Praktisi keamanan harus memikirkan cara mencapai tujuan keamanan mereka dengan anggaran yang mereka miliki. Mereka juga harus menunjukkan bahwa program keamanan mereka efektif dalam melindungi organisasi mereka. Mereka harus mampu membenarkan produk dan alat keamanan siber yang mereka beli dan mengartikulasikan laba atas investasi (ROI).
Sekarang ada alat untuk itu. SecurityScorecard merilis kalkulator konten dan ROI untuk membantu praktisi keamanan mengetahui perkiraan tingkat tinggi untuk menggambarkan postur keamanan organisasi secara keseluruhan.
โPada saat perekonomian berada dalam ketidakpastian, penguatan postur keamanan siber harus menjadi prioritas, karena pelaku kejahatan memanfaatkan volatilitas,โ kata Cindy Zhou, chief marketing officer di SecurityScorecard. โOrganisasi harus dapat mengetahui dan mengartikulasikan apakah produk dan alat keamanan siber yang mereka beli memberikan ROI yang baik.โ
Tim keamanan harus mempertimbangkan berbagai faktor risiko ketika mempertimbangkan apa yang harus dibeli untuk program keamanan mereka, kata Zhou. Daftar tersebut mencakup keamanan jaringan, kesehatan DNS, irama patching, keamanan titik akhir, reputasi IP, keamanan aplikasi, skor hasta, obrolan peretas, kebocoran informasi, rekayasa sosial, dan mengetahui rantai pasokan digital mereka.
Menghitung Risiko untuk Membenarkan Pembelanjaan
Mengukur risiko dunia maya dalam hal keuangan memungkinkan organisasi untuk memahami dampak keuangan dari serangan dunia maya, dan mendapatkan wawasan tentang dampak tersebut risiko yang ditimbulkan oleh vendor mereka, dan menghitung pengurangan kerugian yang diperkirakan jika masalah terselesaikan. Misalnya, produk keamanan siber mungkin berharga $200,000; namun, hal ini dapat bertahan dari pelanggaran data senilai $5 juta, sehingga menghemat banyak dana organisasi dalam jangka panjang.
โCISO harus mampu mengukur risiko siber bisnis mereka untuk membenarkan pengeluaran pada tumpukan teknologi siber mereka,โ kata Zhou.
Faktor penting lainnya adalah kemampuan untuk mengadakan asuransi risiko siber dan premi terkait.
โBanyak perusahaan asuransi menggunakan SecurityScorecard untuk menilai apakah suatu perusahaan memenuhi syarat untuk suatu polis,โ katanya. โCISO dan CFO perlu menunjukkan postur keamanan mereka agar dapat dipertimbangkan dalam pengambilan kebijakan.โ
Kalkulator interaktif ini didasarkan pada data yang dikumpulkan untuk Forrester Consulting Dampak Ekonomi Total dari SecurityScorecard. Forrester Consulting membangun model keuangan menggunakan rumus Total Dampak Ekonomi.
Sebagai bagian dari studi, para konsultan mengukur dampak dari memiliki SecurityScorecard di perusahaan, termasuk peningkatan efisiensi dalam manajemen risiko, efisiensi dan konsolidasi teknologi, serta peningkatan postur keamanan. Pendekatan ini tidak hanya mengukur biaya dan pengurangan biaya dalam suatu organisasi, namun juga mempertimbangkan nilai pendukung suatu teknologi dalam meningkatkan efektivitas proses bisnis secara keseluruhan.
Kalkulator ROI berkembang Kemampuan Kuantifikasi Risiko Cyber โโ(CRQ) SecurityScorecard, yang dirancang untuk membantu pelanggan memahami risiko dunia maya dalam kaitannya dengan keuangan sebagai bagian dari analisis risiko bisnis secara holistik.
Mendapatkan Dukungan Eksekutif
C-suite dan dewan direksi terbiasa berfokus pada kinerja keuangan organisasi, sehingga CISO harus mampu mengukur risiko dunia maya dalam hal keuangan, kata John Hellickson, CISO lapangan di Coalfire. Dengan cara ini, CISO juga dapat membenarkan dan memprioritaskan investasi siber.
Hal ini memungkinkan semua pihak mengambil keputusan berdasarkan informasi mengenai dampak finansial dan hasil bisnis dari investasi tersebut.
โMembenarkan dan memperhitungkan sumber daya manusia, proses, dan teknologi yang sudah ada memastikan bahwa pengendalian mitigasi yang ada saat ini dipertimbangkan dalam perhitungan risiko secara keseluruhan,โ kata Hellickson.
Dari sudut pandang Hellickson, memvalidasi kelengkapan strategi keamanan siber, mengetahui kematangan dan tingkat risiko investasi saat ini, dan memperkirakan bagaimana investasi di masa depan akan meningkatkan kematangan tersebut dan mengelola risiko secara efektif adalah kunci untuk mendapatkan kepercayaan dan dukungan eksekutif.
โMemfokuskan pembelanjaan pada jaminan tidak adanya pelanggaran menjadi sia-sia ketika taktik ketakutan, ketidakpastian, dan keraguan berhenti bekerja hampir satu dekade yang lalu ketika tahun demi tahun investasi keamanan terus meningkat,โ tambahnya.
Membangun strategi program siber yang menunjukkan hasil bisnis yang positif akan meningkatkan kemampuan CISO untuk memengaruhi eksekutif lainnya.
Selama bertahun-tahun, organisasi telah meningkatkan pembelanjaan, terutama pembelanjaan keamanan aplikasi, dan mereka masih gagal mencapai cakupan portofolio aplikasi yang mereka inginkan, kata John Steven, CTO ThreatModeler.
โKetika organisasi melihat pembelanjaan ini tidak berkelanjutan, apalagi tingkat pertumbuhan yang diminta, para eksekutif keamanan harus menunjukkan bahwa mereka tidak hanya menyelesaikan pekerjaan, namun juga menyelesaikan lebih banyak hal dengan biaya yang lebih sedikit dibandingkan CISO sejenis, atau mereka yang telah ada sebelum mereka,โ dia mengatakan.
Meskipun pelanggaran sering terjadi di seluruh industri, hal ini mungkin jarang terjadi dalam satu organisasi, jadi โwaktu sejak pelanggaranโ seharusnya menjadi indikator aktivitas dan hasil yang tidak terlalu jelas, tambah Steven.
โBerfokus pada pemberdayaan pengiriman atau gesekan pelanggan bisa memberikan dampak yang jauh lebih besar,โ katanya.
