Спеціалісти з безпеки повинні з’ясувати, як досягти своїх цілей у сфері безпеки за наявні у них бюджети. Вони також повинні показати, що їхні програми безпеки ефективні для захисту їхніх організацій. Вони повинні вміти обґрунтувати продукти та інструменти кібербезпеки, які вони придбали, і сформулювати рентабельність інвестицій (ROI).
Тепер для цього є інструмент. SecurityScorecard випустила калькулятор вмісту та рентабельності інвестицій, щоб допомогти фахівцям із безпеки визначити загальні оцінки для ілюстрації загального стану безпеки організації.
«У період економічної невизначеності посилення кібербезпеки має бути пріоритетом, оскільки зловмисники користуються нестабільністю», — каже Сінді Чжоу, директор з маркетингу SecurityScorecard. «Організації повинні знати та чітко формулювати, чи продукти та інструменти кібербезпеки, які вони придбали, забезпечують надійну рентабельність інвестицій».
Команди безпеки повинні враховувати широкий спектр факторів ризику, коли обдумують, що купити для своїх програм безпеки, каже Чжоу. Список включає мережеву безпеку, справність DNS, каденцію виправлень, безпеку кінцевих точок, репутацію IP, безпеку додатків, оцінку ліктя, балаканину хакерів, витік інформації, соціальну інженерію та знання цифрового ланцюжка поставок.
Розрахунок ризику для виправдання витрат
Кількісна оцінка кіберризику у фінансовому вираженні дозволяє організаціям зрозуміти фінансовий вплив кібератаки, отримати уявлення про ризики, які представляють їхні постачальники, а також кількісно визначити зменшення очікуваних втрат, якщо проблеми будуть вирішені. Наприклад, продукт кібербезпеки може коштувати 200,000 5 доларів США; однак він може захистити від витоку даних на XNUMX мільйонів доларів США, таким чином заощадивши значні кошти організації в довгостроковій перспективі.
«КІСО повинні вміти кількісно оцінити кіберризик свого бізнесу, щоб виправдати витрати на свій стек кібертехнічних технологій», — говорить Чжоу.
Іншим ключовим фактором є можливість придбати страхування від кіберризиків і відповідні премії.
«Багато страховиків використовують SecurityScorecard, щоб оцінити, чи має компанія право на поліс», — каже вона. «КІСО та фінансові директори повинні продемонструвати свою позицію безпеки, щоб їх розглядали для політики».
Інтерактивний калькулятор базується на даних, зібраних для Forrester Consulting Загальний економічний вплив SecurityScorecard. Компанія Forrester Consulting побудувала фінансову модель за допомогою формули загального економічного впливу.
У рамках дослідження консультанти кількісно оцінили наслідки використання SecurityScorecard на підприємстві, зокрема підвищення ефективності управління ризиками, ефективності технологій і консолідації, а також покращення стану безпеки. Цей підхід не тільки вимірює витрати та скорочення витрат всередині організації, але й оцінює сприятливу цінність технології для підвищення ефективності загальних бізнес-процесів.
Розгорнеться калькулятор ROI Можливості кількісної оцінки кіберризиків (CRQ) SecurityScorecard, які розроблені, щоб допомогти клієнтам зрозуміти фінансові кіберризики як частину цілісного аналізу бізнес-ризиків.
Отримання виконавчого бай-іну
Команда керівників і правління звикли зосереджуватися на фінансових показниках організації, тому CISO повинен мати можливість кількісно оцінити кіберризик у фінансовому виразі, говорить Джон Хелліксон, польовий CISO у Coalfire. Таким чином, CISO також може обґрунтувати і визначати пріоритетність кіберінвестицій.
Це дозволяє всім сторонам приймати обґрунтовані рішення щодо фінансового впливу та результатів для бізнесу таких інвестицій.
«Обґрунтування та врахування людей, процесів і технологій, які вже існують, гарантує, що поточні заходи пом’якшення враховуються в загальних розрахунках ризиків», – говорить Хелліксон.
З точки зору Хелліксона, перевірка комплексності стратегії кібербезпеки, знання зрілості та рівня ризику поточних інвестицій, а також оцінка того, як майбутні інвестиції покращать цю зрілість і ефективно керуватимуть цим ризиком, є ключовими для отримання довіри та підтримки керівництва.
«Зосередження витрат на гарантії того, що вас не зламали, майже пішло на другий план, коли тактика страху, невпевненості та сумнівів перестала працювати майже десять років тому, коли рік за роком інвестиції в безпеку продовжували зростати», – додає він.
Побудова стратегії кіберпрограми, яка демонструє позитивні бізнес-результати, значно розширює здатність CISO впливати на інших керівників.
За словами Джона Стівена, технічного директора ThreatModeler, протягом багатьох років організації збільшували витрати, особливо витрати на безпеку додатків, і їм все ще не вдалося досягти того типу охоплення свого портфеля додатків, якого вони бажають.
«Коли організації вважають ці витрати неприйнятними, не кажучи вже про запитані темпи зростання, керівники служби безпеки повинні продемонструвати, що вони не тільки виконують завдання, але й роблять більше за менші кошти, ніж аналогічні CISO або ті, що були до них», — сказав він. каже.
Незважаючи на те, що порушення є поширеними у всій галузі, вони, ймовірно, рідкісні в одній організації, тому «час, який пройшов після порушення» має бути досить сонливим показником активності та результату, додає Стівен.
«Зосередження на забезпеченні доставки або терті з клієнтами може мати значно більший вплив», — каже він.
