Специалисты по безопасности должны выяснить, как достичь своих целей в области безопасности с имеющимися у них бюджетами. Они также должны показать, что их программы безопасности эффективны для защиты их организаций. Они должны быть в состоянии обосновать продукты и инструменты кибербезопасности, которые они приобрели, и сформулировать окупаемость инвестиций (ROI).
Теперь для этого есть инструмент. SecurityScorecard выпустила калькулятор содержания и окупаемости инвестиций, чтобы помочь специалистам по безопасности рассчитать высокоуровневые оценки, чтобы проиллюстрировать общее состояние безопасности организации.
«Во времена экономической неопределенности укрепление позиций кибербезопасности должно быть приоритетом, поскольку злоумышленники пользуются волатильностью», — говорит Синди Чжоу, директор по маркетингу SecurityScorecard. «Организации должны иметь возможность знать и четко формулировать, обеспечивают ли продукты и инструменты кибербезопасности хорошую рентабельность инвестиций».
По словам Чжоу, команды безопасности должны учитывать широкий спектр факторов риска при выборе того, что купить для своих программ безопасности. В список входят сетевая безопасность, работоспособность DNS, частота исправлений, безопасность конечных точек, репутация IP, безопасность приложений, оценка кубитов, болтовня хакеров, утечки информации, социальная инженерия и знание их цифровой цепочки поставок.
Расчет риска для оправдания расходов
Количественная оценка киберриска в финансовом выражении позволяет организациям понять финансовые последствия кибератаки, получить представление о риски, которые представляют их поставщики, и количественно определить сокращение ожидаемых убытков, если проблемы будут решены. Например, продукт кибербезопасности может стоить 200,000 5 долларов; однако он может защитить от утечки данных на XNUMX миллионов долларов, что в долгосрочной перспективе сэкономит организации значительные средства.
«CISO должны иметь возможность количественно оценить киберриск своего бизнеса, чтобы оправдать расходы на свой стек кибертехнологий», — говорит Чжоу.
Еще одним ключевым фактором является возможность приобретения страховки от кибер-рисков и связанных с ней премий.
«Многие страховые компании используют SecurityScorecard, чтобы оценить, подходит ли компания для полиса», — говорит она. «CIS и CFO должны продемонстрировать свою безопасность только для того, чтобы их рассматривали для политики».
Интерактивный калькулятор основан на данных, собранных для Forrester Consulting. Общий экономический эффект SecurityScorecard. Forrester Consulting построила финансовую модель, используя формулу общего экономического эффекта.
В рамках исследования консультанты количественно оценили влияние SecurityScorecard на предприятие, включая повышение эффективности управления рисками, эффективность и консолидацию технологий, а также улучшение состояния безопасности. Этот подход не только измеряет затраты и снижение издержек внутри организации, но также взвешивает вспомогательную ценность технологии для повышения эффективности общих бизнес-процессов.
Калькулятор ROI расширяется Возможности SecurityScorecard для количественной оценки киберрисков (CRQ), которые призваны помочь клиентам понять киберриски с финансовой точки зрения в рамках целостного анализа бизнес-рисков.
Получение исполнительного бай-ина
Высшее руководство и совет директоров привыкли сосредотачиваться на финансовых показателях организации, поэтому директор по информационной безопасности должен уметь количественно оценивать киберриски в финансовом выражении, говорит Джон Хелликсон, полевой директор по информационной безопасности в Coalfire. Таким образом, CISO также может обосновать и расставить приоритеты в киберинвестициях.
Это позволяет всем сторонам принимать обоснованные решения о финансовых последствиях и коммерческих результатах таких инвестиций.
«Обоснование и учет уже имеющихся людей, процессов и технологий гарантирует, что текущие меры по смягчению последствий учитываются при расчете общего риска», — говорит Хелликсон.
С точки зрения Хелликсона, проверка полноты стратегии кибербезопасности, знание зрелости и уровня риска текущих инвестиций, а также оценка того, как будущие инвестиции улучшат эту зрелость и эффективно управляют этим риском, являются ключом к получению доверия и поддержки руководства.
«Сосредоточение расходов на гарантии отсутствия взлома почти ушло на второй план, когда тактика страха, неуверенности и сомнения перестала работать почти десять лет назад, когда год за годом инвестиции в безопасность продолжали расти», — добавляет он.
Создание стратегии киберпрограммы, которая демонстрирует положительные результаты для бизнеса, идет гораздо дальше в плане способности директора по информационной безопасности влиять на других руководителей.
По словам Джона Стивена, технического директора ThreatModeler, в течение многих лет организации увеличивали расходы, особенно расходы на безопасность приложений, но им все еще не удавалось добиться желаемого охвата своего портфеля приложений.
«Когда организации считают эти расходы неустойчивыми, не говоря уже о требуемых темпах роста, руководители службы безопасности должны продемонстрировать, что они не только выполняют работу, но и делают больше за меньшие деньги, чем их коллеги по информационной безопасности или те, кто был до них», — он говорит.
Несмотря на то, что взломы распространены в отрасли, они, вероятно, редки в рамках одной организации, поэтому «время, прошедшее с момента взлома» должно быть довольно слабым показателем активности и результата, добавляет Стивен.
«Сосредоточение внимания на обеспечении доставки или разногласиях с клиентами может быть значительно более эффективным», — говорит он.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
