Les professionnels de la sécurité doivent trouver comment atteindre leurs objectifs de sécurité avec les budgets dont ils disposent. Ils doivent également démontrer que leurs programmes de sécurité sont efficaces pour protéger leur organisation. Ils doivent être capables de justifier les produits et outils de cybersécurité qu’ils ont achetés et d’articuler le retour sur investissement (ROI).
Il existe désormais un outil pour cela. SecurityScorecard a publié un calculateur de contenu et de retour sur investissement pour aider les professionnels de la sécurité à établir des estimations de haut niveau pour illustrer la posture de sécurité globale de l'organisation.
« À une époque d'incertitude économique, le renforcement des mesures de cybersécurité doit être une priorité, car les mauvais acteurs profitent de la volatilité », déclare Cindy Zhou, directrice du marketing chez SecurityScorecard. « Les organisations doivent être capables de savoir et d’exprimer clairement si les produits et outils de cybersécurité qu’elles ont achetés offrent un bon retour sur investissement. »
Les équipes de sécurité doivent prendre en compte une grande variété de facteurs de risque lorsqu'elles réfléchissent à ce qu'elles doivent acheter pour leurs programmes de sécurité, explique Zhou. La liste comprend la sécurité du réseau, la santé du DNS, la cadence des correctifs, la sécurité des points finaux, la réputation IP, la sécurité des applications, le score cubit, les discussions des pirates informatiques, les fuites d'informations, l'ingénierie sociale et la connaissance de leur chaîne d'approvisionnement numérique.
Calculer le risque pour justifier les dépenses
Quantifier le cyber-risque en termes financiers permet aux organisations de comprendre l'impact financier d'une cyberattaque, d'avoir un aperçu de risques posés par leurs fournisseurs, et quantifier la réduction des pertes attendues si les problèmes sont résolus. Par exemple, un produit de cybersécurité peut coûter 200,000 5 $ ; cependant, il peut se défendre contre une violation de données de XNUMX millions de dollars, économisant ainsi des fonds considérables à l'organisation à long terme.
« Les RSSI doivent être capables de quantifier les cyber-risques de leur entreprise pour justifier les dépenses consacrées à leur pile cybertechnologique », explique Zhou.
Un autre facteur clé est la capacité à souscrire une assurance contre les cyber-risques et les primes associées.
« De nombreux assureurs utilisent SecurityScorecard pour évaluer si une entreprise est éligible à une police d'assurance », explique-t-elle. « Les RSSI et les directeurs financiers doivent démontrer leur posture de sécurité juste pour être pris en compte dans une politique. »
Le calculateur interactif est basé sur les données collectées pour l'étude Forrester Consulting Impact économique total de SecurityScorecard. Forrester Consulting a construit un modèle financier en utilisant une formule d'impact économique total.
Dans le cadre de l'étude, les consultants ont quantifié les effets de l'utilisation de SecurityScorecard dans l'entreprise, notamment une efficacité accrue en matière de gestion des risques, d'efficacité et de consolidation technologiques, ainsi qu'une amélioration de la posture de sécurité. Cette approche mesure non seulement les coûts et la réduction des coûts au sein d'une organisation, mais elle évalue également la valeur habilitante d'une technologie pour accroître l'efficacité des processus métier globaux.
Le calculateur de retour sur investissement s'agrandit Capacités de quantification des cyber-risques (CRQ) de SecurityScorecard, conçus pour aider les clients à comprendre les cyber-risques en termes financiers dans le cadre d’une analyse globale des risques commerciaux.
Obtenir l’adhésion des dirigeants
Les dirigeants et le conseil d'administration sont habitués à se concentrer sur les performances financières de l'organisation. Le RSSI doit donc être capable de quantifier les cyber-risques en termes financiers, explique John Hellickson, RSSI terrain chez Coalfire. De cette manière, le RSSI peut également justifier et prioriser les cyber-investissements.
Cela permet à toutes les parties de prendre des décisions éclairées sur l’impact financier et les résultats commerciaux de tels investissements.
« Justifier et prendre en compte les personnes, les processus et les technologies déjà en place garantit que les contrôles d'atténuation actuels sont pris en compte dans le calcul global des risques », explique Hellickson.
Du point de vue de Hellickson, valider l'exhaustivité de la stratégie de cybersécurité, connaître la maturité et le niveau de risque des investissements actuels et estimer comment les investissements futurs amélioreront cette maturité et géreront efficacement ce risque sont essentiels pour gagner la confiance et le soutien des dirigeants.
« Concentrer les dépenses sur l’assurance de ne pas être victime d’une violation a été abandonné lorsque les tactiques de peur, d’incertitude et de doute ont cessé de fonctionner il y a près de dix ans, alors que les investissements en matière de sécurité continuaient d’augmenter d’année en année », ajoute-t-il.
L'élaboration d'une stratégie de cyberprogramme qui démontre des résultats commerciaux positifs va bien plus loin dans la capacité du RSSI à influencer les autres dirigeants.
Pendant des années, les entreprises ont augmenté leurs dépenses, en particulier en matière de sécurité des applications, et elles n'ont toujours pas réussi à atteindre le type de couverture de leur portefeuille d'applications qu'elles souhaitaient, déclare John Steven, CTO de ThreatModeler.
« Lorsque les organisations considèrent ces dépenses comme insoutenables, sans parler du taux de croissance demandé, les responsables de la sécurité doivent démontrer qu'ils ne se contentent pas de faire avancer les choses, mais qu'ils en font plus pour moins que leurs homologues RSSI ou ceux qui les ont précédés », a-t-il déclaré. dit.
Aussi courantes que soient les violations dans l’ensemble du secteur, elles sont probablement rares au sein d’une seule organisation. Le « temps écoulé depuis la violation » devrait donc être un indicateur assez endormi de l’activité et des résultats, ajoute Steven.
« Se concentrer sur la facilitation de la livraison ou sur les frictions avec les clients peut avoir un impact bien plus important », dit-il.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
