به خبرنامههای روزانه و هفتگی ما بپیوندید تا آ،ین بهروزرس،ها و محتوای انحصاری را در زمینه پوشش هوش مصنوعی پیشرو در صنعت ما دریافت کنید. بیشتر بد،د
تا سال 2025، حفاظت از درآمد و کاهش ریسک ،بوکار باید بر بودجههای CISO مسلط شود و سرمایهگذاریهای همسو با فرآیندهای تجاری در اولویت قرار گیرد.
آ،ین راهنمای برنامهریزی بودجه امنیتی و ریسک Forrester نشان میدهد که تامین امنیت داراییهای فناوری اطلاعات حیاتی تجاری باید در سال آینده اولویت اصلی باشد. فورستر در این گزارش نوشت: «افزایش بودجهای که CIOها در سال 2025 دریافت خواهند کرد، باید رسیدگی به تهدیدها و کنترلها در امنیت برنامههای کاربردی، افراد و زیرساختهای حیاتی ،بوکار را در اولویت قرار دهند».
CISO ها باید برای به دست آوردن حقوق امنیتی برنامه ها، ایمن سازی زیرساخت های حیاتی تجاری و بهبود مدیریت ریسک انس،، تلاش خود را در زمینه مدیریت تهدید و کنترل ها مضاعف کنند. Forrester امنیت زنجیره تامین نرمافزار، امنیت API و شناسایی تهدید IoT/OT را کلید عملیات تجاری میداند و به CISOها توصیه میکند در این زمینهها سرمایهگذاری کنند.
دستیابی به درآمد حاصل از محافظت از ،ب و کارهای دیجیتالی جدید و در عین حال ایمن نگه داشتن زیرساخت فناوری اطلاعات در یک بودجه محدود، راهی اثبات شده برای CISO ها برای پیشبرد حرفه خود است.
ابتدا امنیت سایبری را به ،وان یک تصمیم تجاری در نظر بگیرید
مهمترین نکته از راهنمای برنامه ریزی Forrester این است که سرمایه گذاری در امنیت سایبری باید ابتدا یک تصمیم تجاری در نظر گرفته شود. یافتهها و دستورالعملهای کلیدی این گزارش بر این نکته تأکید میکند که چگونه و چرا CISO باید بین ابزارها و هزینهها برای به حدا،ر رساندن رشد درآمد و در عین حال بازدهی قوی در سرمایهگذاریهای خود، معاوضه ایجاد کنند.
Forrester از CISOها میخواهد تا به هر برنامه، ابزار یا ،یبی که به گسترش فناوری کمک میکند نگاهی دقیق بیندازند و با اضافه شدن فناوریهای جدید، آن را از پشتههای فناوری خود حذف کنند.
بینش های مهم از راهنمای برنامه ریزی بودجه Forrester در مورد امنیت و ریسک عبارتند از:
- انتظار می رود 90 درصد از CISO ها در سال آینده شاهد افزایش بودجه باشند. بودجه امنیت سایبری به طور متوسط تنها 5.7 درصد از هزینه های سالانه فناوری اطلاعات است. با توجه به اینکه نقش CISO در حفاظت از جریان های درآمدی جدید و تقویت زیرساخت ها چقدر گسترده است، این کوچک است. Forrester به بررسی برنامه ریزی بودجه 2024 خود در راهنما اشاره می کند و انتظار دارد که بودجه در 12 ماه آینده همچنان افزایش یابد. ده درصد انتظار افزایش بیش از 10 درصدی را در دوازده ماه آینده دارند. یک سوم انتظار افزایشی بین 5 تا 10 درصد و تقریباً نیمی از آنها افزایش متوسط بین 1 تا 4 درصد را انتظار دارند. تنها هفت درصد از بودجه ها ثابت می ماند و تنها سه درصد انتظار دارند که بودجه ها در سال 2025 کاهش یابد.
