מתרגלי אבטחה צריכים להבין איך להשיג את יעדי האבטחה שלהם עם התקציבים שיש להם. הם גם חייבים להראות שתוכניות האבטחה שלהם יעילות בהגנה על הארגונים שלהם. הם צריכים להיות מסוגלים להצדיק את המוצרים והכלים של אבטחת סייבר שהם רכשו ולנסח את ההחזר על ההשקעה (ROI).
עכשיו יש כלי לזה. SecurityScorecard הוציאה מחשבון תוכן והחזר ROI כדי לעזור לעוסקים באבטחה להבין הערכות ברמה גבוהה כדי להמחיש את עמדת האבטחה הכוללת של הארגון.
"בתקופה של אי ודאות כלכלית, חיזוק עמדות אבטחת סייבר חייב להיות בראש סדר העדיפויות, מכיוון ששחקנים רעים מנצלים את התנודתיות", אומרת סינדי ז'ואו, סמנכ"לית השיווק של SecurityScorecard. "ארגונים חייבים להיות מסוגלים לדעת ולנסח אם מוצרי אבטחת הסייבר והכלים שהם רכשו מספקים החזר ROI טוב."
צוותי אבטחה צריכים לשקול מגוון רחב של גורמי סיכון כאשר הם שוקלים מה לקנות עבור תוכניות האבטחה שלהם, אומר ג'ואו. הרשימה כוללת אבטחת רשת, בריאות DNS, קצב תיקון, אבטחת נקודות קצה, מוניטין IP, אבטחת יישומים, ציון קוב, פטפוט האקרים, דליפות מידע, הנדסה חברתית והכרת שרשרת האספקה הדיגיטלית שלהם.
חישוב סיכון כדי להצדיק הוצאות
כימות סיכוני סייבר במונחים פיננסיים מאפשר לארגונים להבין את ההשפעה הפיננסית של מתקפת סייבר, לקבל תובנה לגבי סיכונים שהספקים שלהם מציבים, וכמת את הירידה בהפסדים הצפויים אם הבעיות ייפתרו. לדוגמה, מוצר אבטחת סייבר עשוי לעלות 200,000 דולר; עם זאת, היא עשויה להתגונן מפני פריצת נתונים של 5 מיליון דולר, ובכך לחסוך לארגון כספים ניכרים בטווח הארוך.
"CISOs חייבים להיות מסוגלים לכמת את סיכוני הסייבר של העסק שלהם כדי להצדיק את ההוצאה על ערימת הסייברטק שלהם", אומר ג'ואו.
גורם מרכזי נוסף הוא היכולת לרכוש ביטוח סיכון סייבר והפרמיות הנלוות.
"מבטחים רבים משתמשים ב-SecurityScorecard כדי להעריך אם חברה זכאית לפוליסה", היא אומרת. "אנשי CISO ומנהלי כספים צריכים להפגין את עמדת האבטחה שלהם רק כדי להיחשב למדיניות."
המחשבון האינטראקטיבי מבוסס על נתונים שנאספו עבור Forrester Consulting's ההשפעה הכלכלית הכוללת של SecurityScorecard. Forrester Consulting בנתה מודל פיננסי באמצעות נוסחת Total Economic Impact.
כחלק מהמחקר, היועצים כימתו את ההשפעות של קיום SecurityScorecard בארגון, לרבות הגברת היעילות בניהול סיכונים, יעילות וגיבוש טכנולוגיים ושיפור עמדת האבטחה. גישה זו לא רק מודדת עלויות והפחתת עלויות בתוך ארגון, אלא היא גם שוקלת את הערך המאפשר של טכנולוגיה בהגברת האפקטיביות של התהליכים העסקיים הכוללים.
מחשבון החזר ROI מתרחב יכולות כימות סיכוני סייבר (CRQ) של SecurityScorecard, שנועדו לסייע ללקוחות להבין את סיכוני הסייבר במונחים פיננסיים כחלק מניתוח סיכונים עסקיים הוליסטי.
קבלת רכישת מנהלים
חבילת ה-C והדירקטוריון רגילים להתמקד בביצועים הפיננסיים של הארגון, כך שה-CISO צריך להיות מסוגל לכמת סיכוני סייבר במונחים פיננסיים, אומר ג'ון הליקסון, CISO בתחום ב-Coalfire. בדרך זו, ה-CISO יכול גם להצדיק ו לתת עדיפות להשקעות סייבר.
זה מאפשר לכל הצדדים לקבל החלטות מושכלות לגבי ההשפעה הפיננסית והתוצאות העסקיות של השקעות כאלה.
"הצדקה והתייחסות לאנשים, לתהליך ולטכנולוגיות שכבר קיימות מבטיחות שהבקרות המצמצמות הנוכחיות נלקחות בחשבון בחישובי הסיכון הכוללים", אומר הליקסון.
מנקודת המבט של הליקסון, אימות מקיפות אסטרטגיית אבטחת הסייבר, הכרת הבגרות ורמת הסיכון של השקעות נוכחיות, והערכת האופן שבו השקעות עתידיות ישפרו את הבשלות וינהלו ביעילות את הסיכון הזה הוא המפתח להשגת אמון ותמיכה מנהלים.
"התמקדות בהוצאה על הבטחה שלא תופר כמעט עברה את הדרך כשטקטיקות הפחד, חוסר הוודאות והספק הפסיקו לפעול לפני כמעט עשור כששנה אחר שנה ההשקעות באבטחה המשיכו לעלות", הוא מוסיף.
בניית אסטרטגיית תוכנית סייבר המדגימה תוצאות עסקיות חיוביות מרחיקה לכת הרבה יותר ביכולת של CISO להשפיע על מנהלים אחרים.
במשך שנים, ארגונים הגדילו את ההוצאה, במיוחד את ההוצאה על אבטחת יישומים, והם עדיין לא הצליחו להשיג את סוג הכיסוי של תיק היישומים שלהם שהם רוצים, אומר ג'ון סטיבן, CTO של ThreatModeler.
"כאשר ארגונים רואים את ההוצאה הזו כבלתי ברת קיימא, שלא לדבר על קצב הצמיחה המבוקש, מנהלי אבטחה חייבים להוכיח שהם לא רק עושים דברים, אלא עושים יותר עבור פחות מאשר CISOs עמיתים, או אלה שבאו לפניהם," הוא אומר.
ככל שהפרות נפוצות בכל התעשייה, הן כנראה נדירות בתוך ארגון אחד, כך ש"הזמן מאז ההפרה" אמור להיות אינדיקטור די מנומנם לפעילות ולתוצאה, מוסיף סטיבן.
"התמקדות בהפעלת מסירה או חיכוך בלקוחות יכולה להיות בעלת השפעה משמעותית יותר", הוא אומר.
