安全从业人员必须弄清楚如何利用他们拥有的预算来实现他们的安全目标。 他们还必须证明他们的安全计划能够有效地保护他们的组织。 他们需要能够证明他们购买的网络安全产品和工具的合理性,并阐明投资回报 (ROI)。
现在有一个工具可以做到这一点。 SecurityScorecard 发布了内容和投资回报率计算器,帮助安全从业人员进行高级估计,以说明组织的整体安全状况。
SecurityScorecard 首席营销官 Cindy Zhou 表示:“在经济不确定的时期,加强网络安全态势必须成为首要任务,因为不良行为者会利用波动性。” “组织必须能够了解并阐明他们购买的网络安全产品和工具是否能提供良好的投资回报率。”
Zhou 表示,安全团队在考虑为其安全计划购买什么产品时应考虑各种风险因素。 该列表包括网络安全、DNS 健康状况、补丁节奏、端点安全、IP 声誉、应用程序安全、cubit 分数、黑客聊天、信息泄露、社会工程以及了解其数字供应链。
计算风险以证明支出的合理性
从财务角度量化网络风险使组织能够了解网络攻击的财务影响,深入了解 其供应商带来的风险,并量化问题解决后预期损失的减少量。 例如,一个网络安全产品可能花费 200,000 万美元; 然而,它可以抵御价值 5 万美元的数据泄露,从而从长远来看为组织节省大量资金。
“CISO 必须能够量化其企业的网络风险,以证明其网络技术堆栈支出的合理性,”Zhou 说。
另一个关键因素是购买网络风险保险和相关保费的能力。
“许多保险公司使用 SecurityScorecard 来评估公司是否有资格获得保单,”她说。 “首席信息安全官和首席财务官需要展示他们的安全态势,才能被考虑制定政策。”
交互式计算器基于 Forrester Consulting 收集的数据 SecurityScorecard 的总体经济影响。 Forrester Consulting 使用总体经济影响公式构建了财务模型。
作为研究的一部分,顾问们量化了在企业中使用 SecurityScorecard 的效果,包括提高风险管理效率、技术效率和整合以及改善安全状况。 这种方法不仅衡量组织内的成本和成本降低,而且还权衡技术在提高整体业务流程的有效性方面的支持价值。
投资回报率计算器扩展 SecurityScorecard 的网络风险量化 (CRQ) 功能,旨在帮助客户了解财务方面的网络风险,作为整体业务风险分析的一部分。
获得高管支持
Coalfire 现场 CISO John Hellickson 表示,最高管理层和董事会习惯于关注组织的财务绩效,因此 CISO 需要能够从财务角度量化网络风险。这样,CISO 还可以证明并 优先考虑网络投资.
这使得各方能够就此类投资的财务影响和业务成果做出明智的决策。
“对已经到位的人员、流程和技术进行论证和核算,确保在整体风险计算中考虑当前的缓解控制措施,”赫利克森说。
从 Hellickson 的角度来看,验证网络安全策略的全面性、了解当前投资的成熟度和风险水平以及估计未来投资将如何提高成熟度并有效管理风险是获得高管信任和支持的关键。
他补充道:“近十年前,当安全投资年复一年持续增长时,恐惧、不确定性和怀疑策略就不再奏效,因此,将支出重点放在确保不被破坏上几乎就被搁置了。”
制定能够展示积极业务成果的网络计划战略可以进一步增强 CISO 影响其他高管的能力。
ThreatModeler 首席技术官 John Steven 表示,多年来,组织增加了支出,尤其是应用程序安全支出,但他们仍然未能实现他们期望的应用程序组合覆盖范围。
“当组织认为这种支出不可持续,更不用说所要求的增长率时,安全管理人员必须证明他们不仅完成了工作,而且还为低于同行的 CISO 或那些在他们之前的 CISO 完成了更多的工作,”他说。
史蒂文补充道,尽管违规行为在整个行业中很常见,但在单个组织内可能很少见,因此“违规以来的时间”应该是一个相当令人昏昏欲睡的活动和结果指标。
“专注于交付支持或客户摩擦可能会产生更大的影响,”他说。
