Güvenlik uygulayıcıları, sahip oldukları bütçelerle güvenlik hedeflerine nasıl ulaşacaklarını bulmalıdır. Ayrıca, güvenlik programlarının kuruluşlarını korumada etkili olduğunu da göstermelidirler. Satın aldıkları siber güvenlik ürünlerini ve araçlarını gerekçelendirebilmeleri ve yatırım getirisini (ROI) ifade edebilmeleri gerekir.
Şimdi bunun için bir araç var. SecurityScorecard, güvenlik uygulayıcılarının kuruluşun genel güvenlik duruşunu göstermek için üst düzey tahminler bulmasına yardımcı olmak için bir içerik ve yatırım getirisi hesaplayıcısı yayınladı.
SecurityScorecard'ın pazarlama müdürü Cindy Zhou, "Ekonomik belirsizliğin olduğu bir dönemde, kötü aktörler değişkenlikten yararlandığından, siber güvenlik duruşlarını güçlendirmek bir öncelik olmalıdır" diyor. "Kuruluşlar, satın aldıkları siber güvenlik ürünleri ve araçlarının sağlam bir yatırım getirisi sağlayıp sağlamadığını bilmeli ve ifade edebilmelidir."
Zhou, güvenlik ekiplerinin güvenlik programları için ne satın alacaklarını düşünürken çok çeşitli risk faktörlerini dikkate almaları gerektiğini söylüyor. Listede ağ güvenliği, DNS sağlığı, yama temposu, uç nokta güvenliği, IP itibarı, uygulama güvenliği, arşın puanı, hacker sohbeti, bilgi sızıntıları, sosyal mühendislik ve dijital tedarik zincirlerini bilme yer alıyor.
Harcamayı Gerekçelendirmek için Riski Hesaplamak
Siber riski finansal terimlerle ölçmek, kuruluşların bir siber saldırının finansal etkisini anlamasına, satıcılarının oluşturduğu risklerve sorunlar çözülürse beklenen kayıplardaki azalmayı sayısallaştırın. Örneğin, bir siber güvenlik ürünü 200,000 ABD dolarına mal olabilir; ancak, 5 milyon dolarlık bir veri ihlaline karşı savunma yapabilir ve böylece kuruluşa uzun vadede önemli miktarda fon tasarrufu sağlayabilir.
Zhou, "CISO'lar, siber teknoloji yığınına yapılan harcamayı gerekçelendirmek için işlerinin siber riskini ölçebilmelidir" diyor.
Diğer bir önemli faktör, siber risk sigortası ve ilgili primleri temin etme yeteneğidir.
"Birçok sigortacı, bir şirketin bir poliçe için uygun olup olmadığını değerlendirmek için SecurityScorecard'ı kullanıyor" diyor. "CISO'lar ve CFO'ların yalnızca bir politika olarak değerlendirilmeleri için güvenlik duruşlarını göstermeleri gerekiyor."
Etkileşimli hesap makinesi, Forrester Consulting'in SecurityScorecard'ın Toplam Ekonomik Etkisi. Forrester Consulting, Toplam Ekonomik Etki formülünü kullanarak bir finansal model oluşturdu.
Çalışmanın bir parçası olarak danışmanlar, kurumda SecurityScorecard'a sahip olmanın, risk yönetiminde artan verimlilik, teknoloji verimlilikleri ve konsolidasyon ve iyileştirilmiş güvenlik duruşu dahil olmak üzere etkilerini ölçtüler. Bu yaklaşım yalnızca bir kuruluş içindeki maliyetleri ve maliyet düşüşünü ölçmekle kalmaz, aynı zamanda genel iş süreçlerinin etkinliğini artırmada bir teknolojinin etkinleştirici değerini de ölçer.
ROI hesaplayıcı genişler SecurityScorecard'ın Siber Risk Ölçümü (CRQ) yetenekleri, bütünsel iş riski analizinin bir parçası olarak müşterilerin finansal açıdan siber riski anlamalarına yardımcı olmak için tasarlanmıştır.
Executive Buy-In Alma
Coalfire'da saha CISO'su John Hellickson, C-suite ve yönetim kurulunun kuruluşun finansal performansına odaklanmaya alışık olduğunu, bu nedenle CISO'nun siber riski finansal terimlerle ölçebilmesi gerektiğini söylüyor. Bu şekilde, CISO ayrıca gerekçelendirebilir ve siber yatırımlara öncelik verin.
Bu, tüm tarafların bu tür yatırımların finansal etkisi ve ticari sonuçları hakkında bilinçli kararlar almasını sağlar.
Hellickson, "Halihazırda yürürlükte olan insanları, süreçleri ve teknolojileri gerekçelendirmek ve açıklamak, mevcut hafifletici kontrollerin genel risk hesaplamalarında dikkate alınmasını sağlar" diyor.
Hellickson'ın bakış açısından, siber güvenlik stratejisinin kapsamlılığını doğrulamak, mevcut yatırımların olgunluğunu ve risk seviyesini bilmek ve gelecekteki yatırımların bu olgunluğu nasıl geliştireceğini tahmin etmek ve bu riski etkin bir şekilde yönetmek, yönetici güvenini ve desteğini kazanmanın anahtarıdır.
"Yaklaşık on yıl önce güvenlik yatırımları artmaya devam ederken korku, belirsizlik ve şüphe taktikleri işe yaramadığında, harcamaları ihlal edilmeme güvencesine odaklamak neredeyse rafa kalktı" diye ekliyor.
Olumlu iş sonuçları gösteren bir siber program stratejisi oluşturmak, CISO'nun diğer yöneticileri etkileme becerisinde çok daha ileri gider.
ThreatModeler CTO'su John Steven, kuruluşların yıllardır harcamalarını, özellikle de uygulama güvenliği harcamalarını artırdıklarını ve uygulama portföylerinde arzu ettikleri kapsamı elde edemediklerini söylüyor.
"Kuruluşlar, talep edilen büyüme oranını bırakın, bu harcamayı sürdürülemez olarak gördüklerinde, güvenlik yöneticileri yalnızca işleri halletmekle kalmayıp aynı zamanda emsal CISO'lardan veya kendilerinden önce gelenlerden daha azına daha fazlasını yaptıklarını göstermelidir." diyor.
İhlaller sektörde ne kadar yaygın olsa da tek bir kuruluşta muhtemelen nadirdir, bu nedenle "ihlalden bu yana geçen süre" faaliyet ve sonucun oldukça uykulu bir göstergesi olmalıdır, diye ekliyor Steven.
"Teslimat etkinleştirmeye veya müşteri sürtüşmesine odaklanmak çok daha etkili olabilir" diyor.
