اولویت های بودجه CISO در Forrester شامل API و امنیت زنجیره تامین است

اولویت های بودجه CISO در Forrester شامل API و امنیت زنجیره تامین است

به خبرنامه‌های روزانه و هفتگی ما بپیوندید تا آ،ین به‌روزرس،‌ها و محتوای انحصاری را در زمینه پوشش هوش مصنوعی پیشرو در صنعت ما دریافت کنید. بیشتر بد،د


تا سال 2025، حفاظت از درآمد و کاهش ریسک ،ب‌وکار باید بر بودجه‌های CISO مسلط شود و سرمایه‌گذاری‌های همسو با فرآیندهای تجاری در اولویت قرار گیرد.

آ،ین راهنمای برنامه‌ریزی بودجه امنیتی و ریسک Forrester نشان می‌دهد که تامین امنیت دارایی‌های فناوری اطلاعات حیاتی تجاری باید در سال آینده اولویت اصلی باشد. فورستر در این گزارش نوشت: «افزایش بودجه‌ای که CIOها در سال 2025 دریافت خواهند کرد، باید رسیدگی به تهدیدها و کنترل‌ها در امنیت برنامه‌های کاربردی، افراد و زیرساخت‌های حیاتی ،ب‌وکار را در اولویت قرار دهند».

CISO ها باید برای به دست آوردن حقوق امنیتی برنامه ها، ایمن سازی زیرساخت های حیاتی تجاری و بهبود مدیریت ریسک انس،، تلاش خود را در زمینه مدیریت تهدید و کنترل ها مضاعف کنند. Forrester امنیت زنجیره تامین نرم‌افزار، امنیت API و شناسایی تهدید IoT/OT را کلید عملیات تجاری می‌داند و به CISOها توصیه می‌کند در این زمینه‌ها سرمایه‌گذاری کنند.

دستیابی به درآمد حاصل از محافظت از ،ب و کارهای دیجیتالی جدید و در عین حال ایمن نگه داشتن زیرساخت فناوری اطلاعات در یک بودجه محدود، راهی اثبات شده برای CISO ها برای پیشبرد حرفه خود است.

ابتدا امنیت سایبری را به ،وان یک تصمیم تجاری در نظر بگیرید

مهمترین نکته از راهنمای برنامه ریزی Forrester این است که سرمایه گذاری در امنیت سایبری باید ابتدا یک تصمیم تجاری در نظر گرفته شود. یافته‌ها و دستورالعمل‌های کلیدی این گزارش بر این نکته تأکید می‌کند که چگونه و چرا CISO باید بین ابزارها و هزینه‌ها برای به حدا،ر رساندن رشد درآمد و در عین حال بازدهی قوی در سرمایه‌گذاری‌های خود، معاوضه ایجاد کنند.

Forrester از CISOها می‌خواهد تا به هر برنامه، ابزار یا ،یبی که به گسترش فناوری کمک می‌کند نگاهی دقیق بیندازند و با اضافه شدن فناوری‌های جدید، آن را از پشته‌های فناوری خود حذف کنند.

بینش های مهم از راهنمای برنامه ریزی بودجه Forrester در مورد امنیت و ریسک عبارتند از:

  • انتظار می رود 90 درصد از CISO ها در سال آینده شاهد افزایش بودجه باشند. بودجه امنیت سایبری به طور متوسط ​​تنها 5.7 درصد از هزینه های سالانه فناوری اطلاعات است. با توجه به اینکه نقش CISO در حفاظت از جریان های درآمدی جدید و تقویت زیرساخت ها چقدر گسترده است، این کوچک است. Forrester به بررسی برنامه ریزی بودجه 2024 خود در راهنما اشاره می کند و انتظار دارد که بودجه در 12 ماه آینده همچنان افزایش یابد. ده درصد انتظار افزایش بیش از 10 درصدی را در دوازده ماه آینده دارند. یک سوم انتظار افزایشی بین 5 تا 10 درصد و تقریباً نیمی از آنها افزایش متوسط ​​بین 1 تا 4 درصد را انتظار دارند. تنها هفت درصد از بودجه ها ثابت می ماند و تنها سه درصد انتظار دارند که بودجه ها در سال 2025 کاهش یابد.
منبع: راهنمای برنامه ریزی بودجه 2025 Forrester برای رهبران امنیتی و ریسک
  • اکنون گسترش فناوری را کنترل کنید. ،تر هشدار می‌دهد که گسترش فناوری قاتل خاموش سودهای بودجه است. طبق یک مطالعه اخیر ISG، به طور متوسط، CISO ها فقط بیش از یک سوم بودجه خود را از نرم افزار دریافت می کنند، که هزینه آن ها برای سخت افزار را دو برابر می کند و همچنین از هزینه های کارکنان خود بیشتر می شود. فورستر در این مقاله نوشت: «برای مبارزه با مشکل واقعی که واقعاً رهبران امنیتی را درگیر می کند – گسترش فناوری – ما توصیه می کنیم یک رویکرد محافظه کارانه برای معرفی ابزارها و فروشندگان جدید با این اصل عملی داشته باشید: هیچ چیز جدیدی را بدون خلاص شدن از شر چیز دیگری اضافه نکنید. گزارش

