Los profesionales de la seguridad tienen que descubrir cómo lograr sus objetivos de seguridad con los presupuestos que tienen. También deben demostrar que sus programas de seguridad son eficaces para proteger sus organizaciones. Deben poder justificar los productos y herramientas de ciberseguridad que han adquirido y articular el retorno de la inversión (ROI).
Ahora hay una herramienta para eso. SecurityScorecard lanzó una calculadora de contenido y retorno de la inversión para ayudar a los profesionales de la seguridad a calcular estimaciones de alto nivel para ilustrar la postura general de seguridad de la organización.
"En un momento de incertidumbre económica, fortalecer las posturas de ciberseguridad debe ser una prioridad, ya que los malos actores se aprovechan de la volatilidad", dice Cindy Zhou, directora de marketing de SecurityScorecard. "Las organizaciones deben poder saber y articular si los productos y herramientas de ciberseguridad que han adquirido proporcionan un retorno de la inversión sólido".
Los equipos de seguridad deben considerar una amplia variedad de factores de riesgo al considerar qué comprar para sus programas de seguridad, afirma Zhou. La lista incluye seguridad de red, estado de DNS, cadencia de parches, seguridad de terminales, reputación de IP, seguridad de aplicaciones, puntuación de codos, charlas de piratas informáticos, fugas de información, ingeniería social y conocimiento de su cadena de suministro digital.
Calcular el riesgo para justificar el gasto
Cuantificar el riesgo cibernético en términos financieros permite a las organizaciones comprender el impacto financiero de un ciberataque, obtener información sobre el riesgos que plantean sus proveedoresy cuantificar la reducción de las pérdidas esperadas si se resuelven los problemas. Por ejemplo, un producto de ciberseguridad puede costar 200,000 dólares; sin embargo, puede defenderse contra una filtración de datos de 5 millones de dólares, ahorrando así a la organización una cantidad considerable de fondos a largo plazo.
"Los CISO deben poder cuantificar el riesgo cibernético de su negocio para justificar el gasto en su pila de cibertecnología", dice Zhou.
Otro factor clave es la capacidad de contratar seguros contra riesgos cibernéticos y las primas asociadas.
"Muchas aseguradoras utilizan SecurityScorecard para evaluar si una empresa es elegible para una póliza", afirma. "Los CISO y CFO deben demostrar su postura de seguridad sólo para ser considerados para una política".
La calculadora interactiva se basa en datos recopilados para Forrester Consulting. Impacto económico total del SecurityScorecard. Forrester Consulting construyó un modelo financiero utilizando una fórmula de Impacto Económico Total.
Como parte del estudio, los consultores cuantificaron los efectos de tener SecurityScorecard en la empresa, incluida una mayor eficiencia en la gestión de riesgos, eficiencia y consolidación tecnológica, y una mejor postura de seguridad. Este enfoque no sólo mide los costos y la reducción de costos dentro de una organización, sino que también sopesa el valor habilitante de una tecnología para aumentar la efectividad de los procesos comerciales generales.
La calculadora de ROI se expande Capacidades de cuantificación de riesgos cibernéticos (CRQ) de SecurityScorecard, que están diseñados para ayudar a los clientes a comprender el riesgo cibernético en términos financieros como parte de un análisis integral de riesgos comerciales.
Obtener la aceptación de los ejecutivos
La alta dirección y la junta directiva están acostumbradas a centrarse en el desempeño financiero de la organización, por lo que el CISO debe poder cuantificar el riesgo cibernético en términos financieros, dice John Hellickson, CISO de campo de Coalfire. De esta manera, el CISO también puede justificar y priorizar las inversiones cibernéticas.
Esto permite a todas las partes tomar decisiones informadas sobre el impacto financiero y los resultados comerciales de dichas inversiones.
"Justificar y dar cuenta de las personas, los procesos y las tecnologías que ya existen garantiza que los controles de mitigación actuales se tengan en cuenta en los cálculos generales del riesgo", afirma Hellickson.
Desde la perspectiva de Hellickson, validar la exhaustividad de la estrategia de ciberseguridad, conocer la madurez y el nivel de riesgo de las inversiones actuales y estimar cómo las inversiones futuras mejorarán esa madurez y gestionarán eficazmente ese riesgo es clave para ganarse la confianza y el apoyo de los ejecutivos.
“Centrar el gasto en la garantía de no ser violado prácticamente quedó en el camino cuando el miedo, la incertidumbre y las tácticas de duda dejaron de funcionar hace casi una década, cuando año tras año las inversiones en seguridad continuaron aumentando”, añade.
La construcción de una estrategia de programa cibernético que demuestre resultados comerciales positivos va mucho más allá en la capacidad del CISO para influir en otros ejecutivos.
Durante años, las organizaciones han aumentado el gasto, especialmente el gasto en seguridad de aplicaciones, y aún no han logrado lograr el tipo de cobertura de su cartera de aplicaciones que desean, dice John Steven, CTO de ThreatModeler.
"Cuando las organizaciones ven este gasto como insostenible, y mucho menos la tasa de crecimiento solicitada, los ejecutivos de seguridad deben demostrar que no sólo están haciendo cosas, sino que están haciendo más por menos que sus pares CISO, o aquellos que los precedieron", dijo. dice.
Por más comunes que sean las infracciones en la industria, probablemente sean poco comunes dentro de una sola organización, por lo que el “tiempo transcurrido desde la infracción” debería ser un indicador bastante somnoliento de actividad y resultado, agrega Steven.
"Centrarse en la habilitación de la entrega o en la fricción con el cliente puede tener un impacto significativamente mayor", afirma.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