- اکنون گسترش فناوری را کنترل کنید. ،تر هشدار میدهد که گسترش فناوری قاتل خاموش سودهای بودجه است. طبق یک مطالعه اخیر ISG، به طور متوسط، CISO ها فقط بیش از یک سوم بودجه خود را از نرم افزار دریافت می کنند، که هزینه آن ها برای سخت افزار را دو برابر می کند و همچنین از هزینه های کارکنان خود بیشتر می شود. فورستر در این مقاله نوشت: «برای مبارزه با مشکل واقعی که واقعاً رهبران امنیتی را درگیر می کند – گسترش فناوری – ما توصیه می کنیم یک رویکرد محافظه کارانه برای معرفی ابزارها و فروشندگان جدید با این اصل عملی داشته باشید: هیچ چیز جدیدی را بدون خلاص شدن از شر چیز دیگری اضافه نکنید. گزارش
منبع: راهنمای برنامه ریزی بودجه 2025 Forrester برای رهبران امنیتی و ریسک
- انتظار میرود امنیت ابری، فناوری جدید امنیتی بهروز شده که در محل اجرا میشود، و ابتکارات آموزشی و آگاهی امنیتی، بودجههای امنیتی را تا 10 درصد یا بیشتر در سال 2025 افزایش دهند. شایان ذکر است، 81 درصد از تصمیمگیرندگان فناوری امنیت انتظار دارند که هزینههایشان برای امنیت ابری در سال 2025 افزایش یابد، 37 درصد افزایش 5 تا 10 درصدی و 30 درصد افزایش بیش از 10 درصدی را پیشبینی میکنند. اولویت بالای امنیت ابری نشان دهنده نقش اساسی محیط های ابری، پلتفرم ها و ادغام ها در وضعیت امنیتی کلی سازمان است. همانطور که سازمانهای بیشتری از پلتفرمها و برنامههای کاربردی در سراسر IaaS، PaaS و SaaS استفاده میکنند، هزینههای مربوط به امنیت ابری همچنان رشد میکند.
دفاع از درآمد با API ها و زنجیره های تامین نرم افزار شروع می شود
یافتن راههای جدید برای محافظت از درآمد بخش مهمی از کار هر CISO است، بهویژه ابتکارات دیجیتال اول که تیمهای DevOps سازم، برای رسیدن به آن در سال جاری سختتر تلاش میکنند.
اولویت های پیشنهادی این گزارش به شرح زیر است:
تقویت زنجیره تامین نرم افزار و امنیت API ضروری است. Forrester با بیان اینکه پیچیدگی، تنوع و مقیاس سطوح حمله در زنجیره های تامین نرم افزار و مخازن API در حال افزایش است، تاکید می کند که امنیت در این دو زمینه ضروری است. درصد خیرهکنندهای از شرکتها قرب، حوادث زنجیره تامین نرمافزار شدهاند و این امر بر نیاز به حفاظت بهتر برای خطوط لوله یکپارچهسازی/استقرار مداوم (CI/CD) تاکید میکند. کتابخانههای منبع باز، ابزارهای توسعه شخص ثالث و APIهای قدیمی که سالها پیش ایجاد شدهاند، تنها تعدادی از بردارهای تهدید هستند که زنجیرههای تامین نرمافزار و APIها را آسیبپذیرتر میکنند.
همانطور که آسیب پذیری Log4j نشان می دهد، مهاجمان م،ب اغلب به دنبال به خطر انداختن مؤلفه های منبع باز توزیع شده گسترده هستند. تعریف یک استراتژی امنیتی API که مستقیماً با گردش کار DevOps ادغام می شود و فرآیند یکپارچه سازی مداوم و تحویل مداوم (CI/CD) را به ،وان یک سطح تهدید منحصر به فرد در نظر می گیرد، برای هر سازم، که امروزه در DevOps کار می کند بسیار مهم است. تشخیص و پاسخ API، سیاستهای اصلاح، ارزیابی ریسک، و نظارت بر استفاده از API نیز برای سازمانها ضروری است تا از این بردار حمله بالقوه محافظت کنند.
حسگرهای اینترنت اشیا همچنان آهنرباهای حمله هستند
اینترنت اشیا (IoT) رایجترین بردار حمله است که توسط مهاجمان برای حمله به سیستمهای کنترل صنعتی (ICS) و بسیاری از کارخانههای پردازش، مراکز توزیع و مراکز تولیدی که هر روز به آنها متکی هستند، استفاده میکنند. آژانس امنیت سایبری و امنیت زیرساخت همچنان هشدار می دهد که بازیگران ،ت-ملت دارایی های کنترل صنعتی آسیب پذیر را هدف قرار می دهند و امروز این آژانس سه دستورالعمل جدید برای سیستم های کنترل صنعتی منتشر کرد.
