Säkerhetsutövare måste ta reda på hur de kan uppnå sina säkerhetsmål med de budgetar de har. De måste också visa att deras säkerhetsprogram är effektiva för att skydda deras organisationer. De måste kunna motivera de cybersäkerhetsprodukter och verktyg de har köpt och formulera avkastningen på investeringen (ROI).
Nu finns det ett verktyg för det. SecurityScorecard släppte en innehålls- och ROI-kalkylator för att hjälpa säkerhetsutövare att räkna ut uppskattningar på hög nivå för att illustrera organisationens övergripande säkerhetsställning.
"I en tid av ekonomisk osäkerhet måste stärkande av cybersäkerhetsställningar vara en prioritet, eftersom dåliga aktörer drar fördel av volatiliteten", säger Cindy Zhou, marknadschef på SecurityScorecard. "Organisationer måste kunna veta och formulera om cybersäkerhetsprodukterna och -verktygen de har köpt ger en bra avkastning på investeringen."
Säkerhetsteam bör överväga en mängd olika riskfaktorer när de överväger vad de ska köpa för sina säkerhetsprogram, säger Zhou. Listan inkluderar nätverkssäkerhet, DNS-hälsa, patchkadens, slutpunktssäkerhet, IP-rykte, applikationssäkerhet, cubit score, hackerprat, informationsläckor, social ingenjörskonst och att känna till deras digitala leveranskedja.
Beräkna risk för att motivera utgifter
Att kvantifiera cyberrisk i ekonomiska termer gör det möjligt för organisationer att förstå de ekonomiska konsekvenserna av en cyberattack, få insikt i risker som deras leverantörer utgör, och kvantifiera minskningen av förväntade förluster om problemen löses. Till exempel kan en cybersäkerhetsprodukt kosta 200,000 5 USD; Det kan dock försvara sig mot ett dataintrång på XNUMX miljoner dollar, vilket på sikt sparar organisationen avsevärda pengar.
"CISO:er måste kunna kvantifiera sin verksamhets cyberrisk för att motivera utgifterna för sin cybertech-stack", säger Zhou.
En annan nyckelfaktor är möjligheten att skaffa cyberriskförsäkring och tillhörande premier.
"Många försäkringsbolag använder SecurityScorecard för att bedöma om ett företag är berättigat till en försäkring", säger hon. "CISO:er och finanschefer måste visa sin säkerhetsställning bara för att komma i fråga för en policy."
Den interaktiva kalkylatorn är baserad på data som samlats in för Forrester Consultings Total ekonomisk påverkan av SecurityScorecard. Forrester Consulting konstruerade en finansiell modell med hjälp av en formel för Total Economic Impact.
Som en del av studien kvantifierade konsulterna effekterna av att ha SecurityScorecard i företaget, inklusive ökad effektivitet i riskhantering, teknikeffektivitet och konsolidering, och förbättrad säkerhetsställning. Detta tillvägagångssätt mäter inte bara kostnader och kostnadsminskningar inom en organisation, utan det väger också det möjliggörande värdet av en teknik för att öka effektiviteten i övergripande affärsprocesser.
ROI-kalkylatorn expanderar SecurityScorecards funktioner för cyberriskkvantifiering (CRQ)., som är utformade för att hjälpa kunder att förstå cyberrisk i finansiella termer som en del av holistisk affärsriskanalys.
Få Executive Buy-In
C-sviten och styrelsen är vana vid att fokusera på organisationens finansiella resultat, så CISO måste kunna kvantifiera cyberrisk i ekonomiska termer, säger John Hellickson, fält-CISO på Coalfire. På så sätt kan CISO också motivera och prioritera cyberinvesteringar.
Detta låter alla parter fatta välgrundade beslut om de ekonomiska konsekvenserna och affärsresultaten av sådana investeringar.
"Att motivera och redogöra för de människor, processer och tekniker som redan finns på plats säkerställer att nuvarande mildrande kontroller beaktas i de övergripande riskberäkningarna", säger Hellickson.
Ur Hellicksons perspektiv är det avgörande att validera helheten i cybersäkerhetsstrategin, känna till mognads- och risknivån för nuvarande investeringar och uppskatta hur framtida investeringar kommer att förbättra denna mognad och effektivt hantera den risken för att få ledningsförtroende och stöd.
"Att fokusera utgifterna på försäkran om att inte bli inträngda bara gick åt sidan när taktiken med rädsla, osäkerhet och tvivel slutade fungera för nästan ett decennium sedan när säkerhetsinvesteringarna år efter år fortsatte att öka", tillägger han.
Att bygga en cyberprogramstrategi som visar positiva affärsresultat går mycket längre i CISO:s förmåga att påverka andra chefer.
I åratal har organisationer ökat utgifterna, särskilt utgifterna för applikationssäkerhet, och de har fortfarande misslyckats med att uppnå den typ av täckning av sin applikationsportfölj de önskar, säger John Steven, CTO på ThreatModeler.
"När organisationer ser dessa utgifter som ohållbara, än mindre den begärda tillväxttakten, måste säkerhetschefer visa att de inte bara får saker gjorda, utan får mer gjort för mindre än peer CISOs, eller de som har kommit före dem," han säger.
Lika vanliga som överträdelser är i branschen, är de förmodligen sällsynta inom en enda organisation, så "tid sedan intrång" borde vara en ganska sömnig indikator på aktivitet och resultat, tillägger Steven.
"Att fokusera på leveransmöjlighet eller kundfriktion kan vara betydligt mer påverkande", säger han.
