Οι επαγγελματίες ασφάλειας πρέπει να καταλάβουν πώς να επιτύχουν τους στόχους ασφαλείας τους με τους προϋπολογισμούς που διαθέτουν. Πρέπει επίσης να δείξουν ότι τα προγράμματα ασφαλείας τους είναι αποτελεσματικά στην προστασία των οργανισμών τους. Πρέπει να είναι σε θέση να αιτιολογούν τα προϊόντα και τα εργαλεία κυβερνοασφάλειας που έχουν αγοράσει και να διατυπώνουν την απόδοση επένδυσης (ROI).
Τώρα υπάρχει ένα εργαλείο για αυτό. Η SecurityScorecard κυκλοφόρησε έναν υπολογιστή περιεχομένου και απόδοσης επένδυσης (ROI) για να βοηθήσει τους επαγγελματίες ασφαλείας να καταλάβουν εκτιμήσεις υψηλού επιπέδου για να απεικονίσουν τη συνολική στάση ασφαλείας του οργανισμού.
«Σε μια εποχή οικονομικής αβεβαιότητας, η ενίσχυση των στάσεων στον κυβερνοχώρο πρέπει να αποτελεί προτεραιότητα, καθώς οι κακοί παράγοντες εκμεταλλεύονται την αστάθεια», λέει η Cindy Zhou, επικεφαλής μάρκετινγκ στην SecurityScorecard. «Οι οργανισμοί πρέπει να είναι σε θέση να γνωρίζουν και να διατυπώνουν εάν τα προϊόντα και τα εργαλεία κυβερνοασφάλειας που έχουν αγοράσει παρέχουν μια υγιή απόδοση επένδυσης (ROI).
Οι ομάδες ασφαλείας θα πρέπει να λαμβάνουν υπόψη μια μεγάλη ποικιλία παραγόντων κινδύνου όταν εξετάζουν τι να αγοράσουν για τα προγράμματα ασφαλείας τους, λέει ο Zhou. Η λίστα περιλαμβάνει ασφάλεια δικτύου, υγεία DNS, ρυθμό επιδιόρθωσης, ασφάλεια τελικού σημείου, φήμη IP, ασφάλεια εφαρμογών, βαθμολογία cubit, συνομιλία χάκερ, διαρροές πληροφοριών, κοινωνική μηχανική και γνώση της ψηφιακής αλυσίδας εφοδιασμού τους.
Υπολογισμός κινδύνου για την αιτιολόγηση της δαπάνης
Η ποσοτικοποίηση του κινδύνου στον κυβερνοχώρο με χρηματοοικονομικούς όρους επιτρέπει στους οργανισμούς να κατανοήσουν τον οικονομικό αντίκτυπο μιας κυβερνοεπίθεσης, να αποκτήσουν μια εικόνα για κινδύνους που θέτουν οι πωλητές τους, και ποσοτικοποιήστε τη μείωση των αναμενόμενων ζημιών εάν επιλυθούν ζητήματα. Για παράδειγμα, ένα προϊόν κυβερνοασφάλειας μπορεί να κοστίζει 200,000 $. Ωστόσο, μπορεί να αμυνθεί έναντι μιας παραβίασης δεδομένων 5 εκατομμυρίων δολαρίων, εξοικονομώντας έτσι σημαντικά κεφάλαια του οργανισμού μακροπρόθεσμα.
«Οι CISO πρέπει να είναι σε θέση να ποσοτικοποιούν τον κυβερνοχώρο της επιχείρησής τους για να δικαιολογήσουν τις δαπάνες για τη στοίβα τους στον κυβερνοχώρο τεχνολογίας», λέει ο Zhou.
Ένας άλλος βασικός παράγοντας είναι η δυνατότητα απόκτησης ασφάλισης κινδύνου στον κυβερνοχώρο και των σχετικών ασφαλίστρων.
«Πολλοί ασφαλιστές χρησιμοποιούν την κάρτα SecurityScorecard για να αξιολογήσουν εάν μια εταιρεία είναι επιλέξιμη για ένα ασφαλιστήριο συμβόλαιο», λέει. «Οι CISO και οι CFO πρέπει να επιδείξουν τη στάση ασφαλείας τους για να ληφθούν υπόψη για μια πολιτική».
Η διαδραστική αριθμομηχανή βασίζεται σε δεδομένα που συλλέγονται για τη Forrester Consulting's Συνολικός οικονομικός αντίκτυπος της κάρτας βαθμολογίας ασφαλείας. Η Forrester Consulting κατασκεύασε ένα χρηματοοικονομικό μοντέλο χρησιμοποιώντας μια φόρμουλα Συνολικών Οικονομικών Επιπτώσεων.
