I professionisti della sicurezza devono capire come raggiungere i propri obiettivi di sicurezza con i budget a disposizione. Devono inoltre dimostrare che i loro programmi di sicurezza sono efficaci nel proteggere le loro organizzazioni. Devono essere in grado di giustificare i prodotti e gli strumenti di sicurezza informatica che hanno acquistato e articolare il ritorno sull’investimento (ROI).
Ora c'è uno strumento per questo. SecurityScorecard ha rilasciato un calcolatore di contenuti e ROI per aiutare i professionisti della sicurezza a calcolare stime di alto livello per illustrare la posizione di sicurezza complessiva dell'organizzazione.
“In un momento di incertezza economica, il rafforzamento delle strategie di sicurezza informatica deve essere una priorità, poiché i malintenzionati approfittano della volatilità”, afferma Cindy Zhou, chief marketing officer di SecurityScorecard. “Le organizzazioni devono essere in grado di sapere e di esprimere se i prodotti e gli strumenti di sicurezza informatica che hanno acquistato forniscono un valido ROI”.
I team di sicurezza dovrebbero considerare un’ampia varietà di fattori di rischio quando valutano cosa acquistare per i loro programmi di sicurezza, afferma Zhou. L'elenco include la sicurezza della rete, l'integrità dei DNS, la cadenza delle patch, la sicurezza degli endpoint, la reputazione dell'IP, la sicurezza delle applicazioni, il punteggio cubito, le chiacchiere degli hacker, le fughe di informazioni, l'ingegneria sociale e la conoscenza della catena di fornitura digitale.
Calcolo del rischio per giustificare la spesa
Quantificare il rischio informatico in termini finanziari consente alle organizzazioni di comprendere l'impatto finanziario di un attacco informatico e di ottenere informazioni approfondite rischi posti dai loro fornitorie quantificare la riduzione delle perdite attese se i problemi vengono risolti. Ad esempio, un prodotto di sicurezza informatica può costare 200,000 dollari; tuttavia, potrebbe difendersi da una violazione di dati di 5 milioni di dollari, facendo così risparmiare all’organizzazione notevoli fondi a lungo termine.
"I CISO devono essere in grado di quantificare il rischio informatico della propria azienda per giustificare la spesa per il proprio stack di tecnologia informatica", afferma Zhou.
Un altro fattore chiave è la capacità di procurarsi un’assicurazione contro i rischi informatici e i relativi premi.
"Molti assicuratori utilizzano SecurityScorecard per valutare se un'azienda è idonea a stipulare una polizza", afferma. “I CISO e i CFO devono dimostrare il loro atteggiamento in materia di sicurezza solo per essere presi in considerazione per una politica”.
Il calcolatore interattivo si basa sui dati raccolti per Forrester Consulting Impatto economico totale di SecurityScorecard. Forrester Consulting ha costruito un modello finanziario utilizzando la formula dell'impatto economico totale.
Nell'ambito dello studio, i consulenti hanno quantificato gli effetti derivanti dall'adozione di SecurityScorecard nell'azienda, tra cui una maggiore efficienza nella gestione del rischio, efficienza e consolidamento della tecnologia e un miglioramento della situazione di sicurezza. Questo approccio non solo misura i costi e la riduzione dei costi all’interno di un’organizzazione, ma valuta anche il valore abilitante di una tecnologia nell’aumentare l’efficacia dei processi aziendali complessivi.
Il calcolatore del ROI si espande Funzionalità di quantificazione del rischio informatico (CRQ) di SecurityScorecard, progettati per aiutare i clienti a comprendere il rischio informatico in termini finanziari come parte di un'analisi olistica del rischio aziendale.
Ottenere il buy-in dei dirigenti
I dirigenti e il consiglio di amministrazione sono abituati a concentrarsi sulla performance finanziaria dell'organizzazione, pertanto il CISO deve essere in grado di quantificare il rischio informatico in termini finanziari, afferma John Hellickson, CISO sul campo presso Coalfire. In questo modo il CISO può anche giustificare e dare priorità agli investimenti informatici.
Ciò consente a tutte le parti di prendere decisioni informate sull’impatto finanziario e sui risultati aziendali di tali investimenti.
"Giustificare e tenere conto delle persone, dei processi e delle tecnologie già in atto garantisce che gli attuali controlli di mitigazione siano presi in considerazione nei calcoli del rischio complessivo", afferma Hellickson.
Dal punto di vista di Hellickson, convalidare la completezza della strategia di sicurezza informatica, conoscere la maturità e il livello di rischio degli investimenti attuali e stimare come gli investimenti futuri miglioreranno tale maturità e gestiranno efficacemente tale rischio è la chiave per ottenere la fiducia e il supporto dei dirigenti.
"Concentrare la spesa sulla garanzia di non essere violati è stato quasi dimenticato quando le tattiche di paura, incertezza e dubbio hanno smesso di funzionare quasi dieci anni fa, quando anno dopo anno gli investimenti in sicurezza hanno continuato ad aumentare", aggiunge.
Costruire una strategia di programma informatico che dimostri risultati aziendali positivi va molto oltre la capacità del CISO di influenzare altri dirigenti.
Per anni, le organizzazioni hanno aumentato la spesa, in particolare quella per la sicurezza delle applicazioni, e non sono ancora riuscite a raggiungere il tipo di copertura del loro portafoglio di applicazioni che desideravano, afferma John Steven, CTO di ThreatModeler.
"Quando le organizzazioni ritengono che questa spesa sia insostenibile, per non parlare del tasso di crescita richiesto, i dirigenti della sicurezza devono dimostrare che non solo stanno facendo delle cose, ma stanno facendo di più per meno dei colleghi CISO o di quelli che li hanno preceduti", ha affermato. dice.
Per quanto comuni siano le violazioni in tutto il settore, probabilmente sono rare all’interno di una singola organizzazione, quindi il “tempo trascorso dalla violazione” dovrebbe essere un indicatore abbastanza sonnolento di attività e risultati, aggiunge Steven.
"Concentrarsi sull'abilitazione della consegna o sull'attrito con i clienti può avere un impatto significativamente maggiore", afferma.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