منبع: راهنمای برنامه ریزی بودجه 2025 Forrester برای رهبران امنیتی و ریسک

  • انتظار می‌رود امنیت ابری، فناوری جدید امنیتی به‌روز شده که در محل اجرا می‌شود، و ابتکارات آموزشی و آگاهی امنیتی، بودجه‌های امنیتی را تا 10 درصد یا بیشتر در سال 2025 افزایش دهند. شایان ذکر است، 81 درصد از تصمیم‌گیرندگان فناوری امنیت انتظار دارند که هزینه‌هایشان برای امنیت ابری در سال 2025 افزایش یابد، 37 درصد افزایش 5 تا 10 درصدی و 30 درصد افزایش بیش از 10 درصدی را پیش‌بینی می‌کنند. اولویت بالای امنیت ابری نشان دهنده نقش اساسی محیط های ابری، پلتفرم ها و ادغام ها در وضعیت امنیتی کلی سازمان است. همانطور که سازمان‌های بیشتری از پلتفرم‌ها و برنامه‌های کاربردی در سراسر IaaS، PaaS و SaaS استفاده می‌کنند، هزینه‌های مربوط به امنیت ابری همچنان رشد می‌کند.
منبع: راهنمای برنامه ریزی بودجه 2025 Forrester برای رهبران امنیتی و ریسک

دفاع از درآمد با API ها و زنجیره های تامین نرم افزار شروع می شود

یافتن راه‌های جدید برای محافظت از درآمد بخش مهمی از کار هر CISO است، به‌ویژه ابتکارات دیجیتال اول که تیم‌های DevOps سازم، برای رسیدن به آن در سال جاری سخت‌تر تلاش می‌کنند.

اولویت های پیشنهادی این گزارش به شرح زیر است:

تقویت زنجیره تامین نرم افزار و امنیت API ضروری است. Forrester با بیان اینکه پیچیدگی، تنوع و مقیاس سطوح حمله در زنجیره های تامین نرم افزار و مخازن API در حال افزایش است، تاکید می کند که امنیت در این دو زمینه ضروری است. درصد خیره‌کننده‌ای از شرکت‌ها قرب، حوادث زنجیره تامین نرم‌افزار شده‌اند و این امر بر نیاز به حفاظت بهتر برای خطوط لوله یکپارچه‌سازی/استقرار مداوم (CI/CD) تاکید می‌کند. کتابخانه‌های منبع باز، ابزارهای توسعه شخص ثالث و APIهای قدیمی که سال‌ها پیش ایجاد شده‌اند، تنها تعدادی از بردارهای تهدید هستند که زنجیره‌های تامین نرم‌افزار و APIها را آسیب‌پذیرتر می‌کنند.

همانطور که آسیب پذیری Log4j نشان می دهد، مهاجمان م،ب اغلب به دنبال به خطر انداختن مؤلفه های منبع باز توزیع شده گسترده هستند. تعریف یک استراتژی امنیتی API که مستقیماً با گردش کار DevOps ادغام می شود و فرآیند یکپارچه سازی مداوم و تحویل مداوم (CI/CD) را به ،وان یک سطح تهدید منحصر به فرد در نظر می گیرد، برای هر سازم، که امروزه در DevOps کار می کند بسیار مهم است. تشخیص و پاسخ API، سیاست‌های اصلاح، ارزیابی ریسک، و نظارت بر استفاده از API نیز برای سازمان‌ها ضروری است تا از این بردار حمله بالقوه محافظت کنند.

حسگرهای اینترنت اشیا همچنان آهنرباهای حمله هستند

اینترنت اشیا (IoT) رایج‌ترین بردار حمله است که توسط مهاجمان برای حمله به سیستم‌های کنترل صنعتی (ICS) و بسیاری از کارخانه‌های پردازش، مراکز توزیع و مراکز تولیدی که هر روز به آنها متکی هستند، استفاده می‌کنند. آژانس امنیت سایبری و امنیت زیرساخت همچنان هشدار می دهد که بازیگران ،ت-ملت دارایی های کنترل صنعتی آسیب پذیر را هدف قرار می دهند و امروز این آژانس سه دستورالعمل جدید برای سیستم های کنترل صنعتی منتشر کرد.

