Ile wydać na cyberbezpieczeństwo?

Specjaliści IT zwracają uwagę na fakt, że skutki cyberataków są coraz większe. 45% respondentów badania 2019 CISO Benchmark Study wskazało, że koszt pojedynczego cyberataku na ich organziację wyniósł ponad pół miliona USD. W ponad 50% przypadków koszt ten był mniejszy niż 500 tys. USD. 8% badanych twierdzi, że najbardziej znaczący cyberatak, który miał miejsce w zeszłym roku, spowodował straty wynoszące ponad 5 mln USD.

Bezpieczeństwo w cenie małej kawy lub biletu do kina

Według badania Cisco „The Security Bottom Line: How much security is enough?”, 46% dużych firm zatrudniających od 250 do 999 pracowników wydaje na cyberbezpieczeństwo do 250 tys. USD rocznie. Czy to dużo? Jeżeli przyjmiemy najwyższy deklarowany poziom wydatków w organizacji o najniżym zatrudnieniu w tej grupie, oznacza to, że koszt bezpieczeństwa wynosi 2,7 USD na pracownika dziennie. To mniej więcej tyle, ile kosztuje mała kawa. Gdy organizacja tej samej wielkości przeznaczy na cyberbezpieczeństwo maksymalną deklarowaną przez uczestników badania kwotę – 1 mln USD rocznie, koszt w przeliczeniu na jednego pracownika wyniesie ok. 11 USD dziennie. To niewiele więcej niż musielibyśmy zapłacić w weekend za bilet w sieciowym kinie.

Chcąc ocienić ile organizacje powinny wydać na cyberbezpieczeństwo, należy wziąć pod uwagę więcej czynników niż jedynie ich wielkość, m.in. branżę, w której działają czy potencjalne skutki ataku, które będą o wiele poważniejsze w przypadku np. instytucji finansowych czy sektora energetycznego.

Pieniądze to nie wszystko

Czy zwiększenie wydatków daje gwarancję bezpieczeństwa infrastruktury IT? Respondenci badania Cisco zostali zapytani, czy ich organizacja jest w stanie zapewnić minimalny poziom bezpieczeństwa. Jedynie 19% przestawicieli firm zatrudniających od 250 do 999 osób odpowiedziało twierdząco. Co ciekawe jest to problem również w dużych korporacjach zatrudniających ponad 10 000 osób, które wydają na cyberbezpieczeństwo znacznie wyższe kwoty. Tylko 18% respondentów z największych organizacji zgadza się ze stwierdzeniem, że ich firma zapewnia minimalny poziom bezpieczeństwa. Największy problem z zagwarantowaniem niezbędnego minimum mają organizacje zatrudniające od 1 000 do 9 999 pracowników – zaledwie 7% z nich uważa, że dysponuje odpowiednimi środkami, aby je zapewnić.

Zdaniem ekspertów Cisco poziom ochrony organizacji przed atakami zależy od poziomu kompetencji zespołów IT. Dla biznesu oznacza to duży problem, gdyż według badania „Cybersecurity Workforce Study 2019” na całym świecie brakuje 3 milionów specjalistów ds. cyberbezpieczeństwa. Dlatego przedsiębiorstwa korzystają z usług firm zewnętrznych, co znalazło odzwierciedlenie w badaniu Cisco. Już 28% respondentów polega w kwestiach cyberbezpieczeństwa głównie na wiedzy i doświadczeniu specjalistów zewnętrznych, podczas gdy niewiele więcej (37%) wykorzystuje głównie zasoby wewnętrzne.

O tym, jak ważne jest ciągłe poszerzanie wiedzy z zakresu cyberbezpieczeństwa świadczy fakt, że 34% uczestników badania Cisco „The Security Bottom Line: How much security is enough?” dowiaduje się o atakach, które mają wpływ na ich organizację z mediów. Oznacza to, że rola blogerów i dziennikarzy specjalizujących się w tematyce cyberbezpieczeństwa będzie rosła, gdyż przygotowywane przez nich materiały stanowią istotne źródło wiedzy.

Wydatki dużych firm (250 – 999 os.) na cyberbezpieczeństwo:

  • 46% dużych firm wskazało, że przeznacza na cyberbezpieczeństwo do 250 tys. USD rocznie.
  • 43% dużych firm wskazało, że przeznacza na cyberbezpieczeństwo między 250 a 999 tys. USD rocznie.
  • Jedynie 11% dużych firm wydaje na cyberbezpieczeństwo więcej niż milion USD rocznie.

Wydatki bardzo dużych firm (1000 – 9 999 os.) na cyberbezpieczeństwo:

  • 23% bardzo dużych firm wskazało, że przeznacza na cyberbezpieczeństwo do 250 tys. USD rocznie.
  • 57% bardzo dużych firm wskazało, że przeznacza na cyberbezpieczeństwo między 250 a 999 tys. USD rocznie.
  • 20% bardzo dużych firm wydaje na cyberbezpieczeństwo więcej niż milion USD rocznie.

Wydatki korporacji (10 000+ os.) na cyberbezpieczeństwo:

  • Jedynie 7% korporacji wskazało, że przeznacza na cyberbezpieczeństwo do 250 USD rocznie.
  • 43% korporacji wskazało, że przeznacza na cyberbezpieczeństwo między 250 a 999 tys. USD rocznie.
  • 50% dużych firm wydaje na cyberbezpieczeństwo więcej niż milion USD rocznie.

Cisco „The Security Bottom Line: How much security is enough?”

Vegas 2019: Cisco Talos Incident Response