Sikkerhetsutøvere må finne ut hvordan de kan nå sine sikkerhetsmål med budsjettene de har. De må også vise at sikkerhetsprogrammene deres er effektive for å beskytte organisasjonene deres. De må være i stand til å rettferdiggjøre cybersikkerhetsproduktene og -verktøyene de har kjøpt og artikulere avkastningen på investeringen (ROI).
Nå er det et verktøy for det. SecurityScorecard ga ut en innholds- og ROI-kalkulator for å hjelpe sikkerhetsutøvere med å finne ut overordnede estimater for å illustrere organisasjonens generelle sikkerhetsstilling.
"I en tid med økonomisk usikkerhet, må styrking av cybersikkerhetsstillinger være en prioritet, ettersom dårlige aktører drar nytte av volatilitet," sier Cindy Zhou, markedssjef i SecurityScorecard. "Organisasjoner må være i stand til å vite og artikulere om cybersikkerhetsproduktene og -verktøyene de har kjøpt gir en god avkastning."
Sikkerhetsteam bør vurdere en lang rekke risikofaktorer når de vurderer hva de skal kjøpe til sikkerhetsprogrammene sine, sier Zhou. Listen inkluderer nettverkssikkerhet, DNS-helse, patching-kadens, endepunktsikkerhet, IP-omdømme, applikasjonssikkerhet, alenpoengsum, hackerprat, informasjonslekkasjer, sosial ingeniørkunst og å kjenne deres digitale forsyningskjede.
Beregning av risiko for å rettferdiggjøre forbruk
Å kvantifisere cyberrisiko i økonomiske termer lar organisasjoner forstå den økonomiske konsekvensen av et cyberangrep, få innsikt i risikoer deres leverandører utgjør, og kvantifiser reduksjonen i forventede tap hvis problemer løses. For eksempel kan et cybersikkerhetsprodukt koste $200,000 5; Det kan imidlertid forsvare seg mot et datainnbrudd på XNUMX millioner dollar, og dermed spare organisasjonen for betydelige midler i det lange løp.
"CISOer må være i stand til å kvantifisere virksomhetens cyberrisiko for å rettferdiggjøre forbruket på cybertech-stabelen deres," sier Zhou.
En annen nøkkelfaktor er muligheten til å skaffe cyberrisikoforsikring og tilhørende premier.
"Mange forsikringsselskaper bruker SecurityScorecard for å vurdere om et selskap er kvalifisert for en forsikring," sier hun. "CISOer og finansdirektører må demonstrere sin sikkerhetsstilling bare for å bli vurdert for en policy."
Den interaktive kalkulatoren er basert på data samlet inn for Forrester Consultings Total økonomisk innvirkning av SecurityScorecard. Forrester Consulting konstruerte en finansiell modell ved å bruke en formel for Total Economic Impact.
Som en del av studien kvantifiserte konsulentene effektene av å ha SecurityScorecard i bedriften, inkludert økt effektivitet i risikostyring, teknologieffektivitet og konsolidering, og forbedret sikkerhetsstilling. Denne tilnærmingen måler ikke bare kostnader og kostnadsreduksjoner i en organisasjon, men den veier også muliggjøringsverdien av en teknologi for å øke effektiviteten til generelle forretningsprosesser.
ROI-kalkulatoren utvides SecurityScorecards funksjoner for Cyber Risk Quantification (CRQ)., som er utviklet for å hjelpe kunder med å forstå cyberrisiko i økonomiske termer som en del av helhetlig forretningsrisikoanalyse.
Få Executive Buy-In
C-suiten og styret er vant til å fokusere på organisasjonens økonomiske resultater, så CISO må være i stand til å kvantifisere cyberrisiko i økonomiske termer, sier John Hellickson, felt-CISO hos Coalfire. På denne måten kan CISO også rettferdiggjøre og prioritere cyberinvesteringer.
Dette lar alle parter ta informerte beslutninger om den økonomiske konsekvensen og forretningsresultatene av slike investeringer.
"Å rettferdiggjøre og redegjøre for menneskene, prosessen og teknologiene som allerede er på plass, sikrer at gjeldende avbøtende kontroller vurderes i de overordnede risikoberegningene," sier Hellickson.
Fra Hellicksons perspektiv er validering av helheten til cybersikkerhetsstrategien, kjennskap til modenhet og risikonivå for nåværende investeringer, og estimering av hvordan fremtidige investeringer vil forbedre denne modenheten og effektivt håndtere denne risikoen nøkkelen til å oppnå tillit og støtte fra ledelsen.
"Å fokusere på forsikringen om ikke å bli brutt gikk nesten ut av veien da frykt, usikkerhet og tvilstaktikker sluttet å virke for nesten et tiår siden da sikkerhetsinvesteringene fortsatte å øke år etter år," legger han til.
Å bygge en cyberprogramstrategi som viser positive forretningsresultater går mye lenger i CISOs evne til å påvirke andre ledere.
I årevis har organisasjoner økt forbruket, spesielt applikasjonssikkerhet, og de har fortsatt ikke klart å oppnå den typen dekning av applikasjonsporteføljen de ønsker, sier John Steven, CTO i ThreatModeler.
"Når organisasjoner ser på dette forbruket som uholdbart, enn si den forespurte veksthastigheten, må sikkerhetsledere demonstrere at de ikke bare får ting gjort, men får gjort mer for mindre enn jevnaldrende CISOer, eller de som har kommet før dem," han sier.
Så vanlige som brudd er på tvers av bransjen, er de sannsynligvis sjeldne innenfor en enkelt organisasjon, så "tid siden brudd" bør være en ganske søvnig indikator på aktivitet og resultat, legger Steven til.
"Fokusering på leveringsaktivering eller kundefriksjon kan ha betydelig mer effekt," sier han.
