Os profissionais de segurança precisam descobrir como atingir suas metas de segurança com os orçamentos de que dispõem. Eles também devem demonstrar que seus programas de segurança são eficazes na proteção de suas organizações. Eles precisam ser capazes de justificar os produtos e ferramentas de segurança cibernética que adquiriram e articular o retorno do investimento (ROI).
Agora existe uma ferramenta para isso. SecurityScorecard lançou uma calculadora de conteúdo e ROI para ajudar os profissionais de segurança a descobrir estimativas de alto nível para ilustrar a postura geral de segurança da organização.
“Num momento de incerteza económica, o reforço das posturas de cibersegurança deve ser uma prioridade, à medida que os malfeitores tiram partido da volatilidade”, afirma Cindy Zhou, diretora de marketing da SecurityScorecard. “As organizações devem ser capazes de saber e articular se os produtos e ferramentas de segurança cibernética que adquiriram proporcionam um ROI sólido.”
As equipes de segurança devem considerar uma ampla variedade de fatores de risco ao decidir o que comprar para seus programas de segurança, diz Zhou. A lista inclui segurança de rede, integridade de DNS, cadência de patches, segurança de endpoint, reputação de IP, segurança de aplicativos, pontuação côvado, conversas de hackers, vazamentos de informações, engenharia social e conhecimento de sua cadeia de suprimentos digital.
Calculando o risco para justificar gastos
A quantificação do risco cibernético em termos financeiros permite que as organizações compreendam o impacto financeiro de um ataque cibernético, obtenham informações sobre o riscos que seus fornecedores representame quantificar a redução nas perdas esperadas se os problemas forem resolvidos. Por exemplo, um produto de segurança cibernética pode custar US$ 200,000; no entanto, pode defender-se contra uma violação de dados de 5 milhões de dólares, poupando assim fundos consideráveis à organização a longo prazo.
“Os CISOs devem ser capazes de quantificar o risco cibernético de seus negócios para justificar os gastos com sua pilha de tecnologia cibernética”, diz Zhou.
Outro factor-chave é a capacidade de adquirir seguro contra riscos cibernéticos e os prémios associados.
“Muitas seguradoras usam o SecurityScorecard para avaliar se uma empresa é elegível para uma apólice”, diz ela. “CISOs e CFOs precisam demonstrar sua postura de segurança apenas para serem considerados para uma política.”
A calculadora interativa é baseada em dados coletados pela Forrester Consulting Impacto Econômico Total do SecurityScorecard. A Forrester Consulting construiu um modelo financeiro usando uma fórmula de Impacto Econômico Total.
Como parte do estudo, os consultores quantificaram os efeitos de ter o SecurityScorecard na empresa, incluindo maior eficiência no gerenciamento de riscos, eficiência e consolidação tecnológica e melhor postura de segurança. Esta abordagem não só mede os custos e a redução de custos dentro de uma organização, mas também pondera o valor facilitador de uma tecnologia no aumento da eficácia dos processos empresariais globais.
A calculadora de ROI se expande Capacidades de quantificação de riscos cibernéticos (CRQ) do SecurityScorecard, que foram concebidos para ajudar os clientes a compreender o risco cibernético em termos financeiros como parte de uma análise holística do risco empresarial.
Obtendo adesão executiva
O C-suite e o conselho estão habituados a concentrar-se no desempenho financeiro da organização, pelo que o CISO precisa de ser capaz de quantificar o risco cibernético em termos financeiros, afirma John Hellickson, CISO de campo da Coalfire. Desta forma, o CISO também pode justificar e priorizar investimentos cibernéticos.
Isto permite que todas as partes tomem decisões informadas sobre o impacto financeiro e os resultados comerciais de tais investimentos.
“Justificar e contabilizar as pessoas, os processos e as tecnologias já existentes garante que os atuais controles de mitigação sejam considerados nos cálculos gerais de risco”, diz Hellickson.
Da perspectiva de Hellickson, validar a abrangência da estratégia de segurança cibernética, conhecer a maturidade e o nível de risco dos investimentos atuais e estimar como os investimentos futuros irão melhorar essa maturidade e gerir eficazmente esse risco é fundamental para ganhar a confiança e o apoio dos executivos.
“Concentrar os gastos na garantia de não ser violado foi praticamente deixado de lado quando as táticas de medo, incerteza e dúvida pararam de funcionar há quase uma década, quando ano após ano os investimentos em segurança continuaram a aumentar”, acrescenta.
Construir uma estratégia de programa cibernético que demonstre resultados de negócios positivos vai muito além na capacidade do CISO de influenciar outros executivos.
Durante anos, as organizações aumentaram os gastos, especialmente os gastos com segurança de aplicativos, e ainda não conseguiram alcançar o tipo de cobertura de seu portfólio de aplicativos que desejam, diz John Steven, CTO da ThreatModeler.
“Quando as organizações consideram esses gastos insustentáveis, e muito menos a taxa de crescimento solicitada, os executivos de segurança devem demonstrar que não estão apenas fazendo as coisas, mas fazendo mais por menos do que os CISOs de seus pares, ou aqueles que vieram antes deles”, ele diz.
Por mais comuns que sejam as violações em todo o setor, elas provavelmente são raras dentro de uma única organização, portanto, o “tempo desde a violação” deve ser um indicador bastante sonolento de atividade e resultado, acrescenta Steven.
“Focar na capacitação da entrega ou no atrito com o cliente pode ter um impacto significativamente maior”, diz ele.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
