tempo integral e o restante em empresas menores. Geograficamente, 70% dos entrevistados são baseados nas Américas, com outras localizadas na Europa, no Oriente Médio e na região da Ásia-Pacífico. "Maturidade cibernética"): despreparados, reativos, médios, proativos e avançados. (Veja o Anexo 1.)
• At the same time, CISOs will experiment with new cybersecurity solutions. Vendors will continue to proliferate in emerging categories such as application programming interface (API) security and cloud security.
• CISOs will be pressed to explore increased training, process improvements, and shifts in corporate culture to improve their security postures without expanding their budgets.
• ROI—in comparative terms and in absolute terms—will become a key component of vendors’ sales proposition.
• Investors must ride the wave of consolidation, identifying solutions that avoid competitive pressure and investing either in emerging categories or in niche players.

Economic Pressures

These dynamics take center stage in BCG’s most recent annual survey, of 600 cybersecurity leaders from companies around the world, conducted in March 2023. In collaboration with GLG, an insight network that provides access to expert perspectives, BCG asked 600 CISOs, cybersecurity professionals, and adjacent stakeholders about their priorities, expectations, current and future budgets, and technological resources, as well as about the pressures facing them. About two-thirds of the respondents work in enterprises with more than 2,000 full-time equivalent employees, and the rest in smaller businesses. Geographically, 70% of the respondents are based in the Americas, with others located in Europe, the Middle East, and the Asia-Pacific region.

On the basis of respondents’ assessments of their own companies’ practices, we divided companies into five quintiles, each representing a distinct archetype of cybersecurity maturity (or “cyber maturity”): unprepared, reactive, average, proactive, and advanced. (See Exhibit 1.)

No geral, as respostas da pesquisa sugerem que os CISOs sentem pressão para fazer mais com menos este ano - um desafio que muitos não enfrentaram anteriormente. Em tempos economicamente estáveis, os CISOs esperariam que seus orçamentos aumentassem cerca de 8% ao ano. Mas, em média, em um ambiente recessivo, os CISOs esperam ver um aumento de apenas 4% em relação ao ano fiscal anterior. Enquanto isso, eles esperam que os preços dos fornecedores aumentem em cerca de 3% a 5% ano a ano. Em outras palavras, o valor efetivo de seu orçamento de compras permaneceu nivelado ou diminuiu um pouco. Embora os preços dos fornecedores tendam a nivelar durante uma recessão, o resultado também seria uma contração eficaz de cerca de 1% na maioria das empresas. Eles gastam aproximadamente US $ 1.300 a US $ 1.400 por FTE, enquanto a maioria das empresas - aqueles que não foram preparados, reativos, médios e arquétipos proativos - gastarem de US $ 500 a US $ 600 por FTE. (Veja o Anexo 2.) Mais de dois terços dos entrevistados também expressaram preocupações sobre a segurança cibernética em nuvem, a mudança de regulamentos e os riscos de segurança cibernética de terceiros. As preocupações com a atração de talentos, o apoio ao trabalho remoto e o controle dos custos ficaram logo atrás. Entre esse grupo menor, 74% disseram que a ameaça de ataques baseados em IA era uma preocupação crítica, e 73% disseram o mesmo sobre a engenharia social habilitada para a IA. Essas respostas refletiram outros aspectos de sua cultura: conscientização mais forte dos funcionários sobre questões de segurança e maior apoio executivo ao investimento em segurança cibernética. Como essas empresas têm recursos básicos de segurança cibernética em vigor, seus CISOs têm o apoio e a capacidade de pensar de maneira inovadora em atingir a próxima onda de ameaças. Cerca de 56% dos CISOs das empresas avançadas disseram que medem consistentemente o ROI por seus gastos com segurança cibernética. Por outro lado, apenas 39% dos participantes gerais de pesquisa relataram medir consistentemente o ROI para gastos com segurança cibernética. Para empresas do arquétipo despreparado - o quintil inferior da maturidade cibernética - o número foi de 22%.

Learning from Advanced Organizations

In this environment, only companies that fall into the most advanced of our five cyber maturity archetypes have the luxury of time to consider emerging threats, and the resources to prepare for them. They spend approximately $1,300 to $1,400 per FTE, whereas most companies—those in the unprepared, reactive, average, and proactive archetypes—spend up to $500 to $600 per FTE.

