تأثیرگذاری بر بودجه مهم است، تا حدی به این دلیل که امنیت به ندرت مالک آن است، و بنابراین تأثیرگذاری بهترین امکان بعدی است. این یکی از یافته های حاصل از این بود آخرین گزارش توسط SRI (ابتکار تحقیقات امنیتی)، کار منظم توسط مشاور پروفسور مارتین گیل تحقیق دائمی.
همانطور که در گزارشهای سالهای گذشته SRI، چه در مورد دنیای فیزیکی یا سایبری امنیت، یا همگرایی این دو، این مطالعه 2022 روشنترین، سنگینترین و معتبرترین شواهد را بر اساس دیدگاهها و مصاحبههای پاسخدهندگان ارائه میکند. جزئیات. اکثر افراد مورد بررسی بر این باور بودند که توانایی تأثیرگذاری بر بودجه کلید تامین امنیت خوب است.
در این گزارش سوالاتی از قبیل: آیا مدیران امنیتی شرکتها مدیران اجرایی نوپا هستند؟ نقش پیمانکاران و امنیت شرکتی چگونه متفاوت است؟ آیا مدیران امنیتی به اندازه سایر مدیران تاثیرگذار هستند؟ بودجه امنیتی متعلق به چه کسی است و چگونه تنظیم می شود؟ آیا مدیران امنیتی نفوذ کافی بر بودجه دارند؟ چه چیزی به مدیران امنیتی کمک می کند تا بر بودجه تأثیر بگذارند؟ و در آخر، یک سوال جالب – آیا انگیزه ای برای عملکرد بد در امنیت وجود دارد؟ منظور از SRI «تضاد انحرافی» بود که امنیت ضعیف منجر به حوادث به نوبه خود ممکن است نیاز به سرمایه گذاری امنیتی را برجسته کند. برخی از مصاحبهشوندگان به این معنا (به نقل از سخنان یک مدیر امنیتی داخلی) موافق بودند: «اگر خیلی خوب عمل کنیم، احساس میکنیم مجازات میشویم – اگر اوضاع عالی باشد، چرا به پول بیشتری نیاز دارید».
پس چه چیزی تعیین می کند که آیا بودجه مناسبی تخصیص داده شده است؟ برخی در مصاحبهها خاطرنشان کردند که یک حادثه جدی بهترین عامل برای هزینه بیشتر است. گذشته از این، مهمترین آنها سازمانی بود که عملکرد امنیتی را به عنوان یک تجارت اصلی در نظر می گرفت و خطرات و تهدیداتی را که با آن مواجه بود درک می کرد. در مواردی که عملکرد امنیتی از وضعیت بالایی برخوردار است، با بودجه مناسب همراه بود. و در مواردی که الزامی برای برآورده کردن الزامات مقررات قانونی و/یا رعایت استانداردهای معتبر وجود داشت، تمرکز را جلب کرد. یک عامل کمتر اما همچنان مهم کیفیت تامین کننده است، زیرا یک تامین کننده خوب می تواند شانس برآورده کردن نیازهای بودجه را از نقطه نظر امنیتی افزایش دهد.
برخی از کسانی که به SRI پاسخ دادند، تأثیر بدی در تدارکات مطرح شد. اکثریت (58 درصد) معتقد بودند که تصمیمات خرید مشتریان بیشتر توسط متخصصان تدارکات (که ممکن است کالاها و خدمات را از رول توالت تا باغبان خریداری کنند) هدایت می شود تا متخصصان امنیتی. که فرآیند خرید فاقد ورودی کافی از کارشناسان امنیتی است. در حالی که نزدیک به نیمی، 46 درصد از نمونه، سطح بالایی از مشارکت متخصصان تدارکات را در فرآیند خرید با بودجه کمتر از کافی مرتبط میدانند. در جایی که امنیت تأثیرگذار است، به نظر میرسد که میتوان قدرت تیمهای تدارکاتی را مدیریت یا همسان کرد. گاهی اوقات از آنها به عنوان متحدان خوبی صحبت می شد. نویسندگان گزارش پیشنهاد کردند که در جایی که متخصصان امنیتی تأثیرگذار نیستند، تدارکات تأثیر منفی میگیرد.
خیلی از مشکلات؛ تاکتیک هایی که ممکن است به تأمین بودجه مناسب کمک کند چیست؟ ارتباط سرمایه گذاری در امنیت از نظر مزایای کسب و کار به عنوان کلیدی در نظر گرفته شد. ارائه خطرات ناشی از عدم سرمایه گذاری (بدون ایجاد ترس) مشروع بود، به ویژه زمانی که پتانسیل تأثیرگذاری بر عملیات تجاری مؤثر را داشت. استفاده از داده ها و معیارها برای حمایت از استدلال های مبتنی بر شواهد برجسته شد. فروش مزایای سرمایه گذاری و معایب عدم سرمایه گذاری از نظر عدم تحقق اهداف دیگر متخصصان شرکت نیز ذکر شد (بنابراین عدم سرمایه گذاری مشکل آنها شد). به گفته پاسخ دهندگان، توجیه هزینه در امنیت فیزیکی برای بهبود امنیت سایبری (که به طور گسترده به عنوان دارای وجهه بالایی شناخته می شد و به عنوان یک خطر بزرگ تلقی می شد) بسیار قابل تحسین بود.
اکثریت (58 درصد) بر این باور بودند که پرسنل امنیتی در فروش مزایای امنیت – موضوع جاری SRI – مؤثر نیستند. عملکرد امنیتی در مضیقه بود زیرا بسیاری از سرنخهای امنیتی فاقد زیرکی تجاری بودند. تعداد زیادی از پرسنل امنیتی آرزوی مدیر عامل شدن را نداشتند. حتی اگر این کار را انجام میدادند، احساس میشد که بسیاری در ادغام با فرهنگ کسبوکار گستردهتر با مشکلاتی مواجه میشوند و از ناتوانی در صحبت کردن به زبان تجاری رنج میبرند. غالباً، مدیران امنیتی از نظر استراتژیک قرار نداشتند. و از آنجا که بسیاری از رهبران امنیتی در شغل دوم قرار داشتند، جاه طلبی لازم را نداشتند.
همچنین برخی از گزارشهای سالهای گذشته SRI، مانند گزارشهای سال 2018 را ببینید موانع در رابطه خریدار و تامین کننده; و تامین کنندگان امنیت و امنیت شرکت ها.
درباره ابتکار تحقیقات امنیتی
SRI توسط بخش امنیتی (خریداران و تامین کنندگان) حمایت می شود و شامل یک مطالعه سالانه است. گزارش ها به صورت رایگان در دسترس قرار می گیرند تا پایگاه اطلاعاتی آگاهانه تری در مورد عملکرد بخش امنیتی فراهم کنند. بازدید کنید https://perpetuityresearch.com/security-researchinitiative/. این ابتکار توسط انجمن های امنیتی ADS، شعبه بریتانیا از ASIS International، BSIA، IFPO UK، IPSA، موسسه امنیت و از دنیای امنیت اطلاعات SASIG پشتیبانی می شود.
منبع: https://www.professionalsecurity.co.uk/news/interviews/sri-on-security-and-budgets/