A biztonsági szakembereknek ki kell találniuk, hogyan érhetik el biztonsági céljaikat a rendelkezésre álló költségvetésből. Azt is meg kell mutatniuk, hogy biztonsági programjaik hatékonyan védik szervezeteiket. Képesnek kell lenniük igazolni a megvásárolt kiberbiztonsági termékeket és eszközöket, és megfogalmazni a befektetés megtérülését (ROI).
Most erre van egy eszköz. A SecurityScorecard kiadott egy tartalom- és ROI-kalkulátort, amely segít a biztonsági szakembereknek magas szintű becslések kidolgozásában, amelyek illusztrálják a szervezet általános biztonsági helyzetét.
„A gazdasági bizonytalanság idején a kiberbiztonsági pozíciók megerősítésének prioritást kell élveznie, mivel a rossz szereplők kihasználják a volatilitást” – mondja Cindy Zhou, a SecurityScorecard marketing igazgatója. „A szervezeteknek tudniuk kell, és meg kell fogalmazniuk, hogy az általuk vásárolt kiberbiztonsági termékek és eszközök megbízható ROI-t biztosítanak-e.”
A biztonsági csapatoknak számos kockázati tényezőt figyelembe kell venniük, amikor megfontolják, mit vásároljanak biztonsági programjaikhoz, mondja Zhou. A lista tartalmazza a hálózati biztonságot, a DNS állapotát, a javítási ütemet, a végpontok biztonságát, az IP-reputációt, az alkalmazások biztonságát, a cubit score-t, a hacker-csevegést, az információszivárgásokat, a social engineering-et és a digitális ellátási lánc ismerete.
Kockázat kiszámítása a kiadások indokolásához
A kiberkockázat pénzügyi szempontból történő számszerűsítése lehetővé teszi a szervezetek számára, hogy megértsék a kibertámadás pénzügyi hatását, és betekintést nyerjenek a kockázatot jelentenek az eladók, és számszerűsítse a várható veszteségek csökkenését, ha a problémákat megoldják. Például egy kiberbiztonsági termék 200,000 5 dollárba kerülhet; azonban védekezhet egy XNUMX millió dolláros adatszivárgás ellen, így hosszú távon jelentős forrásokat takaríthat meg a szervezetnek.
„A CISO-knak képesnek kell lenniük arra, hogy számszerűsítsék vállalkozásuk kiberkockázatát, hogy igazolják a kibertechnológiai készletükre fordított kiadásaikat” – mondja Zhou.
Egy másik kulcsfontosságú tényező a kiberkockázati biztosítás és a kapcsolódó díjak beszerzésének lehetősége.
„Sok biztosító használja a SecurityScorecard-ot annak felmérésére, hogy egy vállalat jogosult-e kötvényre” – mondja. „A CISO-knak és a pénzügyi igazgatóknak bizonyítaniuk kell biztonsági pozíciójukat ahhoz, hogy megfontolják őket egy politikában.”
Az interaktív számológép a Forrester Consulting számára gyűjtött adatokon alapul A SecurityScorecard teljes gazdasági hatása. A Forrester Consulting egy pénzügyi modellt épített fel a Total Economic Impact képlet segítségével.
A tanulmány részeként a tanácsadók számszerűsítették a SecurityScorecard vállalaton belüli alkalmazásának hatásait, beleértve a kockázatkezelés hatékonyságának növelését, a technológiai hatékonyságot és a konszolidációt, valamint a jobb biztonsági helyzetet. Ez a megközelítés nemcsak a költségeket és a költségcsökkentést méri a szervezeten belül, hanem azt is mérlegeli, hogy egy technológia milyen értékkel növeli az általános üzleti folyamatok hatékonyságát.
A ROI-kalkulátor kinyílik A SecurityScorecard Cyber Risk Quantification (CRQ) képességei, amelyek célja, hogy a holisztikus üzleti kockázatelemzés részeként segítsenek az ügyfeleknek megérteni a kiberkockázatot pénzügyi szempontból.
Vezetői befizetés megszerzése
A C-suite és az igazgatóság megszokta, hogy a szervezet pénzügyi teljesítményére összpontosítson, ezért a CISO-nak képesnek kell lennie a kiberkockázatok pénzügyi számszerűsítésére, mondja John Hellickson, a Coalfire helyszíni CISO-ja. Így a CISO is igazolhatja ill előnyben részesítik a kiberberuházásokat.
Ez lehetővé teszi, hogy minden fél megalapozott döntéseket hozzon az ilyen befektetések pénzügyi hatásáról és üzleti eredményeiről.
„A már meglévő emberek, folyamatok és technológiák indokolása és elszámolása biztosítja, hogy a jelenlegi mérséklő kontrollokat figyelembe vegyék az átfogó kockázati számítások során” – mondja Hellickson.
Hellickson szemszögéből a kiberbiztonsági stratégia átfogóságának érvényesítése, a jelenlegi befektetések érettségének és kockázati szintjének ismerete, valamint annak becslése, hogy a jövőbeli befektetések hogyan javítják majd az érettséget, és hogyan kezelik hatékonyan a kockázatot, kulcsfontosságú a vezetői bizalom és támogatás elnyeréséhez.
„A ráfordítások arra való összpontosítása, hogy ne sérüljenek meg, teljesen mellékes volt, amikor a félelem, a bizonytalanság és a kételkedés taktikája közel egy évtizede leállt, amikor a biztonsági befektetések évről évre tovább emelkedtek” – teszi hozzá.
A pozitív üzleti eredményeket mutató kiberprogram-stratégia felépítése sokkal tovább megy a CISO azon képességében, hogy befolyásolja a többi vezetőt.
A szervezetek évek óta növelték a kiadásokat, különösen az alkalmazásbiztonsági kiadásokat, és még mindig nem sikerült elérniük azt a fajta lefedettséget az alkalmazásportfóliójuknak, amelyre vágynak – mondja John Steven, a ThreatModeler műszaki igazgatója.
"Amikor a szervezetek fenntarthatatlannak tartják ezt a költést, nem is beszélve a kért növekedési ütemről, a biztonsági vezetőknek be kell mutatniuk, hogy nem csak mindent megtesznek, hanem többet is végeznek kevesebbért, mint a hasonló CISO-k vagy azok, amelyek korábban jártak." mondja.
Bármilyen gyakoriak is a jogsértések az egész iparágban, valószínűleg ritkák egyetlen szervezeten belül, így a „jogsértés óta eltelt idő” meglehetősen álmos mutatója a tevékenységnek és az eredménynek – teszi hozzá Steven.
„A szállítás engedélyezésére vagy az ügyfelek súrlódására való összpontosítás lényegesen nagyobb hatást gyakorolhat” – mondja.
