A vállalati kockázatok kezelésének három alappillére az irányítás, azaz a governance kockázatkezelés, azaz a riskmanagement, valamint a megfelelőség, azaz a compliance. Az IDC szerint a területet kiszolgáló GRC szoftverek értékesítése látványos felfutás előtt áll. A gyártók 2021-ig évi 6,7 százalékos növekedéssel számolhatnak. Az amerikai piackutató szerint akkorra a globális piac mérete már most is közelít a 12 milliárd dollárhoz.

A döntés a felsővezetőké

A téma egyre nagyobb hangsúlyt kap a vállalatoknál. A szabályozói környezet bonyolult és gyorsan változik, egyre több kibertámadást éri a válalatokat, melyek nem csak anyagi, hanem reputációs veszteségeket is okoz azzal, hogy csorbítja a támadás elszenvedőjének jó hírnevét.

Az integrált CRG rendszerekben a givernance biztosítja, hogy a menedzsment számára szükséges információk teljes körűen és időben álljanak rendelkezésre. A kockázatmenedzsmenten keresztül azonosíthatják és elemezhetik az üzletmenetet érintő kockázatokat, valamint szükség esetén reagálni is tudnak azokra. A folyamatosan változó szabályzóknak való megfelelést pedig a compliance eszközök támogatják. Beazonosítják a kapcsolódó törvényeket, rendeleteket, a stratégiát és az üzletpolitikát, és értékelik a megfelelés szintjét. Továbbá összemérik a  kockázatok és a megfelelőségekkel kapcsolatos hiányosságok költségét a tervekkel, illetve meghozzák a szükséges korrekciós intézkedéseket.

A GRC szoftverek iránti keresletet számos tényező miatt nő. A szabályozói környezet egyre komplexebb, ami egyre nagyobb nyomást gyakorol a vállalatvezetésre mind irányítási és kockázatkezelési, mind  megfelelőségi szempontból.

Mivel a felelős irányításnak, a biztonsági kockázatoknak igen nagy hatása lehet az adott vállalat hírnevére és kedvezőtlen fordulatok esetén pénzben mérhető következménnyel is jár, a téma egyértelműen a felsővezetői kör hatáskörébe tartozik.  A felelősségi körbe ugyanakkor az üzletmenetben résztvevő alsóbb szinteknek is be kell kerülniük, a GRC szoftverek integrálása a többi vállalatirányítási rendszerbe pedig legalább annyira fontos, mint a riportolás.

Az IDC elemzői szerint a GRC-piacra is igaz, hogy a felhasználók gazdag szolgáűltatású, intuitív és jól konfigurálható platformot szeretnének használni, ami kiterjedt integrációs lehetőségeket is kínál. Szintén egyre általánosabb elvárás az automatikus riportolás és riasztás, valamint mobil eszközöközről történő elérhetőség. Érdekes tendencia, hogy a GRC-piacon átlagon felüli mértékben növekedtek a felhőalapú megoldások. A felhős GRC-re egyébként elsősorban kkv-k és a kevésbé szabályozott iparágakban tevékenykedő vállalkozások a legynitottabbak.

Az IDC öt szegmenst azonosított a piacon: a GRC Integrated Suite rendszereket, az irányítási és megfelelőségmenedzsment applikációkat, a nagyvállalati kockázatmenedzsment alkalmazásokat, auditmenedzsment megoldásokat, valamint az üzleti rugalmasság applikációkra. Az első, teljesen integrált csoport adja a piac 20 százalékát, és itt egészséges növekedéssel számolnak az elemzők.

Szakemberek csillagászati fizetésekkel

A kockázatkezelés központba kerülése azonban nem csak a szoftverpiacra hatott, hanem nőtt a kereslet a területhez értő szakemberek, különösen az IT-biztonsági szakértők iránt. Tíz-húsz évvel ezelőtt még legfeljebb a biztonsági cégek, különféle kormányzati ügynökségek alkalmaztak nagy számban biztonsági szakértőket. Ahogy azonban a technológia lényegében a teljes gazdaságot átszőtte, felrobbant az álláspiacnak ezen szegmense (is).

Egyre több iparágban, leginkább az autóiparban, az egészségügyben nőtt meg szakértelmükre a kereslet, de a dolgok internete (IoT) és az okos eszközök is bőven ellátják őket munkával.

Az amerikai Center for Cyber Safety and Education szerint 2022-ben már 1,8 millió jól képzett biztonsági szakember hiányzott a piacról világszerte. A cégek más módon is védekezni próbálnak a kívülről érkező támadások ellen, számos vállalat indít ún. bug bounty programokat, azaz jutalmat fizet, ha valaki új és reprodukálható hibát talál a szoftverében.  

Ez mindenkinek megéri. Az egyik ilyen programot kezelő amerikai cég a HackerOne, 2014 óta már vagy 18 millió dollárt fizetett ki több mint 50 ezer kártevő felderítéséért – írja a Reuters az egyik legutóbbi Las Vegas-i hackerkonferenciáról szóló tudósításában. Ezeket ahibáka egy belsős csapattal sokkal kevésbé hatékonyan, és persze sokkal drágábban lehetett volna feltárni. A bug bounty programok logiája ugyanis olyan, hogy automatikusan biztosítja a motivációt: mindig a legmotiváltabb és legtehetségesebb hibakerső tudja azonosítanai jut a legygyorsabban, így övé a pénz és a dicsőség is.

És, hogy milyen jó üzlet az etikus hackerség? A HackerOne egyik legismertebb szakembere tavaly a kártevő felderítésből 500 ezer dollárt keresett, jóval többet, mint korábban az NCC tanácsadó cégnél, ahol teljes állásban dolgozott biztonsági szakértőként.