Исследование Kaspersky выявило проблемы в инвестициях и стратегии корпоративной кибербезопасности в Латинской Америке. Согласно исследованию, 56% организаций не имеют регулярного графика оценки рисков, что подчеркивает необходимость принятия прагматичного подхода на основе четких диагностик для укрепления устойчивости к киберугрозам. Преувеличенное восприятие защиты затрудняет обоснование инвестиций и устранение критических уязвимостей. Даниэла Альварес де Луго, генеральный менеджер по региону Северная Латинская Америка в Kaspersky, отмечает: «Многие компании движутся в области кибербезопасности почти вслепую, без конкретного понимания своих реальных уязвимостей. Эта отсутствие систематической практики мешает выявлению скрытых уязвимостей и ограничивает развитие необходимой устойчивости перед текущим ландшафтом киберугроз». Стратегические и доверительные вызовы Другой важный вывод исследования показывает, что 29% опрошенных утверждают, что не имеют четкой стратегии безопасности. Она должна основываться на структурированной диагностике текущего состояния безопасности или анализе рисков, сфокусированном на потенциальном воздействии инцидента, таком как Факторный анализ информационных рисков (FAIR). На основе этой диагностики команда безопасности получает объективный документ, который определяет критические области, требующие улучшений, и обосновляет первые инвестиции, определяя конкретные и измеримые выгоды. Альварес де Луго добавляет, что, хотя бюджет может быть ограничивающим фактором, прагматичный подход позволяет установить адекватный уровень защиты для каждой организации, а также необходимые инвестиции и время для его достижения. Эти данные подтверждают, что трудности заключаются не только в исполнении, но и в отсутствии структурированного руководства, которое бы направляло приоритизацию ресурсов и определение минимально необходимого уровня защиты. Эта дисциплина в пересмотре слабых мест и рисков коррелирует с разрывом между самоуверенностью компаний в своей цифровой защите и реальным уровнем безопасности. Исследование подчеркивает, что более половины организаций (56%) также не поддерживают регулярный график оценки рисков, что заставляет их действовать реактивно, пересматривая меры защиты только после инцидента или внешнего предупреждения. Отсутствие структурированных диагностик и оценок рисков создает критический разрыв. Руководитель подчеркивает, что точное определение уровня экспозиции является ключевым для организации приоритетов и построения последовательного эволюционного пути. Прагматичный подход и цикл непрерывного улучшения Для изменения этой ситуации Kaspersky рекомендует ответственным за цифровую безопасность принять прагматичный подход. Согласно недавнему опросу Kaspersky среди руководителей по цифровой безопасности в регионе, принятие решений об инвестициях в корпоративную кибербезопасность представляет значительную сложность для 40% лидеров в Латинской Америке. Это приводит к разрозненным усилиям и решениям, которые не всегда отвечают самым срочным потребностям. Хотя большинство компаний в регионе проводят симуляции инцидентов — 43% ежемесячно и 38% ежеквартально — одна из пяти организаций полностью лишена этой рутинной проверки. «С малого бизнеса, стремящегося установить базовые контрольные меры, до крупных корпораций, требующих более сложной архитектуры, все могут объективно планировать улучшения», — заключает она. Чтобы обеспечить эффективность инвестиций и цикл постоянного совершенствования, Kaspersky предлагает следующие практики: Ключевые рекомендации для эффективных инвестиций • Установить регулярный график оценки рисков с минимальной периодичностью раз в квартал или полугодие. • Проводить симуляции атак ежемесячно или ежеквартально для измерения прогресса и корректировки действий по смягчению последствий и реагированию на инциденты. • Определить четкие индикаторы рисков, связанные с планами непрерывности деятельности и операционным воздействием на бизнес. • Пересматривать политики и меры контроля на основе данных о новых атаках или рисках, доступных через службы разведки угроз, а не ограничиваясь только критериями нормативного соответствия. • Синхронизировать инвестиции с ожидаемыми результатами, придавая приоритет исправлениям, которые снижают уровень экспозиции и укрепляют корпоративное управление. Организации, заинтересованные в более глубоком изучении темы, могут ознакомиться с полным отчетом опроса CISO 2025.
