متخصصان امنیت باید چگونگی دستیابی به اهداف امنیتی خود را با بودجه ای که در اختیار دارند بیابند. آنها همچنین باید نشان دهند که برنامه های امنیتی آنها در حفاظت از سازمان هایشان موثر است. آنها باید بتوانند محصولات و ابزارهای امنیت سایبری که خریداری کرده اند را توجیه کنند و بازگشت سرمایه (ROI) را بیان کنند.
اکنون ابزاری برای آن وجود دارد. SecurityScorecard یک ماشین حساب محتوا و ROI منتشر کرد تا به متخصصان امنیتی کمک کند تا برآوردهای سطح بالا را برای نشان دادن وضعیت امنیتی کلی سازمان کشف کنند.
سیندی ژو، مدیر ارشد بازاریابی در SecurityScorecard میگوید: «در زمان عدم اطمینان اقتصادی، تقویت موقعیتهای امنیت سایبری باید در اولویت باشد، زیرا بازیگران بد از نوسانات سوء استفاده میکنند. «سازمانها باید بتوانند بدانند و بیان کنند که آیا محصولات و ابزارهای امنیت سایبری که خریداری کردهاند، بازگشت سرمایه معتبری دارند یا خیر».
ژو می گوید، تیم های امنیتی باید طیف گسترده ای از عوامل خطر را در نظر بگیرند که برای برنامه های امنیتی خود چه چیزی بخرند. این لیست شامل امنیت شبکه، سلامت DNS، آهنگ وصله، امنیت نقطه پایانی، شهرت IP، امنیت برنامه، امتیاز cubit، چت هکرها، نشت اطلاعات، مهندسی اجتماعی، و دانستن زنجیره تامین دیجیتال آنها است.
محاسبه ریسک برای توجیه هزینه
کمی کردن ریسک سایبری در شرایط مالی به سازمانها اجازه میدهد تا تأثیر مالی یک حمله سایبری را درک کنند و بینشی در مورد آن به دست آورند. خطراتی که فروشندگان آنها دارندو کاهش زیان مورد انتظار را در صورت رفع مشکلات تعیین کنید. به عنوان مثال، یک محصول امنیت سایبری ممکن است 200,000 دلار قیمت داشته باشد. با این حال، ممکن است در برابر نقض اطلاعات 5 میلیون دلاری دفاع کند، بنابراین در دراز مدت بودجه قابل توجهی را برای سازمان ذخیره می کند.
ژو میگوید: «سازمانهای CISO باید بتوانند ریسک سایبری کسبوکار خود را برای توجیه هزینههای پشته فناوری سایبری خود تعیین کنند.
یکی دیگر از عوامل کلیدی، توانایی تهیه بیمه خطر سایبری و حق بیمه های مربوطه است.
او میگوید: «بسیاری از بیمهگران از SecurityScorecard برای ارزیابی واجد شرایط بودن یک شرکت برای یک بیمهنامه استفاده میکنند. «سیزوها و مدیران ارشد مالی باید وضعیت امنیتی خود را نشان دهند تا برای یک سیاست در نظر گرفته شوند.»
ماشین حساب تعاملی مبتنی بر داده های جمع آوری شده برای Forrester Consulting است تأثیر اقتصادی کل کارت امتیاز امنیتی. Forrester Consulting یک مدل مالی با استفاده از فرمول تأثیر اقتصادی کل ایجاد کرد.
به عنوان بخشی از این مطالعه، مشاوران اثرات داشتن SecurityScorecard را در شرکت، از جمله افزایش کارایی در مدیریت ریسک، کارایی فناوری و یکپارچهسازی، و وضعیت امنیتی بهبود یافته، اندازهگیری کردند. این رویکرد نه تنها هزینهها و کاهش هزینهها را در یک سازمان اندازهگیری میکند، بلکه ارزش توانمندی یک فناوری را در افزایش اثربخشی فرآیندهای تجاری کلی میسنجید.
ماشین حساب ROI گسترش می یابد قابلیتهای کمیسازی ریسک سایبری (CRQ) SecurityScorecard، که برای کمک به مشتریان در درک ریسک سایبری از نظر مالی به عنوان بخشی از تجزیه و تحلیل ریسک کل نگر تجاری طراحی شده اند.
خرید اجرایی
جان هلیکسون، CISO در Coalfire می گوید که C-suite و هیئت مدیره برای تمرکز بر عملکرد مالی سازمان استفاده می شوند، بنابراین CISO باید بتواند ریسک سایبری را از نظر مالی کمیت کند. به این ترتیب، CISO نیز می تواند توجیه و سرمایه گذاری های سایبری را در اولویت قرار دهید.
این به همه طرفها اجازه میدهد درباره تأثیر مالی و نتایج تجاری چنین سرمایهگذاریهایی آگاهانه تصمیم بگیرند.
هلیکسون میگوید: «توجیه و حسابداری افراد، فرآیندها و فناوریهای موجود، تضمین میکند که کنترلهای کاهشدهنده فعلی در محاسبات کلی ریسک در نظر گرفته میشوند.
از دیدگاه هلیکسون، اعتبار بخشیدن به جامعیت استراتژی امنیت سایبری، آگاهی از بلوغ و سطح ریسک سرمایهگذاریهای جاری، و تخمین اینکه چگونه سرمایهگذاریهای آتی این بلوغ را بهبود میبخشد و به طور موثر آن ریسک را مدیریت میکند، کلیدی برای جلب اعتماد و حمایت اجرایی است.
او میافزاید: «تمرکز بر هزینهها بر تضمین عدم نقض تقریباً زمانی که تاکتیکهای ترس، عدم اطمینان و شک از کار افتادند، تقریباً یک دهه پیش، زمانی که سرمایهگذاریهای امنیتی سال به سال رو به افزایش بود، از بین رفت.»
ایجاد یک استراتژی برنامه سایبری که نتایج مثبت کسب و کار را نشان می دهد، توانایی CISO برای تأثیرگذاری بر سایر مدیران را بسیار فراتر می گذارد.
جان استیون، مدیر ارشد فناوری ThreatModeler میگوید: برای سالها، سازمانها هزینههای خود را افزایش دادهاند، بهویژه هزینههای امنیتی برنامهها، و هنوز نتوانستهاند به پوششی از مجموعه برنامههای کاربردی خود دست یابند.
زمانی که سازمانها این هزینهها را ناپایدار میبینند، چه رسد به نرخ رشد درخواستی، مدیران امنیتی باید نشان دهند که نه تنها کارها را انجام میدهند، بلکه کارهای بیشتری را با کمتر از CISOهای همتا یا آنهایی که قبل از آنها انجام دادهاند، انجام میدهند. می گوید.
همانطور که نقض در صنعت رایج است، احتمالاً در یک سازمان نادر است، بنابراین "زمان پس از نقض" باید یک شاخص نسبتاً خواب آلود از فعالیت و نتیجه باشد، استیون اضافه می کند.
او میگوید: «تمرکز بر امکان تحویل یا اصطکاک مشتری میتواند به طور قابلتوجهی تأثیرگذارتر باشد».