Ως μέρος της μελέτης, οι σύμβουλοι ποσοτικοποίησαν τα αποτελέσματα της ύπαρξης SecurityScorecard στην επιχείρηση, συμπεριλαμβανομένης της αυξημένης αποτελεσματικότητας στη διαχείριση κινδύνων, της αποδοτικότητας και της ενοποίησης της τεχνολογίας και της βελτιωμένης στάσης ασφαλείας. Αυτή η προσέγγιση όχι μόνο μετρά το κόστος και τη μείωση του κόστους μέσα σε έναν οργανισμό, αλλά σταθμίζει επίσης την αξία μιας τεχνολογίας στην αύξηση της αποτελεσματικότητας των συνολικών επιχειρηματικών διαδικασιών.
Η αριθμομηχανή απόδοσης επένδυσης (ROI) επεκτείνεται Δυνατότητες Cyber Risk Quantification (CRQ) της SecurityScorecard, τα οποία έχουν σχεδιαστεί για να βοηθήσουν τους πελάτες να κατανοήσουν τον κυβερνοχώρο από οικονομική άποψη ως μέρος της ολιστικής ανάλυσης επιχειρηματικού κινδύνου.
Λήψη Executive Buy-in
Το C-suite και το διοικητικό συμβούλιο έχουν συνηθίσει να εστιάζουν στην οικονομική απόδοση του οργανισμού, επομένως το CISO πρέπει να είναι σε θέση να ποσοτικοποιήσει τον κυβερνοχώρο σε οικονομικούς όρους, λέει ο John Hellickson, υπεύθυνος CISO στην Coalfire. Με αυτόν τον τρόπο, το CISO μπορεί επίσης να δικαιολογήσει και δίνουν προτεραιότητα στις επενδύσεις στον κυβερνοχώρο.
Αυτό επιτρέπει σε όλα τα μέρη να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με τον οικονομικό αντίκτυπο και τα επιχειρηματικά αποτελέσματα τέτοιων επενδύσεων.
«Η αιτιολόγηση και η λογιστική για τους ανθρώπους, τη διαδικασία και τις τεχνολογίες που υπάρχουν ήδη διασφαλίζει ότι οι τρέχοντες έλεγχοι μετριασμού λαμβάνονται υπόψη στους συνολικούς υπολογισμούς κινδύνου», λέει η Hellickson.
Από την οπτική της Hellickson, η επικύρωση της πληρότητας της στρατηγικής κυβερνοασφάλειας, η γνώση της ωριμότητας και του επιπέδου κινδύνου των τρεχουσών επενδύσεων και η εκτίμηση του τρόπου με τον οποίο οι μελλοντικές επενδύσεις θα βελτιώσουν αυτήν την ωριμότητα και θα διαχειριστούν αποτελεσματικά αυτόν τον κίνδυνο είναι το κλειδί για την απόκτηση εμπιστοσύνης και υποστήριξης των στελεχών.
«Η επικέντρωση των δαπανών στη διασφάλιση ότι δεν θα παραβιαστούν σχεδόν άργησε όταν οι τακτικές φόβου, αβεβαιότητας και αμφιβολίας σταμάτησαν να λειτουργούν πριν από σχεδόν μια δεκαετία, όταν χρόνο με το χρόνο οι επενδύσεις σε ασφάλεια συνέχισαν να αυξάνονται», προσθέτει.
Η οικοδόμηση μιας στρατηγικής προγράμματος στον κυβερνοχώρο που επιδεικνύει θετικά επιχειρηματικά αποτελέσματα προχωρά πολύ περισσότερο στην ικανότητα του CISO να επηρεάζει άλλα στελέχη.
Για χρόνια, οι οργανισμοί έχουν αυξήσει τις δαπάνες, ειδικά τις δαπάνες ασφάλειας εφαρμογών, και εξακολουθούν να αποτυγχάνουν να επιτύχουν το είδος της κάλυψης του χαρτοφυλακίου εφαρμογών που επιθυμούν, λέει ο John Steven, CTO της ThreatModeler.
«Όταν οι οργανισμοί βλέπουν αυτή τη δαπάνη ως μη βιώσιμη, πόσο μάλλον τον απαιτούμενο ρυθμό ανάπτυξης, τα στελέχη ασφαλείας πρέπει να αποδείξουν ότι όχι μόνο ολοκληρώνουν τα πράγματα, αλλά κάνουν περισσότερα για λιγότερο από τους ομοτίμους CISO ή αυτούς που έχουν προηγηθεί», λέει.
Όσο συχνές κι αν είναι οι παραβιάσεις σε ολόκληρο τον κλάδο, είναι πιθανώς σπάνιες σε έναν μόνο οργανισμό, επομένως ο «χρόνος από την παραβίαση» θα πρέπει να είναι ένας αρκετά νυσταγμένος δείκτης δραστηριότητας και αποτελέσματος, προσθέτει ο Steven.
«Η εστίαση στην ενεργοποίηση της παράδοσης ή στην τριβή των πελατών μπορεί να έχει σημαντικά μεγαλύτερη επίδραση», λέει.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