All survey respondents were attentive to threats they already knew, such as ransomware. (See Exhibit 2.) More than two-thirds of respondents also expressed concerns about cloud cybersecurity, changing regulations, and third-party cybersecurity risks. Concerns about attracting talent, supporting remote work, and controlling costs ranked close behind.

Respondents from advanced companies tended to share these concerns, but they also paid attention to future threats. Among this smaller group, 74% said that the threat of AI-based attacks was a critical concern, and 73% said the same about AI-enabled social engineering. These responses reflected other aspects of their culture: stronger employee awareness of security issues, and greater executive support for cybersecurity investment. Because these companies have basic cybersecurity capabilities in place, their CISOs have the backing and capacity to think innovatively about meeting the coming wave of threats.

Among the practices that differentiate these more farsighted companies is an emphasis on return on investment (ROI). About 56% of advanced firms’ CISOs said that they consistently measure ROI for their cybersecurity spending. By contrast, only 39% of the overall survey respondents reported consistently measuring ROI for cybersecurity spending. For companies in the unprepared archetype—the bottom quintile of cyber maturity—the figure was 22%.

Empresas avançadas ganham seu ROI implantando pessoas qualificadas, processos bem projetados e tecnologias atualizadas. No grupo avançado, 48% implantam detecção e resposta de rede (NDR), um Estratégia de segurança cibernética Isso envolve rastrear consistentemente os padrões de comunicação para detectar, investigar e responder a ameaças que, de outra forma, poderiam permanecer ocultas. O uso do Teste de Segurança de Aplicativos (AST) para identificar vulnerabilidades no código -fonte é defendido por 42% do mesmo grupo, e a proteção da carga de trabalho em nuvem (CWP), que implica o monitoramento dos serviços em nuvem para ameaças em potencial, em 38%. Essas taxas de adoção acima da média entre as empresas avançadas refletem a natureza das empresas como os primeiros adotantes e o surgimento muito recente das tecnologias. Ao mesmo tempo, essas porcentagens indicam que há muito espaço para melhorias e mais necessidade de práticas recomendadas - mesmo entre empresas avançadas. Os CISOs dizem que as tecnologias maduras de segurança cibernética - plataformas de proteção de terminais tradicionais, firewalls, serviços de risco e conformidade de governança, controle de acesso à rede, gateways de email seguros e gerenciamento unificado de endpoint - oferecem o mais alto nível de agrupamento. Nessas categorias, a porcentagem de entrevistas que procuram consolidar é maior que a porcentagem que procura expandir as compras. Essas ofertas incluem soluções de gerenciamento de riscos de fornecedores de TI, gateways da web seguros, soluções de autenticação e gerenciamento de acesso ao usuário e sistemas de detecção e resposta de pontos de extremidade. Por exemplo, muitas empresas agora estão consolidando seus fornecedores de segurança cibernética. Quando perguntados sobre o raciocínio, a maioria dos CISOs citou a economia de custos como o principal motivo. Os CISOs de empresas avançadas, no entanto, disseram que estavam procurando melhores resultados de segurança. Evidentemente, eles vêem ter menos fornecedores, mas relacionamentos integrados mais robustos com esses fornecedores como uma maneira de atingir os dois objetivos. (Consulte o Anexo 3.)

The Consolidation Trend

This year, many cybersecurity leaders reported that they are looking for larger, consolidated vendors that can provide multiple services in a single offering. CISOs say that mature cybersecurity technologies—traditional endpoint protection platforms, firewalls, governance risk and compliance services, network access control, secure email gateways, and unified endpoint management— offer the highest level of bundling. In these categories, the percentage of survey respondents looking to consolidate is larger than the percentage looking to expand procurement.

A few other solutions also involve mature technologies, but for a variety of reasons they are less likely candidates for consolidation or expansion. These offerings include risk management solutions from IT vendors, secure web gateways, user authentication and access management solutions, and endpoint detection and response systems.

