보안 실무자는 자신이 보유한 예산으로 보안 목표를 달성하는 방법을 파악해야 합니다. 또한 보안 프로그램이 조직을 보호하는 데 효과적이라는 것을 입증해야 합니다. 그들은 구매한 사이버 보안 제품과 도구를 정당화하고 투자 수익(ROI)을 명확히 설명할 수 있어야 합니다.
이제 이를 위한 도구가 있습니다. SecurityScorecard는 보안 실무자가 조직의 전반적인 보안 상태를 설명하기 위해 높은 수준의 추정치를 파악하는 데 도움이 되는 콘텐츠와 ROI 계산기를 출시했습니다.
SecurityScorecard의 최고 마케팅 책임자인 Cindy Zhou는 "경제적 불확실성이 있는 시기에 사이버 보안 태세를 강화하는 것이 최우선 과제입니다. 악의적인 행위자가 변동성을 이용하기 때문입니다."라고 말합니다. "조직은 구매한 사이버 보안 제품과 도구가 건전한 ROI를 제공하는지 알고 명확하게 설명할 수 있어야 합니다."
Zhou는 보안 팀이 보안 프로그램 구매를 고려할 때 다양한 위험 요소를 고려해야 한다고 말했습니다. 목록에는 네트워크 보안, DNS 상태, 패치 주기, 엔드포인트 보안, IP 평판, 애플리케이션 보안, 큐빗 점수, 해커 채팅, 정보 유출, 사회 공학 및 디지털 공급망 파악이 포함됩니다.
지출을 정당화하기 위한 위험 계산
재정적 측면에서 사이버 위험을 정량화하면 조직은 사이버 공격의 재정적 영향을 이해하고 사이버 공격에 대한 통찰력을 얻을 수 있습니다. 공급업체가 제기하는 위험, 문제가 해결되면 예상되는 손실 감소를 정량화합니다. 예를 들어, 사이버 보안 제품의 가격은 200,000달러일 수 있습니다. 그러나 5만 달러 규모의 데이터 유출을 방어할 수 있으므로 장기적으로 조직에 상당한 자금을 절약할 수 있습니다.
Zhou는 “CISO는 사이버 기술 스택에 대한 지출을 정당화하기 위해 비즈니스의 사이버 위험을 수량화할 수 있어야 합니다.
또 다른 핵심 요소는 사이버 위험 보험 및 관련 보험료를 조달할 수 있는 능력입니다.
“많은 보험사에서는 SecurityScorecard를 사용하여 회사가 보험 가입 자격이 있는지 평가합니다.”라고 그녀는 말합니다. “CISO와 CFO는 정책 고려 대상이 되기 위해 보안 태세를 입증해야 합니다.”
대화형 계산기는 Forrester Consulting을 위해 수집된 데이터를 기반으로 합니다. SecurityScorecard의 총 경제적 영향. Forrester Consulting은 Total Economic Impact 공식을 사용하여 재무 모델을 구축했습니다.
연구의 일환으로 컨설턴트는 위험 관리 효율성 향상, 기술 효율성 및 통합, 보안 태세 개선 등 기업에서 SecurityScorecard를 사용하는 효과를 정량화했습니다. 이 접근 방식은 조직 내에서 비용과 비용 절감을 측정할 뿐만 아니라 전체 비즈니스 프로세스의 효율성을 높이는 데 있어 기술의 활성화 가치도 평가합니다.
ROI 계산기 확장 SecurityScorecard의 CRQ(사이버 위험 정량화) 기능, 전체적인 비즈니스 위험 분석의 일환으로 고객이 금융 측면에서 사이버 위험을 이해할 수 있도록 설계되었습니다.
임원 동의 얻기
Coalfire의 현장 CISO인 John Hellickson은 최고 경영진과 이사회가 조직의 재정적 성과에 초점을 맞추는 데 익숙하기 때문에 CISO는 재정적 측면에서 사이버 위험을 정량화할 수 있어야 한다고 말합니다. 이런 방식으로 CISO는 정당화하고 사이버 투자 우선순위.
이를 통해 모든 당사자는 해당 투자의 재정적 영향과 비즈니스 결과에 대해 정보를 바탕으로 결정을 내릴 수 있습니다.
Hellickson은 “이미 존재하는 인력, 프로세스, 기술을 정당화하고 설명하면 전체 위험 계산에서 현재 완화 통제가 고려된다는 것을 보장합니다.”라고 말합니다.
Hellickson의 관점에서 볼 때, 사이버 보안 전략의 포괄성을 검증하고, 현재 투자의 성숙도와 위험 수준을 파악하고, 향후 투자가 어떻게 성숙도를 향상시키고 해당 위험을 효과적으로 관리할지 예측하는 것이 경영진의 신뢰와 지원을 얻는 데 핵심입니다.
그는 “보안 투자가 해마다 계속 증가하면서 두려움, 불확실성, 의심 전술이 약 10년 전에 작동하지 않게 되면서 침해를 당하지 않는다는 보장에 집중하는 지출이 무산되었습니다”라고 덧붙였습니다.
긍정적인 비즈니스 결과를 보여주는 사이버 프로그램 전략을 구축하면 CISO가 다른 임원에게 영향력을 미치는 능력이 더욱 향상됩니다.
ThreatModeler의 CTO인 John Steven은 수년 동안 조직에서 지출, 특히 애플리케이션 보안 지출을 늘렸지만 여전히 원하는 애플리케이션 포트폴리오의 적용 범위를 달성하지 못했다고 말합니다.
"조직이 요청된 성장률은 물론이고 이러한 지출이 지속 불가능하다고 판단할 때 보안 경영진은 업무를 수행할 뿐만 아니라 동료 CISO 또는 이전 CISO보다 적은 비용으로 더 많은 작업을 수행하고 있음을 입증해야 합니다." 말한다.
업계 전반에 걸쳐 침해가 흔히 발생하는 만큼 단일 조직 내에서는 이러한 경우가 드물기 때문에 "침해 이후 시간"은 활동과 결과를 나타내는 상당히 졸린 지표가 되어야 한다고 Steven은 덧붙입니다.
“배송 활성화나 고객 마찰에 초점을 맞추는 것이 훨씬 더 큰 영향을 미칠 수 있습니다.”라고 그는 말합니다.
