Sikkerhedsudøvere skal finde ud af, hvordan de kan nå deres sikkerhedsmål med de budgetter, de har. De skal også vise, at deres sikkerhedsprogrammer er effektive til at beskytte deres organisationer. De skal være i stand til at retfærdiggøre de cybersikkerhedsprodukter og værktøjer, de har købt, og formulere investeringsafkastet (ROI).
Nu er der et værktøj til det. SecurityScorecard udgav en indholds- og ROI-beregner for at hjælpe sikkerhedspersonale med at finde frem til estimater på højt niveau for at illustrere organisationens overordnede sikkerhedsposition.
"I en tid med økonomisk usikkerhed skal styrkelse af cybersikkerhedsstillinger være en prioritet, da dårlige aktører drager fordel af volatilitet," siger Cindy Zhou, Chief Marketing Officer hos SecurityScorecard. "Organisationer skal være i stand til at vide og formulere, om de cybersikkerhedsprodukter og -værktøjer, de har købt, giver et solidt ROI."
Sikkerhedsteams bør overveje en lang række risikofaktorer, når de overvejer, hvad de skal købe til deres sikkerhedsprogrammer, siger Zhou. Listen inkluderer netværkssikkerhed, DNS-sundhed, patching-kadence, slutpunktssikkerhed, IP-omdømme, applikationssikkerhed, cubit-score, hacker-chatter, informationslæk, social engineering og at kende deres digitale forsyningskæde.
Beregning af risiko for at retfærdiggøre forbrug
Kvantificering af cyberrisiko i økonomiske termer giver organisationer mulighed for at forstå de økonomiske konsekvenser af et cyberangreb, få indsigt i risici, som deres leverandører udgør, og kvantificere reduktionen i forventede tab, hvis problemer løses. For eksempel kan et cybersikkerhedsprodukt koste 200,000 USD; det kan dog forsvare sig mod et databrud på 5 millioner dollars, og dermed spare organisationen for betydelige midler i det lange løb.
"CISO'er skal være i stand til at kvantificere deres virksomheds cyberrisiko for at retfærdiggøre forbruget på deres cybertech-stack," siger Zhou.
En anden nøglefaktor er muligheden for at anskaffe cyberrisikoforsikring og de tilhørende præmier.
"Mange forsikringsselskaber bruger SecurityScorecard til at vurdere, om et selskab er berettiget til en police," siger hun. "CISO'er og CFO'er skal demonstrere deres sikkerhedsposition bare for at komme i betragtning til en politik."
Den interaktive regnemaskine er baseret på data indsamlet til Forrester Consulting's Total økonomisk effekt af SecurityScorecard. Forrester Consulting konstruerede en finansiel model ved hjælp af en Total Economic Impact-formel.
Som en del af undersøgelsen kvantificerede konsulenterne effekterne af at have SecurityScorecard i virksomheden, herunder øget effektivitet i risikostyring, teknologieffektivitet og konsolidering samt forbedret sikkerhedsposition. Denne tilgang måler ikke kun omkostninger og omkostningsreduktion i en organisation, men den vejer også værdien af en teknologis muliggørende værdi for at øge effektiviteten af overordnede forretningsprocesser.
ROI-beregneren udvides SecurityScorecards Cyber Risk Quantification (CRQ) muligheder, som er designet til at hjælpe kunder med at forstå cyberrisiko i økonomiske termer som en del af holistisk forretningsrisikoanalyse.
Få Executive Buy-In
C-suiten og bestyrelsen er vant til at fokusere på organisationens økonomiske præstationer, så CISO skal være i stand til at kvantificere cyber-risiko i økonomiske termer, siger John Hellickson, field CISO hos Coalfire. På denne måde kan CISO også begrunde og prioritere cyberinvesteringer.
Dette lader alle parter træffe informerede beslutninger om de økonomiske konsekvenser og forretningsresultater af sådanne investeringer.
"Begrundelse og redegørelse for de mennesker, processer og teknologier, der allerede er på plads, sikrer, at de nuværende afbødende kontroller tages i betragtning i de overordnede risikoberegninger," siger Hellickson.
Fra Hellicksons perspektiv er validering af omfattende cybersikkerhedsstrategien, kendskab til modenheds- og risikoniveauet for nuværende investeringer og estimering af, hvordan fremtidige investeringer vil forbedre denne modenhed og effektivt styre denne risiko nøglen til at opnå ledelsens tillid og støtte.
"At fokusere udgifterne på forsikringen om ikke at blive overtrådt gik næsten af vejen, da frygt, usikkerhed og tvivlstaktikker holdt op med at virke for næsten et årti siden, da sikkerhedsinvesteringer år efter år fortsatte med at stige," tilføjer han.
Opbygning af en cyberprogramstrategi, der viser positive forretningsresultater, går meget længere i CISO's evne til at påvirke andre ledere.
I årevis har organisationer øget deres forbrug, især applikationssikkerhed, og de har stadig ikke opnået den form for dækning af deres applikationsportefølje, de ønsker, siger John Steven, CTO for ThreatModeler.
"Når organisationer ser dette forbrug som uholdbart, endsige den ønskede vækstrate, skal sikkerhedsledere demonstrere, at de ikke kun får tingene gjort, men får mere gjort for mindre end peer CISO'er eller dem, der er kommet før dem," han siger.
Så almindelige som brud er på tværs af branchen, er de sandsynligvis sjældne inden for en enkelt organisation, så "tid siden brud" burde være en ret søvnig indikator for aktivitet og resultat, tilføjer Steven.
"At fokusere på leveringsaktivering eller kundefriktion kan være væsentligt mere virkningsfuldt," siger han.
