تحديد المخاطر وحساب العائد على الاستثمار ذكاء بيانات PlatoBlockchain. البحث العمودي. عاي.

تحديد المخاطر وحساب العائد على الاستثمار

الطابع الزمني: 21 سبتمبر 2022 ، الساعة 5:51 مساءً

يتعين على ممارسي الأمن معرفة كيفية تحقيق أهدافهم الأمنية بالميزانيات المتاحة لهم. ويجب عليهم أيضًا إثبات أن برامجهم الأمنية فعالة في حماية مؤسساتهم. يجب أن يكونوا قادرين على تبرير منتجات وأدوات الأمن السيبراني التي اشتروها وتوضيح عائد الاستثمار (ROI).

الآن هناك أداة لذلك. أصدرت SecurityScorecard حاسبة للمحتوى وعائد الاستثمار لمساعدة ممارسي الأمن في معرفة تقديرات عالية المستوى لتوضيح الوضع الأمني ​​العام للمؤسسة.

تقول سيندي تشو، كبيرة مسؤولي التسويق في SecurityScorecard: "في وقت يتسم بعدم اليقين الاقتصادي، يجب أن يكون تعزيز مواقف الأمن السيبراني أولوية، حيث تستغل الجهات الفاعلة السيئة التقلبات". "يجب أن تكون المؤسسات قادرة على معرفة وتوضيح ما إذا كانت منتجات وأدوات الأمن السيبراني التي اشترتها توفر عائدًا جيدًا على الاستثمار."

يقول تشو إنه يجب على الفرق الأمنية أن تأخذ في الاعتبار مجموعة واسعة من عوامل الخطر عند التفكير في ما يجب شراؤه لبرامجها الأمنية. تتضمن القائمة أمان الشبكة، وصحة DNS، وإيقاع التصحيح، وأمن نقطة النهاية، وسمعة IP، وأمن التطبيقات، ودرجة الوحدات، ومحادثة القراصنة، وتسريبات المعلومات، والهندسة الاجتماعية، ومعرفة سلسلة التوريد الرقمية الخاصة بهم.

حساب المخاطر لتبرير الإنفاق

إن تحديد حجم المخاطر السيبرانية من الناحية المالية يسمح للمؤسسات بفهم التأثير المالي للهجوم السيبراني، والحصول على نظرة ثاقبة حول التأثير المالي للهجوم السيبراني المخاطر التي يشكلها بائعوها، وقياس التخفيض في الخسائر المتوقعة إذا تم حل المشكلات. على سبيل المثال، قد يكلف منتج الأمن السيبراني 200,000 دولار؛ ومع ذلك، فإنه قد يحمي من اختراق بيانات بقيمة 5 ملايين دولار، وبالتالي يوفر للمنظمة أموالًا كبيرة على المدى الطويل.

يقول تشو: "يجب أن يكون مدراء تكنولوجيا المعلومات قادرين على قياس المخاطر الإلكترونية لأعمالهم لتبرير الإنفاق على مجموعة التكنولوجيا الإلكترونية الخاصة بهم".

وهناك عامل رئيسي آخر يتمثل في القدرة على شراء التأمين ضد المخاطر السيبرانية والأقساط المرتبطة به.

وتقول: "تستخدم العديد من شركات التأمين SecurityScorecard لتقييم ما إذا كانت الشركة مؤهلة للحصول على بوليصة التأمين". "يحتاج مدراء أمن المعلومات والمديرون الماليون إلى إثبات وضعهم الأمني ​​حتى يتم أخذهم في الاعتبار عند وضع السياسة."

تعتمد الآلة الحاسبة التفاعلية على البيانات التي تم جمعها لصالح شركة Forrester Consulting's التأثير الاقتصادي الإجمالي لبطاقة الأداء الأمني. قامت شركة Forrester Consulting ببناء نموذج مالي باستخدام صيغة التأثير الاقتصادي الإجمالي.

