Ez olyan nagy biztonsági költségvetésekhez vezet, amelyeknek semmi közük a jobb biztonsághoz. A vezetők pedig elszakadnak attól a valóságtól, hogy a biztonsági beruházások valójában hogyan működnek.
A Garner szerint a problémát ezek a látszólag egymásnak ellentmondó állítások okozzák, amelyek egyszerre lehetnek igazak:
• Ha sokat költünk a kiberbiztonságra, az nem jelenti, hogy jó a védelmünk.
• Befektetésre van szükség, ha jobb védelmet szeretnénk elérni.
A "befektetés" jelentheti több pénz, idő- és erőfeszítés befektetését, hogy megtörténjen a váltás egy régebbi, kevésbé hatékony folyamatról vagy ellenőrzésről újabbra és hatékonyabbra. A nettó eredmény lehet költségmegtakarítás, de a változás létrehozásához még mindig befektetés szükséges.
Vannak olyan szervezetek, amelyek rengeteg pénzt költenek a biztonságra, és borzasztóan védettek. De olyanok is találhatók, amelyek nagyon szerény biztonsági költségvetés mellet nagyszerű védelmi szintet hoztak létre. Alapvetően a pénz nem egyenlő a védelemmel, de a befektetés feltétlenül szükséges a jobb védelem eléréséhez.
A kiberbiztonsági beruházásoknál a költségvetés jóváhagyása azonban csak a kezdet. Az értéket az teremti meg, ha a pénzt a védelmi eredmények létrehozására költjük. Ezek az eredmények határozzák meg a védelmet, nem pedig az ezek elérésére fordított pénz. Az a tény, hogy vásároltunk és bevezettünk néhány menő dolgot, még nem jelent jobb védelmet.
Amikor a vezetők a költségvetés nagyságát összemossák a védelem szintjével, ez ahhoz vezet, hogy pénzt költenek a problémára. Így a szervezetek nagy biztonsági költségvetéssel gyenge védelemnél kötnek ki. Érdemes meghatározni, hogy melyek azok a magatartásformák, amelyek megerősítik azt az elképzelést, hogy a kiberbiztonsági kiadások azonosak a védelemmel.
Kerülendő viselkedésformák:
1. A költségvetés jóváhagyásának sikerként való kezelése
Sok CISO a költségvetés megszerzését sikerként kezeli. Üzleti eseteket építenek, pénzt osztanak ki, létrehozzák a kiberbiztonsági kiadásokat az eszközökre, és minderről beszámolnak a vezetőknek. Ez a minta megerősíti a vezetők meggyőződését, hogy a pénzért jobb védelmet kapnak.
A CISO minden egyes igazgatótanácsi ülésen beszámol az elköltött pénz és a bevezetett eszközök előrehaladásáról. Ez egy önmegerősítő ciklust hoz létre a CISO és a vezetőség között. A CISO több pénzt/sikert ér el, a vezetők pedig azt hiszik, hogy jobb védelmet kapnak, ezért több pénzt adnak a CISO-nak és így tovább.
Ez egészen addig megy, amíg a kiadások olyan nagyok nem lesznek, hogy a vezetők megkérdezik, mit kaptak ennyi pénzért, vagy amikor a szervezetet jelentős kiberincidens éri. A vezetők mindkét esetben kiábrándulnak.
2. "A pénz nem probléma. Bármit meg tudok szerezni, amire szükségem van."
A WSJ nemrégiben megjelent cikke Howard Schmidtet, az Amazon CISO-ját idézte, aki a társaság vezérigazgatójának jelent. Andy Jassy arról ismert, hogy fontos számára a biztonságra. "Ez valóban megkönnyíti a munkámat. Andy még soha nem utasított vissza olyasmit, amire azt mondtam, hogy szükséges a munka elvégzéséhez" - mondta Schmidt.
https://www.wsj.com/articles/amazons-security-chief-keeps-focus-on-recruiting-and-retaining-talent-11670883520
Ez a helyzet rendszeresen előfordul, különösen a jól finanszírozott biztonsági programokkal működő nagyvállalatoknál. Az ilyen pozícióban lévő CISO-k esetében ez általában büszkén hangzik el, mert ez a vezetői bizalom mutatója. A bizalom jó dolog, de ez egyúttal a CISO-val magasabb felelősségét is megteremti. Ha valami rosszul sül el, teljesen jogos a kérdés, hogy a CISO miért nem kért valamit, ami megakadályozhatta volna az incidenst. Ez az elvárás csak fokozódik, ha a biztonsági költségvetés jól finanszírozott, és a vezetők a kiadásokat a védelemmel azonosítják.
3. A biztonsági beruházások elsődleges motivációja a kiberbiztonsági kiadásokra vonatkozó referenciaértékek teljesítése
E referenciaértékek hatékony eszközt jelentenek annak megértéséhez, hogy hova fekteti a pénzét. Ha ezeket védelmi szintként értelmezik, akkor ahhoz vezetnek, hogy pénzt szórnak el a problémára. A kiadási referenciaértékeket az alulfinanszírozottság vezető mutatóiként kell használni. Szükség van egy történetre is arról, hogy mit tesz a CISO a meglévő költségvetésből, és mit fog tenni az új költségvetéssel a védelmi szintek megváltoztatása érdekében.
Ha sikerül eltávolodni e három CISO viselkedési formától, akkor elérhető, hogy a vezetők is aktívan eltávolodjanak a "pénz = védelem" elképzelésétől. Amit a CISO-nak érdemes megtenni, az a következő.
• Ne számoljon be az eszközökre költött pénzről anélkül, hogy az a védelmi szint változását is tükrözné.
• Menedzselje a vezetők elvárásait, akik azért hagyják jóvá a költségvetési kérelmeket, mert megbíznak a CISO-jukban.
• Ne támaszkodjon kizárólag a kiberbiztonsági kiadásokra vonatkozó referenciaértékekre, ha a jobb védelem mellett érvel.
Végső soron nem helyénvaló, ha a vezetők a CISO-t a megfelelő védelem döntőbírójaként kezelik, és ezt lehetővé teszik, hogy megadják nekik, amit kérnek. Ezt a magatartást azzal a megértéssel kell mérsékelni, hogy a biztonság egy választás és egy üzleti döntés. A vezetőknek átgondoltan kell részt venniük a CISO által felkínált választási lehetőségekben.