In general, advanced companies think differently about sourcing security capabilities than the other companies do. For example, many companies are now consolidating their cybersecurity vendors. When asked about their reasoning, most CISOs cited cost savings as the primary motive. CISOs from advanced companies, however, said that they were looking for improved security outcomes. Evidently, they view having fewer vendors but more robust integrated relationships with those vendors as a way to achieve both goals. (See Exhibit 3.)

Five Control Points for Focus

From our analysis of the ongoing consolidation, as well as of preferences and top of mind CISO priorities, we expect the cybersecurity sector to consolidate along five key control points:

• Operating system focus combina produtos e serviços relacionados à segurança com licenças de ferramentas e empresas nativas em uma oferta comum de provedores de sistema operacional como Microsoft. Empresas e fornecedores de primeira nuvem veem essas ofertas como uma maneira de ignorar as ferramentas de segurança tradicionais e seus desafios relacionados. Esses serviços tendem a se concentrar primeiro nos dados. Os fornecedores incluem novos participantes (alguns com rápido crescimento) e provedores de proteção de terminais há muito estabelecidos que estão se expandindo para detecção e resposta. Como os fornecedores da nuvem, os fornecedores de endpoint incorporam cada vez mais o XDR em suas ofertas. Alguns dos fornecedores de segurança cibernética mais proeminentes agrupam essas soluções para se expandirem da rocha de segurança dos firewalls de rede para criar plataformas de segurança mais amplas que abrangem redes, pontos de extremidade e muito mais. Esses fornecedores se beneficiam da crescente convergência do gerenciamento de acesso ao usuário, gerenciamento de identidade e acesso, gerenciamento de acesso privilegiado e outras categorias de identidade corporativa.
• Cloud focus brings together extended detection and response (XDR) and CWP in cloud-native forms to monitor data from networks, cloud workloads, servers, email, and other sources. Cloud-first companies and vendors see these offerings as a way to bypass traditional security tools and their related challenges.
• Endpoint focus unites previously separate tools and techniques in desktop, laptop, tablet and phone devices, with services taking the place of antivirus software and coordinating with the other systems seamlessly. These services tend to focus on the data first. Vendors include both new entrants (some with rapid growth) and long-established endpoint protection providers that are expanding into detection and response. Like cloud vendors, endpoint vendors increasingly incorporate XDR in their offerings.
• Network focus integrates next-generation firewall, detection, and response solutions into secure access services, reaching across on-premises, cloud, and hybrid environments. Some of the most prominent cybersecurity vendors bundle these solutions to expand from the security bedrock of network firewalls to create broader security platforms that encompass networks, endpoints, and more.
• Identity focus emphasizes the individual’s access to various levels of entry and authorization as a key element and treats the ability to access critical information as central to the system’s design and implementation. These vendors benefit from the increasing convergence of user access management, identity and access management, privileged access management, and other categories of corporate identity.

Esses cinco pontos de controle inspiram soluções tecnológicas e de clientes naturais das quais os fornecedores cibernéticos podem facilmente vender outras soluções complementares. Empresas cibernéticas que dominem esses pontos de controle podem usá-los para desenvolver um alto nível de competência a um custo menor. Inscreva -se

Áreas de diversificação

Mesmo quando as tecnologias maduras de segurança cibernética enfrentam consolidação, categorias experimentais e emergentes são diversificantes, com o CISOs escolhendo as melhores soluções da puta em vez de pacotes. Quando apresentados a essas tecnologias, os líderes de segurança cibernética estão mais ansiosos para adotar novas ferramentas e adicionar novos fornecedores a suas listas. Exemplos de tais tecnologias incluem NDR, AST e CWP, juntamente com a prevenção de perda de dados, tokenização e criptografia, corretores de segurança de acesso em nuvem, acesso à rede de confiança zero, software de privacidade de dados, inteligência de ameaças e gerenciamento de vulnerabilidades e segurança da API. (Consulte o Anexo 4.)

