Beveiligingsprofessionals moeten uitzoeken hoe ze hun beveiligingsdoelen kunnen bereiken met de budgetten die ze hebben. Ze moeten ook laten zien dat hun beveiligingsprogramma's effectief zijn in het beschermen van hun organisaties. Ze moeten de cyberbeveiligingsproducten en -instrumenten die ze hebben aangeschaft kunnen rechtvaardigen en het rendement op de investering (ROI) kunnen verwoorden.
Daar bestaat nu een hulpmiddel voor. SecurityScorecard heeft een inhoud- en ROI-calculator uitgebracht om beveiligingsprofessionals te helpen schattingen op hoog niveau te maken om de algehele beveiligingspositie van de organisatie te illustreren.
“In een tijd van economische onzekerheid moet het versterken van de cybersecurityposities een prioriteit zijn, omdat slechte actoren profiteren van de volatiliteit”, zegt Cindy Zhou, chief marketing officer bij SecurityScorecard. “Organisaties moeten kunnen weten en onder woorden kunnen brengen of de cybersecurityproducten en -tools die ze hebben aangeschaft een goede ROI opleveren.”
Beveiligingsteams moeten rekening houden met een breed scala aan risicofactoren bij het overwegen van de aanschaf van hun beveiligingsprogramma's, zegt Zhou. De lijst omvat netwerkbeveiliging, DNS-gezondheid, patchfrequentie, eindpuntbeveiliging, IP-reputatie, applicatiebeveiliging, cubit-score, hackergebabbel, informatielekken, social engineering en het kennen van hun digitale toeleveringsketen.
Risico's berekenen om uitgaven te rechtvaardigen
Door het cyberrisico in financiële termen te kwantificeren, kunnen organisaties de financiële gevolgen van een cyberaanval begrijpen en inzicht krijgen in de gevolgen ervan risico's die hun leveranciers met zich meebrengenen kwantificeer de vermindering van de verwachte verliezen als de problemen worden opgelost. Een cyberbeveiligingsproduct kan bijvoorbeeld $200,000 kosten; het kan zich echter verdedigen tegen een datalek van $ 5 miljoen, waardoor de organisatie op de lange termijn aanzienlijk geld bespaart.
“CISO's moeten het cyberrisico van hun bedrijf kunnen kwantificeren om de uitgaven aan hun cybertechstack te rechtvaardigen”, zegt Zhou.
Een andere belangrijke factor is de mogelijkheid om cyberrisicoverzekeringen en de bijbehorende premies af te sluiten.
“Veel verzekeraars gebruiken SecurityScorecard om te beoordelen of een bedrijf in aanmerking komt voor een polis”, zegt ze. “CISO’s en CFO’s moeten hun veiligheidspositie aantonen om in aanmerking te komen voor beleid.”
De interactieve rekenmachine is gebaseerd op gegevens die zijn verzameld voor Forrester Consulting Totale economische impact van SecurityScorecard. Forrester Consulting heeft een financieel model ontwikkeld op basis van de Total Economic Impact-formule.
Als onderdeel van het onderzoek kwantificeerden de consultants de effecten van het hebben van SecurityScorecard in de onderneming, waaronder een grotere efficiëntie in risicobeheer, technologische efficiëntie en consolidatie, en een verbeterde beveiligingspositie. Deze aanpak meet niet alleen de kosten en kostenreductie binnen een organisatie, maar weegt ook de faciliterende waarde van een technologie af bij het vergroten van de effectiviteit van de algehele bedrijfsprocessen.
De ROI-calculator wordt uitgebreid SecurityScorecard's Cyber Risk Quantification (CRQ)-mogelijkheden, die zijn ontworpen om klanten te helpen cyberrisico's in financiële termen te begrijpen als onderdeel van een holistische bedrijfsrisicoanalyse.
Het verkrijgen van Executive Buy-In
De C-suite en het bestuur zijn gewend zich te concentreren op de financiële prestaties van de organisatie, dus de CISO moet cyberrisico's in financiële termen kunnen kwantificeren, zegt John Hellickson, veld-CISO bij Coalfire. Op deze manier kan de CISO ook verantwoording afleggen prioriteit geven aan cyberinvesteringen.
Hierdoor kunnen alle partijen weloverwogen beslissingen nemen over de financiële impact en bedrijfsresultaten van dergelijke investeringen.
“Het rechtvaardigen en verantwoorden van de mensen, processen en technologieën die al aanwezig zijn, zorgt ervoor dat de huidige risicobeperkende maatregelen worden meegenomen in de algemene risicoberekeningen”, zegt Hellickson.
Vanuit het perspectief van Hellickson is het valideren van de alomvattendheid van de cyberbeveiligingsstrategie, het kennen van de volwassenheid en het risiconiveau van de huidige investeringen, en het inschatten van hoe toekomstige investeringen die volwassenheid zullen verbeteren en dat risico effectief zullen beheren, de sleutel tot het verkrijgen van vertrouwen en steun van het management.
“Het concentreren van de uitgaven op de zekerheid dat er geen inbreuk wordt gemaakt, ging bijna terzijde toen de tactieken van angst, onzekerheid en twijfel bijna tien jaar geleden niet meer werkten, toen de investeringen in beveiliging jaar na jaar bleven stijgen”, voegt hij eraan toe.
Het opbouwen van een cyberprogrammastrategie die positieve bedrijfsresultaten laat zien, gaat veel verder in het vermogen van de CISO om andere leidinggevenden te beïnvloeden.
Organisaties hebben jarenlang hun uitgaven verhoogd, vooral de uitgaven voor applicatiebeveiliging, en zijn er nog steeds niet in geslaagd de gewenste dekking van hun applicatieportfolio te bereiken, zegt John Steven, CTO van ThreatModeler.
“Als organisaties deze uitgaven als onhoudbaar beschouwen, laat staan het gevraagde groeitempo, moeten beveiligingsmanagers aantonen dat ze niet alleen dingen gedaan krijgen, maar ook meer gedaan krijgen voor minder dan collega-CISO’s, of degenen die hen zijn voorgegaan”, zegt hij. zegt.
Hoe vaak inbreuken ook voorkomen in de sector, ze zijn waarschijnlijk zeldzaam binnen een enkele organisatie, dus ‘de tijd sinds de inbreuk’ zou een tamelijk slaperige indicator moeten zijn van activiteit en resultaat, voegt Steven eraan toe.
“Het focussen op het mogelijk maken van leveringen of klantirritaties kan een aanzienlijk grotere impact hebben”, zegt hij.
