کمی کردن ریسک، محاسبه ROI

متخصصان امنیت باید چگونگی دستیابی به اهداف امنیتی خود را با بودجه ای که در اختیار دارند بیابند. آنها همچنین باید نشان دهند که برنامه های امنیتی آنها در حفاظت از سازمان هایشان موثر است. آنها باید بتوانند محصولات و ابزارهای امنیت سایبری که خریداری کرده اند را توجیه کنند و بازگشت سرمایه (ROI) را بیان کنند.

اکنون ابزاری برای آن وجود دارد. SecurityScorecard یک ماشین حساب محتوا و ROI منتشر کرد تا به متخصصان امنیتی کمک کند تا برآوردهای سطح بالا را برای نشان دادن وضعیت امنیتی کلی سازمان کشف کنند.

سیندی ژو، مدیر ارشد بازاریابی در SecurityScorecard می‌گوید: «در زمان عدم اطمینان اقتصادی، تقویت موقعیت‌های امنیت سایبری باید در اولویت باشد، زیرا بازیگران بد از نوسانات سوء استفاده می‌کنند. «سازمان‌ها باید بتوانند بدانند و بیان کنند که آیا محصولات و ابزارهای امنیت سایبری که خریداری کرده‌اند، بازگشت سرمایه معتبری دارند یا خیر».

ژو می گوید، تیم های امنیتی باید طیف گسترده ای از عوامل خطر را در نظر بگیرند که برای برنامه های امنیتی خود چه چیزی بخرند. این لیست شامل امنیت شبکه، سلامت DNS، آهنگ وصله، امنیت نقطه پایانی، شهرت IP، امنیت برنامه، امتیاز cubit، چت هکرها، نشت اطلاعات، مهندسی اجتماعی، و دانستن زنجیره تامین دیجیتال آنها است.

محاسبه ریسک برای توجیه هزینه

کمی کردن ریسک سایبری در شرایط مالی به سازمان‌ها اجازه می‌دهد تا تأثیر مالی یک حمله سایبری را درک کنند و بینشی در مورد آن به دست آورند. خطراتی که فروشندگان آنها دارندو کاهش زیان مورد انتظار را در صورت رفع مشکلات تعیین کنید. به عنوان مثال، یک محصول امنیت سایبری ممکن است 200,000 دلار قیمت داشته باشد. با این حال، ممکن است در برابر نقض اطلاعات 5 میلیون دلاری دفاع کند، بنابراین در دراز مدت بودجه قابل توجهی را برای سازمان ذخیره می کند.

ژو می‌گوید: «سازمان‌های CISO باید بتوانند ریسک سایبری کسب‌وکار خود را برای توجیه هزینه‌های پشته فناوری سایبری خود تعیین کنند.

یکی دیگر از عوامل کلیدی، توانایی تهیه بیمه خطر سایبری و حق بیمه های مربوطه است.

او می‌گوید: «بسیاری از بیمه‌گران از SecurityScorecard برای ارزیابی واجد شرایط بودن یک شرکت برای یک بیمه‌نامه استفاده می‌کنند. «سیزوها و مدیران ارشد مالی باید وضعیت امنیتی خود را نشان دهند تا برای یک سیاست در نظر گرفته شوند.»

ماشین حساب تعاملی مبتنی بر داده های جمع آوری شده برای Forrester Consulting است تأثیر اقتصادی کل کارت امتیاز امنیتی. Forrester Consulting یک مدل مالی با استفاده از فرمول تأثیر اقتصادی کل ایجاد کرد.

به عنوان بخشی از این مطالعه، مشاوران اثرات داشتن SecurityScorecard را در شرکت، از جمله افزایش کارایی در مدیریت ریسک، کارایی فناوری و یکپارچه‌سازی، و وضعیت امنیتی بهبود یافته، اندازه‌گیری کردند. این رویکرد نه تنها هزینه‌ها و کاهش هزینه‌ها را در یک سازمان اندازه‌گیری می‌کند، بلکه ارزش توانمندی یک فناوری را در افزایش اثربخشی فرآیندهای تجاری کلی می‌سنجید.

ماشین حساب ROI گسترش می یابد قابلیت‌های کمی‌سازی ریسک سایبری (CRQ) SecurityScorecard، که برای کمک به مشتریان در درک ریسک سایبری از نظر مالی به عنوان بخشی از تجزیه و تحلیل ریسک کل نگر تجاری طراحی شده اند.

خرید اجرایی

جان هلیکسون، CISO در Coalfire می گوید که C-suite و هیئت مدیره برای تمرکز بر عملکرد مالی سازمان استفاده می شوند، بنابراین CISO باید بتواند ریسک سایبری را از نظر مالی کمیت کند. به این ترتیب، CISO نیز می تواند توجیه و سرمایه گذاری های سایبری را در اولویت قرار دهید.

این به همه طرف‌ها اجازه می‌دهد درباره تأثیر مالی و نتایج تجاری چنین سرمایه‌گذاری‌هایی آگاهانه تصمیم بگیرند.

هلیکسون می‌گوید: «توجیه و حسابداری افراد، فرآیندها و فناوری‌های موجود، تضمین می‌کند که کنترل‌های کاهش‌دهنده فعلی در محاسبات کلی ریسک در نظر گرفته می‌شوند.

از دیدگاه هلیکسون، اعتبار بخشیدن به جامعیت استراتژی امنیت سایبری، آگاهی از بلوغ و سطح ریسک سرمایه‌گذاری‌های جاری، و تخمین اینکه چگونه سرمایه‌گذاری‌های آتی این بلوغ را بهبود می‌بخشد و به طور موثر آن ریسک را مدیریت می‌کند، کلیدی برای جلب اعتماد و حمایت اجرایی است.

او می‌افزاید: «تمرکز بر هزینه‌ها بر تضمین عدم نقض تقریباً زمانی که تاکتیک‌های ترس، عدم اطمینان و شک از کار افتادند، تقریباً یک دهه پیش، زمانی که سرمایه‌گذاری‌های امنیتی سال به سال رو به افزایش بود، از بین رفت.»

ایجاد یک استراتژی برنامه سایبری که نتایج مثبت کسب و کار را نشان می دهد، توانایی CISO برای تأثیرگذاری بر سایر مدیران را بسیار فراتر می گذارد.

جان استیون، مدیر ارشد فناوری ThreatModeler می‌گوید: برای سال‌ها، سازمان‌ها هزینه‌های خود را افزایش داده‌اند، به‌ویژه هزینه‌های امنیتی برنامه‌ها، و هنوز نتوانسته‌اند به پوششی از مجموعه برنامه‌های کاربردی خود دست یابند.

زمانی که سازمان‌ها این هزینه‌ها را ناپایدار می‌بینند، چه رسد به نرخ رشد درخواستی، مدیران امنیتی باید نشان دهند که نه تنها کارها را انجام می‌دهند، بلکه کارهای بیشتری را با کمتر از CISOهای همتا یا آنهایی که قبل از آنها انجام داده‌اند، انجام می‌دهند. می گوید.

همانطور که نقض در صنعت رایج است، احتمالاً در یک سازمان نادر است، بنابراین "زمان پس از نقض" باید یک شاخص نسبتاً خواب آلود از فعالیت و نتیجه باشد، استیون اضافه می کند.

او می‌گوید: «تمرکز بر امکان تحویل یا اصطکاک مشتری می‌تواند به طور قابل‌توجهی تأثیرگذارتر باشد».