リスクを定量化し、ROI を計算 PlatoBlockchain Data Intelligence. 垂直検索。 あい。

リスクを定量化し、ROI を計算する

タイムスタンプ:21年2022月5日51:XNUMX

セキュリティ担当者は、予算内でセキュリティの目標を達成する方法を見つけ出す必要があります。 また、セキュリティ プログラムが組織を効果的に保護していることを示す必要があります。 彼らは、購入したサイバーセキュリティ製品とツールを正当化し、投資収益率 (ROI) を明確に説明できる必要があります。

今、そのためのツールがあります。 SecurityScorecard は、コンテンツと ROI の計算ツールをリリースしました。これは、セキュリティ担当者が組織の全体的なセキュリティ体制を説明するための高レベルの見積もりを把握するのに役立ちます。

SecurityScorecard の最高マーケティング責任者である Cindy Zhou は、次のように述べています。 「組織は、購入したサイバーセキュリティ製品とツールが健全な ROI を提供するかどうかを知り、明確にすることができなければなりません。」

セキュリティ チームは、セキュリティ プログラムのために何を購入するかを検討する際に、さまざまなリスク要因を考慮する必要がある、と Zhou 氏は言います。 リストには、ネットワーク セキュリティ、DNS ヘルス、パッチ適用頻度、エンドポイント セキュリティ、IP レピュテーション、アプリケーション セキュリティ、cubit スコア、ハッカーのおしゃべり、情報漏えい、ソーシャル エンジニアリング、およびデジタル サプライ チェーンの把握が含まれます。

支出を正当化するためのリスクの計算

財務面でサイバー リスクを定量化することで、組織はサイバー攻撃の財務的影響を理解し、 ベンダーがもたらすリスク、問題が解決した場合の予想損失の削減を定量化します。 たとえば、サイバーセキュリティ製品の価格は 200,000 ドルです。 ただし、5 万ドルのデータ侵害を防ぐことができるため、組織は長期的にかなりの資金を節約できます。

「CISO は、サイバーテクノロジー スタックへの支出を正当化するために、ビジネスのサイバー リスクを定量化できなければなりません」と Zhou 氏は言います。

もう XNUMX つの重要な要素は、サイバー リスク保険と関連する保険料を調達できることです。

「多くの保険会社は SecurityScorecard を使用して、企業が保険契約の対象となるかどうかを評価しています」と彼女は言います。 「CISO と CFO は、ポリシーの対象として考慮されるために、セキュリティ体制を示す必要があります。」

インタラクティブな計算ツールは、Forrester Consulting の SecurityScorecard の総合的な経済効果. Forrester Consulting は、Total Economic Impact 式を使用して財務モデルを構築しました。

調査の一環として、コンサルタントは、企業に SecurityScorecard を導入することの効果を定量化しました。これには、リスク管理の効率の向上、テクノロジの効率と統合、およびセキュリティ体制の改善が含まれます。 このアプローチは、組織内のコストとコスト削減を測定するだけでなく、ビジネス プロセス全体の有効性を向上させるテクノロジの実現価値も評価します。

ROI 計算ツールが展開されます SecurityScorecard の Cyber​​ Risk Quantification (CRQ) 機能は、総合的なビジネス リスク分析の一環として、顧客がサイバー リスクを財務面で理解できるように設計されています。

エグゼクティブの賛同を得る

経営陣と取締役会は組織の財務実績に注目することに慣れているため、CISO は財務面でサイバーリスクを定量化できる必要があると、Coalfire のフィールド CISO である John Hellickson 氏は述べています。 このようにして、CISO も正当化し、 サイバー投資を優先する.

これにより、すべての関係者が、そのような投資の財務上の影響とビジネス上の成果について十分な情報に基づいた決定を下すことができます。

「すでに導入されている人、プロセス、およびテクノロジーを正当化して説明することで、現在の緩和制御が全体的なリスク計算で考慮されるようになります」と Helickson 氏は言います。

Hellickson の観点からは、サイバーセキュリティ戦略の包括性を検証し、現在の投資の成熟度とリスク レベルを把握し、将来の投資がその成熟度を向上させ、そのリスクを効果的に管理する方法を推定することが、エグゼクティブの信頼と支持を得る鍵となります。

「ほぼ XNUMX 年前にセキュリティへの投資が年々増加し続けたときに、恐怖、不確実性、疑いの戦術が機能しなくなったとき、侵害されないという保証に支出を集中させることは道に迷いました」と彼は付け加えます。

ポジティブなビジネス成果を実証するサイバー プログラム戦略を構築することは、CISO が他の経営幹部に影響を与える能力をさらに高めます。

ThreatModeler の CTO である John Steven 氏は、組織は何年にもわたって支出、特にアプリケーション セキュリティへの支出を増やしてきましたが、いまだにアプリケーション ポートフォリオのカバー範囲を達成できていないと述べています。

「組織が、要求された成長率は言うまでもなく、この支出が持続不可能であると考える場合、セキュリティ エグゼクティブは、仕事を成し遂げるだけでなく、同僚よりも少ない CISO、または彼らより前の CISO のために、より多くのことを成し遂げていることを示さなければなりません。」と言う。

侵害は業界全体でよくあることですが、単一の組織内ではおそらくまれであるため、「侵害からの時間」は活動と結果のかなり眠い指標になるはずです、とスティーブンは付け加えます.

「配信の有効化や顧客の摩擦に焦点を当てると、はるかに影響力が大きくなる可能性があります」と彼は言います。

タイムスタンプ:

より多くの 暗い読書