Com o tempo, essas soluções podem se fundir com os pontos de controle destacados acima. Por exemplo, conversas com CISOs indicam que o gerenciamento de vulnerabilidades e a inteligência de ameaças podem se dobrar naturalmente em plataformas XDR mais amplas, criando uma oportunidade para os investidores. Hoje, as soluções de pontos em categorias emergentes podem se tornar alvos para adquirentes estratégicos no futuro. Como os fornecedores cibernéticos podem ajudá -los a fazer isso e se diferenciar de sua concorrência? Quais inovações devem apoiar os investidores? A maneira mais eficaz de fazer isso é priorizar soluções e melhorias organizacionais com um ROI alto. Nossa pesquisa revelou que 78% das empresas avançadas medem regularmente o ROI de suas melhorias de operação cibernética, 68% da conformidade aumentada e 67% analisam seus esforços de segurança em termos de esforços de negócios. Métricas semelhantes para empresas despreparadas são significativamente menores: 68% medem o ROI operacional, 40% da conformidade da faixa e 32% prestam atenção aos resultados dos negócios. As empresas despreparadas, reativas, médias e proativas também têm maior probabilidade de se concentrar em prêmios de seguro ou em outros fatores que têm conexões relativamente fracas com os resultados dos negócios. Os aprimoramentos para o processo e a cultura corporativa podem mover a agulha na qualidade da segurança, mesmo em um ambiente de restrições orçamentárias. Os CISOs devem avaliar cuidadosamente os novos fornecedores, usando uma avaliação do ROI de dólar rígido como um componente do processo de seleção. Eles podem conseguir isso por meio de economia de trabalho, prêmios de seguro reduzidos, violações evitadas ou maior eficiência na forma de menor impacto nas operações comerciais. As categorias cibernéticas de rápido crescimento verão a expansão contínua e os especialistas em categorias (como jogadores na área de detecção e resposta gerenciados) serão relativamente resistentes à consolidação. 53% dos CISOs relativamente baixos disseram que estavam preocupados se o compromisso executivo em sua empresa era suficiente. Para manter a liderança de primeira linha caminhando e para enfrentar os desafios do futuro próximo, os CISOs devem pensar de maneira mais ampla sobre sua própria atividade. Eles e suas equipes não são contratados apenas para evitar intrusão. Espera -se cada vez mais que proteja e fortaleça a integridade digital e geral de toda a empresa.

Thriving in the New Cybersecurity Environment

How can cybersecurity leaders protect their organizations against new and existing threats while managing cost pressures? How can cyber vendors help them do this, and differentiate themselves from their competition? Which innovations should investors support?

CISOs and other cybersecurity leaders should adopt the behaviors of best-in-class advanced organizations. The most effective way to do this is to prioritize solutions and organizational improvements with a high ROI. Our survey revealed that 78% of advanced firms regularly measure the ROI of their cyber operation improvements, 68% track enhanced compliance, and 67% analyze their security efforts in terms of business efforts. Similar metrics for unprepared firms are significantly lower: 68% measure operational ROI, 40% track compliance, and 32% pay attention to business outcomes. Unprepared, reactive, average, and proactive companies are also more likely to focus on insurance premiums or other factors that have relatively weak connections to business outcomes.

As they standardize on a few key metrics, CISOs can use the resulting insights to prioritize organizational changes that improve their companies’ security posture at lower cost. Enhancements to process and corporate culture can move the needle on security quality even in an environment of budget constraints. CISOs should carefully evaluate new vendors, using an assessment of hard-dollar ROI as a component of the selection process.

Conversely, vendors must demonstrate the ROI of their offerings by showing that they can handle new and emerging threats without expanding total cost of ownership. They may accomplish this through labor savings, reduced insurance premiums, avoided breaches, or increased efficiency in the form of lower impact on business operations.

Investors must either ride the wave of consolidation or focus on solutions that avoid the resulting competitive pressure—by investing either in emerging categories or in niche players. Fast-growing cyber categories will see continued expansion, and category specialists (such as players in the area of managed detection and response) will be relatively resilient to consolidation.

Perhaps the most optimistic result in the CISO survey involved the attitudes of top leaders. A relatively low 53% of CISOs said that they were worried about whether executive commitment at their company was sufficient. To keep top leadership walking the talk, and to meet the challenges of the near future, CISOs must think more broadly about their own activity. They and their teams are not hired just to prevent intrusion. They are increasingly expected to protect and strengthen the digital and overall integrity of the entire enterprise.

Acknowledgments

The authors thank their BCG colleagues Maciej Sniechowski and Pranav Khemka for their contributions to this article.