Sicherheitsexperten müssen herausfinden, wie sie ihre Sicherheitsziele mit den ihnen zur Verfügung stehenden Budgets erreichen können. Sie müssen auch nachweisen, dass ihre Sicherheitsprogramme ihre Organisationen wirksam schützen. Sie müssen in der Lage sein, die von ihnen erworbenen Cybersicherheitsprodukte und -tools zu rechtfertigen und den Return on Investment (ROI) zu benennen.
Jetzt gibt es ein Tool dafür. SecurityScorecard hat einen Inhalts- und ROI-Rechner veröffentlicht, der Sicherheitsexperten dabei hilft, allgemeine Schätzungen zu ermitteln, um die allgemeine Sicherheitslage des Unternehmens zu veranschaulichen.
„In einer Zeit wirtschaftlicher Unsicherheit muss die Stärkung der Cybersicherheit Priorität haben, da böswillige Akteure die Volatilität ausnutzen“, sagt Cindy Zhou, Chief Marketing Officer bei SecurityScorecard. „Organisationen müssen wissen und artikulieren können, ob die von ihnen erworbenen Cybersicherheitsprodukte und -tools einen soliden ROI bieten.“
Sicherheitsteams sollten bei der Kaufentscheidung für ihre Sicherheitsprogramme eine Vielzahl von Risikofaktoren berücksichtigen, sagt Zhou. Die Liste umfasst Netzwerksicherheit, DNS-Zustand, Patch-Taktfrequenz, Endpunktsicherheit, IP-Reputation, Anwendungssicherheit, Cubit-Score, Hacker-Chatter, Informationslecks, Social Engineering und die Kenntnis ihrer digitalen Lieferkette.
Risikoberechnung zur Rechtfertigung von Ausgaben
Die Quantifizierung des Cyberrisikos in finanzieller Hinsicht ermöglicht es Unternehmen, die finanziellen Auswirkungen eines Cyberangriffs zu verstehen und Einblicke in die Situation zu gewinnen Risiken, die ihre Lieferanten darstellenund quantifizieren Sie die Reduzierung der erwarteten Verluste, wenn die Probleme gelöst werden. Beispielsweise kann ein Cybersicherheitsprodukt 200,000 US-Dollar kosten; Es kann sich jedoch gegen einen Datenschutzverstoß in Höhe von 5 Millionen US-Dollar wehren und so der Organisation auf lange Sicht erhebliche Kosten ersparen.
„CISOs müssen in der Lage sein, das Cyberrisiko ihres Unternehmens zu quantifizieren, um die Ausgaben für ihren Cybertech-Stack zu rechtfertigen“, sagt Zhou.
Ein weiterer wichtiger Faktor ist die Möglichkeit, eine Cyber-Risikoversicherung und die damit verbundenen Prämien abzuschließen.
„Viele Versicherer nutzen SecurityScorecard, um zu beurteilen, ob ein Unternehmen für eine Police berechtigt ist“, sagt sie. „CISOs und CFOs müssen ihre Sicherheitslage nachweisen, um für eine Richtlinie in Betracht gezogen zu werden.“
Der interaktive Rechner basiert auf Daten, die für Forrester Consulting gesammelt wurden Gesamtwirtschaftliche Auswirkungen von SecurityScorecard. Forrester Consulting hat ein Finanzmodell anhand einer Total Economic Impact-Formel erstellt.
Im Rahmen der Studie quantifizierten die Berater die Auswirkungen des Einsatzes von SecurityScorecard im Unternehmen, einschließlich einer gesteigerten Effizienz beim Risikomanagement, technologischer Effizienz und Konsolidierung sowie einer verbesserten Sicherheitslage. Dieser Ansatz misst nicht nur die Kosten und Kostensenkungen innerhalb einer Organisation, sondern wägt auch den entscheidenden Wert einer Technologie für die Steigerung der Effektivität der gesamten Geschäftsprozesse ab.
Der ROI-Rechner erweitert sich Die Cyber Risk Quantification (CRQ)-Funktionen von SecurityScorecard, die Kunden im Rahmen einer ganzheitlichen Geschäftsrisikoanalyse dabei helfen sollen, Cyber-Risiken in finanzieller Hinsicht zu verstehen.
Erhalten Sie die Zustimmung der Geschäftsleitung
Die C-Suite und der Vorstand sind es gewohnt, sich auf die finanzielle Leistung des Unternehmens zu konzentrieren, daher muss der CISO in der Lage sein, das Cyber-Risiko in finanzieller Hinsicht zu quantifizieren, sagt John Hellickson, Field CISO bei Coalfire. Auf diese Weise kann der CISO auch rechtfertigen und Priorisieren Sie Cyber-Investitionen.
Dadurch können alle Parteien fundierte Entscheidungen über die finanziellen Auswirkungen und Geschäftsergebnisse solcher Investitionen treffen.
„Durch die Begründung und Berücksichtigung der bereits vorhandenen Personen, Prozesse und Technologien wird sichergestellt, dass aktuelle Abhilfemaßnahmen in den Gesamtrisikoberechnungen berücksichtigt werden“, sagt Hellickson.
Aus Hellicksons Sicht ist die Validierung der Vollständigkeit der Cybersicherheitsstrategie, die Kenntnis des Reifegrads und des Risikoniveaus aktueller Investitionen und die Einschätzung, wie zukünftige Investitionen diesen Reifegrad verbessern und dieses Risiko effektiv bewältigen werden, der Schlüssel zum Gewinn von Vertrauen und Unterstützung der Führungskräfte.
„Die Fokussierung der Ausgaben auf die Sicherheit, nicht verletzt zu werden, blieb fast auf der Strecke, als die Taktiken aus Angst, Unsicherheit und Zweifel vor fast einem Jahrzehnt nicht mehr funktionierten, als die Sicherheitsinvestitionen Jahr für Jahr weiter stiegen“, fügt er hinzu.
Der Aufbau einer Cyber-Programmstrategie, die positive Geschäftsergebnisse zeigt, trägt wesentlich dazu bei, dass der CISO andere Führungskräfte beeinflussen kann.
Seit Jahren erhöhen Unternehmen ihre Ausgaben, insbesondere für die Anwendungssicherheit, und es ist ihnen immer noch nicht gelungen, die gewünschte Abdeckung ihres Anwendungsportfolios zu erreichen, sagt John Steven, CTO von ThreatModeler.
„Wenn Unternehmen diese Ausgaben als nicht nachhaltig erachten, ganz zu schweigen von der geforderten Wachstumsrate, müssen Sicherheitsverantwortliche nachweisen, dass sie nicht nur ihre Aufgaben erledigen, sondern auch mehr für weniger als vergleichbare CISOs oder diejenigen, die vor ihnen kamen“, erledigen“, sagte er sagt.
So häufig Verstöße in der gesamten Branche vorkommen, sind sie innerhalb einer einzelnen Organisation wahrscheinlich selten, daher sollte die „Zeit seit dem Verstoß“ ein ziemlich schläfriger Indikator für Aktivität und Ergebnis sein, fügt Steven hinzu.
„Die Fokussierung auf die Bereitstellung von Lieferungen oder Kundenreibungen kann deutlich wirkungsvoller sein“, sagt er.