روندهای برتر Forrester در امنیت اینترنت اشیاء در گزارش سال 2024، که در اوایل امسال منتشر شد و توسط VentureBeat پوشش داده شد، نشان داد که 34 درصد از سازمانهایی که با نقض دستگاههای IoT هدف قرار گرفتهاند، احتمال بیشتری دارد که هزینههای نقض تجمعی را بین 5 تا 10 میلیون دلار گزارش کنند در مقایسه با سازمانهایی که در معرض حملات سایبری به دستگاه های غیر IoT قرار گرفته اند.
الن باوم، معاون ارشد استراتژی و عملیات اینترنت اشیا در Keyfactor مینویسد: “در سال 2024، پتانسیل نوآوری اینترنت اشیا کمتر از تحول خواهد بود. اما با فرصتها خطر نیز همراه است. هر دستگاه متصل یک نقطه دسترسی بالقوه برای یک عامل م،ب است.” Keyfactor در گزارش اخیر امنیت اینترنت اشیا خود، اعتماد دیجیتال در دنیای متصل: پیمایش وضعیت امنیت اینترنت اشیا، دریافت که ۹۳ درصد از سازمانها برای تامین امنیت اینترنت اشیا و محصولات متصل با چالشهایی مواجه هستند.
ما در حال اتصال همه این دستگاههای اینترنت اشیا هستیم و همه این اتصالات آسیبپذیریها و خطراتی را ایجاد میکنند، فکر میکنم با امنیت OT، میتوان استدلال کرد که ارزش در خطر و به طور کلی خطرات ممکن است بالاتر از امنیت فناوری اطلاعات باشد. کوین دی هاف، رئیس و مدیر عامل شرکت ه،ول کانکتد اینترپرایز، سال گذشته طی مصاحبه ای به VentureBeat گفت: وقتی به زیرساخت و انواع دارایی هایی که ما محافظت می کنیم فکر می کنید، خطرات بسیار زیاد است.
DeHoff گفت: “بیشتر مشتریان هنوز در مورد وضعیت شبکه های فناوری اطلاعات و معماری خود یاد می گیرند.” من فکر می کنم یک آگاهی وجود دارد که اتفاق خواهد افتاد. “ما در زمان واقعی خطرات فناوری عملیاتی الکترونیکی را مشاهده می کنیم.”
حصول اطمینان از دسترسی به دستگاههای اینترنت اشیا با اطمینان صفر، کلیدی برای کاهش خطر نقض است. مؤسسه ملی استانداردها و فناوری (NIST) انتشارات ویژه NIST 800-207 را ارائه می دهد که برای ایمن سازی دستگاه های IoT مرتبط است، با توجه به تمرکز آن بر ایمن سازی شبکه هایی که در آن سیستم های امنیتی مبتنی بر محیطی سنتی با چالش محافظت از هر نقطه پای، روبرو نمی شوند.
عملگرایی باید بر بودجه های CISO در سال 2025 مسلط شود
Forrester هشدار می دهد: «ابزارهای بیش از حد، فناوری بیش از حد، و افراد کافی کماکان موضوع غالب در ا،یستم تکه تکه شده و فناوری سنگین فروشندگان امنیت سایبری است.
Forrester با توجه به پیامی که در سراسر راهنما بر آن تاکید شده است، برخورد با هزینههای امنیت سایبری را به ،وان یک سرمایهگذاری در درجه اول تجاری به ،وان اولویتی میبیند که مشتریانش باید بیشتر از آن استقبال کنند. پیام کاهش گسترش فناوری است که این شرکت قبلاً در مورد نیاز به استانداردسازی برنامهها، ابزارها و بستههای امنیت سایبری ارائه کرده است.
زمان آن فرا رسیده است که امنیت سایبری را به ،وان یک موتور رشد تأمین کنیم، نه اینکه صرفاً برای بازدارندگی استفاده شود.
CISO ها می توانند با جستجوی فرصتی برای ارتقای نقش خود به یک گزارش مستقیم به مدیرعامل و در حالت ایده آل، در هیئت مدیره باشند تا به هدایت شرکت های خود در یک چشم انداز تهدید پیچیده تر کمک کنند، تعادل برقرار کنند.
معاون روزانه
مطلع باشید! آ،ین اخبار را روزانه در صندوق ورودی خود دریافت کنید
با اشتراک، با شرایط خدمات VentureBeat موافقت می کنید.
با تشکر از شما برای اشتراک. می تو،د خبرنامه های VB بیشتری را در اینجا بیابید.
خطایی رخ داد.
منبع: https://venturebeat.com/security/forresters-ciso-budget-priorities-for-2025-focus-on-api-supply-chain-security/