روندهای برتر Forrester در امنیت اینترنت اشیاء در گزارش سال 2024، که در اوایل امسال منتشر شد و توسط VentureBeat پوشش داده شد، نشان داد که 34 درصد از سازمان‌هایی که با نقض دستگاه‌های IoT هدف قرار گرفته‌اند، احتمال بیشتری دارد که هزینه‌های نقض تجمعی را بین 5 تا 10 میلیون دلار گزارش کنند در مقایسه با سازمان‌هایی که در معرض حملات سایبری به دستگاه های غیر IoT قرار گرفته اند.

الن باوم، معاون ارشد استراتژی و عملیات اینترنت اشیا در Keyfactor می‌نویسد: “در سال 2024، پتانسیل نوآوری اینترنت اشیا کمتر از تحول خواهد بود. اما با فرصت‌ها خطر نیز همراه است. هر دستگاه متصل یک نقطه دسترسی بالقوه برای یک عامل م،ب است.” Keyfactor در گزارش اخیر امنیت اینترنت اشیا خود، اعتماد دیجیتال در دنیای متصل: پیمایش وضعیت امنیت اینترنت اشیا، دریافت که ۹۳ درصد از سازمان‌ها برای تامین امنیت اینترنت اشیا و محصولات متصل با چالش‌هایی مواجه هستند.

ما در حال اتصال همه این دستگاه‌های اینترنت اشیا هستیم و همه این اتصالات آسیب‌پذیری‌ها و خطراتی را ایجاد می‌کنند، فکر می‌کنم با امنیت OT، می‌توان استدلال کرد که ارزش در خطر و به طور کلی خطرات ممکن است بالاتر از امنیت فناوری اطلاعات باشد. کوین دی هاف، رئیس و مدیر عامل شرکت ه،ول کانکتد اینترپرایز، سال گذشته طی مصاحبه ای به VentureBeat گفت: وقتی به زیرساخت و انواع دارایی هایی که ما محافظت می کنیم فکر می کنید، خطرات بسیار زیاد است.

DeHoff گفت: “بیشتر مشتریان هنوز در مورد وضعیت شبکه های فناوری اطلاعات و معماری خود یاد می گیرند.” من فکر می کنم یک آگاهی وجود دارد که اتفاق خواهد افتاد. “ما در زمان واقعی خطرات فناوری عملیاتی الکترونیکی را مشاهده می کنیم.”

حصول اطمینان از دسترسی به دستگاه‌های اینترنت اشیا با اطمینان صفر، کلیدی برای کاهش خطر نقض است. مؤسسه ملی استانداردها و فناوری (NIST) انتشارات ویژه NIST 800-207 را ارائه می دهد که برای ایمن سازی دستگاه های IoT مرتبط است، با توجه به تمرکز آن بر ایمن سازی شبکه هایی که در آن سیستم های امنیتی مبتنی بر محیطی سنتی با چالش محافظت از هر نقطه پای، روبرو نمی شوند.

عملگرایی باید بر بودجه های CISO در سال 2025 مسلط شود

Forrester هشدار می دهد: «ابزارهای بیش از حد، فناوری بیش از حد، و افراد کافی کماکان موضوع غالب در ا،یستم تکه تکه شده و فناوری سنگین فروشندگان امنیت سایبری است.

Forrester با توجه به پیامی که در سراسر راهنما بر آن تاکید شده است، برخورد با هزینه‌های امنیت سایبری را به ،وان یک سرمایه‌گذاری در درجه اول تجاری به ،وان اولویتی می‌بیند که مشتریانش باید بیشتر از آن استقبال کنند. پیام کاهش گسترش فناوری است که این شرکت قبلاً در مورد نیاز به استانداردسازی برنامه‌ها، ابزارها و بسته‌های امنیت سایبری ارائه کرده است.

زمان آن فرا رسیده است که امنیت سایبری را به ،وان یک موتور رشد تأمین کنیم، نه اینکه صرفاً برای بازدارندگی استفاده شود.

CISO ها می توانند با جستجوی فرصتی برای ارتقای نقش خود به یک گزارش مستقیم به مدیرعامل و در حالت ایده آل، در هیئت مدیره باشند تا به هدایت شرکت های خود در یک چشم انداز تهدید پیچیده تر کمک کنند، تعادل برقرار کنند.

معاون روزانه

مطلع باشید! آ،ین اخبار را روزانه در صندوق ورودی خود دریافت کنید

با اشتراک، با شرایط خدمات VentureBeat موافقت می کنید.

با تشکر از شما برای اشتراک. می تو،د خبرنامه های VB بیشتری را در اینجا بیابید.

خطایی رخ داد.


منبع: https://venturebeat.com/security/forresters-ciso-budget-priorities-for-2025-focus-on-api-supply-chain-security/