وكجزء من الدراسة، قام المستشارون بقياس تأثيرات وجود SecurityScorecard في المؤسسة، بما في ذلك زيادة الكفاءة في إدارة المخاطر، وكفاءة التكنولوجيا وتوحيدها، وتحسين الوضع الأمني. ولا يقتصر هذا النهج على قياس التكاليف وخفض التكاليف داخل المؤسسة فحسب، بل إنه يزن أيضًا القيمة التمكينية للتكنولوجيا في زيادة فعالية العمليات التجارية الشاملة.

تتوسع حاسبة عائد الاستثمار قدرات القياس الكمي للمخاطر السيبرانية (CRQ) الخاصة بـ SecurityScorecard، والتي تم تصميمها لمساعدة العملاء على فهم المخاطر السيبرانية من الناحية المالية كجزء من التحليل الشامل لمخاطر الأعمال.

الحصول على موافقة تنفيذية

يقول جون هيليكسون، كبير مسؤولي أمن المعلومات الميداني في Coalfire، إن كبار المسؤولين التنفيذيين ومجلس الإدارة معتادون على التركيز على الأداء المالي للمؤسسة، لذا يجب أن يكون رئيس أمن المعلومات قادرًا على قياس المخاطر الإلكترونية من الناحية المالية. بهذه الطريقة، يمكن لـ CISO أيضًا تبرير و إعطاء الأولوية للاستثمارات السيبرانية.

ويتيح ذلك لجميع الأطراف اتخاذ قرارات مستنيرة بشأن التأثير المالي والنتائج التجارية لهذه الاستثمارات.

يقول هيليكسون: "إن تبرير ومحاسبة الأشخاص والعمليات والتقنيات الموجودة بالفعل يضمن مراعاة ضوابط التخفيف الحالية في حسابات المخاطر الإجمالية".

من وجهة نظر هيليكسون، فإن التحقق من شمولية استراتيجية الأمن السيبراني، ومعرفة مستوى النضج والمخاطر للاستثمارات الحالية، وتقدير كيف ستعمل الاستثمارات المستقبلية على تحسين هذا النضج وإدارة تلك المخاطر بفعالية هو أمر أساسي لكسب ثقة ودعم المسؤولين التنفيذيين.

ويضيف: "إن تركيز الإنفاق على ضمان عدم الاختراق قد ذهب هباءً عندما توقفت تكتيكات الخوف وعدم اليقين والشك عن العمل منذ ما يقرب من عقد من الزمن عندما استمرت الاستثمارات الأمنية في الارتفاع سنة بعد سنة".

إن بناء إستراتيجية برنامج إلكتروني يوضح نتائج الأعمال الإيجابية يذهب إلى أبعد من ذلك بكثير في قدرة CISO على التأثير على المديرين التنفيذيين الآخرين.

لسنوات، قامت المؤسسات بزيادة الإنفاق، وخاصة الإنفاق على أمان التطبيقات، وما زالت تفشل في تحقيق نوع التغطية التي ترغب بها لمجموعة تطبيقاتها، كما يقول جون ستيفن، مدير التكنولوجيا التنفيذي في ThreatModeler.

"عندما ترى المؤسسات أن هذا الإنفاق غير مستدام، ناهيك عن معدل النمو المطلوب، يجب على المسؤولين التنفيذيين في مجال الأمن إثبات أنهم لا ينجزون الأشياء فحسب، بل ينجزون المزيد من المهام مقابل أقل من أقرانهم من كبار مسؤولي أمن المعلومات، أو أولئك الذين سبقوهم". يقول.

ويضيف ستيفن أنه على الرغم من شيوع الخروقات في جميع أنحاء الصناعة، إلا أنها ربما تكون نادرة داخل مؤسسة واحدة، لذلك يجب أن يكون "الوقت منذ الاختراق" مؤشرًا هادئًا إلى حد ما للنشاط والنتيجة.

ويقول: "إن التركيز على تمكين التسليم أو الاحتكاك بالعملاء يمكن أن يكون أكثر تأثيرًا بشكل ملحوظ".

الطابع الزمني:

اكثر من قراءة مظلمة