Những người hành nghề bảo mật phải tìm ra cách hoàn thành các mục tiêu bảo mật của mình với ngân sách họ có. Họ cũng phải chứng minh rằng các chương trình bảo mật của họ có hiệu quả trong việc bảo vệ tổ chức của họ. Họ cần có khả năng chứng minh các sản phẩm và công cụ an ninh mạng mà họ đã mua cũng như nêu rõ lợi tức đầu tư (ROI).
Bây giờ có một công cụ cho việc đó. SecurityScorecard đã phát hành công cụ tính nội dung và ROI để giúp những người thực hành bảo mật tìm ra các ước tính cấp cao nhằm minh họa tình hình bảo mật tổng thể của tổ chức.
Cindy Chu, giám đốc tiếp thị của SecurityScorecard, cho biết: “Tại thời điểm kinh tế không ổn định, việc tăng cường các vị thế an ninh mạng phải được ưu tiên vì những kẻ xấu sẽ lợi dụng sự biến động”. “Các tổ chức phải có khả năng biết và hiểu rõ liệu các sản phẩm và công cụ an ninh mạng mà họ đã mua có mang lại ROI hợp lý hay không.”
Chu cho biết, các đội bảo mật nên xem xét nhiều yếu tố rủi ro khác nhau khi cân nhắc mua những gì cho chương trình bảo mật của họ. Danh sách này bao gồm bảo mật mạng, tình trạng DNS, nhịp vá lỗi, bảo mật điểm cuối, danh tiếng IP, bảo mật ứng dụng, điểm cubit, tin tặc nói chuyện, rò rỉ thông tin, kỹ thuật xã hội và hiểu biết về chuỗi cung ứng kỹ thuật số của họ.
Tính toán rủi ro để biện minh cho chi tiêu
Định lượng rủi ro mạng về mặt tài chính cho phép các tổ chức hiểu được tác động tài chính của một cuộc tấn công mạng, hiểu rõ hơn về rủi ro mà nhà cung cấp của họ đặt ravà định lượng mức giảm tổn thất dự kiến nếu vấn đề được giải quyết. Ví dụ: một sản phẩm an ninh mạng có thể có giá 200,000 USD; tuy nhiên, nó có thể bảo vệ chống lại hành vi vi phạm dữ liệu trị giá 5 triệu USD, do đó tiết kiệm đáng kể cho tổ chức về lâu dài.
“CISO phải có khả năng định lượng rủi ro mạng trong hoạt động kinh doanh của họ để biện minh cho khoản chi tiêu cho hệ thống công nghệ mạng của họ,” Chu nói.
Một yếu tố quan trọng khác là khả năng mua bảo hiểm rủi ro mạng và phí bảo hiểm liên quan.
Cô nói: “Nhiều công ty bảo hiểm sử dụng SecurityScorecard để đánh giá xem một công ty có đủ điều kiện tham gia hợp đồng bảo hiểm hay không”. “CISO và CFO cần chứng minh tình trạng bảo mật của họ để được xem xét đưa ra chính sách.”
Máy tính tương tác dựa trên dữ liệu được thu thập cho Forrester Consulting's Tác động kinh tế tổng thể của SecurityScorecard. Forrester Consulting đã xây dựng mô hình tài chính bằng công thức Tác động kinh tế tổng thể.
Là một phần của nghiên cứu, các nhà tư vấn đã định lượng tác động của việc có SecurityScorecard trong doanh nghiệp, bao gồm tăng hiệu quả trong quản lý rủi ro, hiệu quả và hợp nhất công nghệ cũng như cải thiện tình hình bảo mật. Cách tiếp cận này không chỉ đo lường chi phí và giảm chi phí trong một tổ chức mà còn cân nhắc giá trị khả thi của công nghệ trong việc tăng hiệu quả của quy trình kinh doanh tổng thể.
Công cụ tính ROI mở rộng Khả năng Định lượng rủi ro mạng (CRQ) của SecurityScorecard, được thiết kế để giúp khách hàng hiểu rủi ro mạng về mặt tài chính như một phần của phân tích rủi ro kinh doanh toàn diện.
Nhận được sự ủng hộ của người điều hành
John Hellickson, CISO hiện trường tại Coalfire, cho biết C-Suite và hội đồng quản trị thường tập trung vào hiệu quả tài chính của tổ chức, vì vậy CISO cần có khả năng định lượng rủi ro mạng về mặt tài chính. Bằng cách này, CISO cũng có thể biện minh và ưu tiên đầu tư vào mạng.
Điều này cho phép tất cả các bên đưa ra quyết định sáng suốt về tác động tài chính và kết quả kinh doanh của các khoản đầu tư đó.
Hellickson cho biết: “Việc biện minh và tính toán cho con người, quy trình và công nghệ đã có sẵn sẽ đảm bảo rằng các biện pháp kiểm soát giảm thiểu hiện tại được xem xét trong các tính toán rủi ro tổng thể”.
Theo quan điểm của Hellickson, việc xác thực tính toàn diện của chiến lược an ninh mạng, biết mức độ trưởng thành và rủi ro của các khoản đầu tư hiện tại cũng như ước tính các khoản đầu tư trong tương lai sẽ cải thiện mức độ trưởng thành đó như thế nào và quản lý rủi ro đó một cách hiệu quả là chìa khóa để có được sự tin tưởng và hỗ trợ của ban điều hành.
Ông cho biết thêm: “Việc tập trung chi tiêu vào việc đảm bảo không bị vi phạm gần như bị lãng quên khi các chiến thuật gây sợ hãi, không chắc chắn và nghi ngờ đã ngừng hoạt động gần một thập kỷ trước khi các khoản đầu tư vào an ninh tiếp tục tăng từ năm này sang năm khác”.
Việc xây dựng chiến lược chương trình không gian mạng thể hiện kết quả kinh doanh tích cực sẽ giúp CISO có khả năng tác động đến các giám đốc điều hành khác nhiều hơn.
Trong nhiều năm, các tổ chức đã tăng chi tiêu, đặc biệt là chi tiêu cho bảo mật ứng dụng và họ vẫn không đạt được mức độ bao phủ cho danh mục ứng dụng mà họ mong muốn, John Steven, CTO của ThreatModeler cho biết.
“Khi các tổ chức coi khoản chi tiêu này là không bền vững, chưa nói đến tốc độ tăng trưởng được yêu cầu, các giám đốc điều hành bảo mật phải chứng minh rằng họ không chỉ hoàn thành công việc mà còn làm được nhiều việc hơn với ít hơn các CISO ngang hàng hoặc những CISO đi trước họ,” ông nói.
Steven cho biết thêm, mặc dù các hành vi vi phạm đều phổ biến trong toàn ngành nhưng chúng có thể hiếm xảy ra trong một tổ chức duy nhất, vì vậy “thời gian kể từ khi vi phạm” phải là một chỉ báo khá mơ hồ về hoạt động và kết quả.
Ông nói: “Tập trung vào khả năng hỗ trợ giao hàng hoặc gây trở ngại cho khách hàng có thể có tác động đáng kể hơn”.
