Cuantificați riscul, calculați rentabilitatea investiției

Practicienii în securitate trebuie să-și dea seama cum să-și atingă obiectivele de securitate cu bugetele pe care le au. De asemenea, trebuie să arate că programele lor de securitate sunt eficiente în protejarea organizațiilor lor. Ei trebuie să fie capabili să justifice produsele și instrumentele de securitate cibernetică pe care le-au achiziționat și să articuleze rentabilitatea investiției (ROI).

Acum există un instrument pentru asta. SecurityScorecard a lansat un calculator de conținut și de rentabilitate a investiției pentru a ajuta specialiștii în securitate să descopere estimări la nivel înalt pentru a ilustra poziția generală de securitate a organizației.

„Într-o perioadă de incertitudine economică, consolidarea pozițiilor de securitate cibernetică trebuie să fie o prioritate, deoarece actorii răi profită de volatilitate”, spune Cindy Zhou, director de marketing la SecurityScorecard. „Organizațiile trebuie să fie capabile să știe și să exprime dacă produsele și instrumentele de securitate cibernetică pe care le-au achiziționat oferă un ROI solid.”

Echipele de securitate ar trebui să ia în considerare o mare varietate de factori de risc atunci când se gândesc la ce să cumpere pentru programele lor de securitate, spune Zhou. Lista include securitatea rețelei, sănătatea DNS, cadența de corecție, securitatea punctelor terminale, reputația IP, securitatea aplicațiilor, scorul cubit, discuțiile hackerilor, scurgerile de informații, inginerie socială și cunoașterea lanțului lor digital de aprovizionare.

Calcularea riscului pentru a justifica cheltuielile

Cuantificarea riscului cibernetic în termeni financiari permite organizațiilor să înțeleagă impactul financiar al unui atac cibernetic, să obțină o perspectivă asupra riscurile pe care le prezintă vânzătorii lorși cuantificați reducerea pierderilor așteptate dacă problemele sunt rezolvate. De exemplu, un produs de securitate cibernetică poate costa 200,000 USD; cu toate acestea, se poate apăra împotriva unei breșe de date de 5 milioane USD, economisind astfel organizației fonduri considerabile pe termen lung.

„CISO trebuie să poată cuantifica riscul cibernetic al afacerii lor pentru a justifica cheltuielile pentru stack-ul lor de tehnologie cibernetică”, spune Zhou.

Un alt factor cheie este capacitatea de a procura asigurare de risc cibernetic și primele asociate.

„Mulți asigurători folosesc SecurityScorecard pentru a evalua dacă o companie este eligibilă pentru o poliță”, spune ea. „CISO și CFO trebuie să-și demonstreze postura de securitate doar pentru a fi luați în considerare pentru o politică.”

Calculatorul interactiv se bazează pe datele colectate pentru Forrester Consulting Impactul economic total al SecurityScorecard. Forrester Consulting a construit un model financiar folosind o formulă de impact economic total.

Ca parte a studiului, consultanții au cuantificat efectele deținerii SecurityScorecard în întreprindere, inclusiv creșterea eficienței în managementul riscurilor, eficiența și consolidarea tehnologiei și o poziție îmbunătățită de securitate. Această abordare nu numai că măsoară costurile și reducerea costurilor în cadrul unei organizații, dar cântărește și valoarea de permitere a unei tehnologii în creșterea eficacității proceselor de afaceri generale.

Calculatorul ROI se extinde Capacitățile de cuantificare a riscurilor cibernetice (CRQ) ale SecurityScorecard, care sunt concepute pentru a ajuta clienții să înțeleagă riscul cibernetic în termeni financiari, ca parte a analizei holistice a riscurilor de afaceri.

Obținerea asumării executivului

C-suite și consiliul de administrație sunt obișnuiți să se concentreze pe performanța financiară a organizației, așa că CISO trebuie să fie capabil să cuantifice riscul cibernetic în termeni financiari, spune John Hellickson, CISO de teren la Coalfire. În acest fel, CISO poate justifica și prioritizează investițiile cibernetice.

Acest lucru permite tuturor părților să ia decizii în cunoștință de cauză cu privire la impactul financiar și rezultatele comerciale ale unor astfel de investiții.

„Justificarea și contabilizarea persoanelor, proceselor și tehnologiilor deja existente asigură faptul că controalele actuale de atenuare sunt luate în considerare în calculele generale ale riscului”, spune Hellickson.

Din perspectiva lui Hellickson, validarea exhaustivității strategiei de securitate cibernetică, cunoașterea maturității și a nivelului de risc al investițiilor curente și estimarea modului în care investițiile viitoare vor îmbunătăți maturitatea și vor gestiona eficient riscul este cheia pentru a câștiga încrederea și sprijinul executivului.

„Concentrarea cheltuielilor pe asigurarea de a nu fi încălcat aproape a dispărut când frica, incertitudinea și tacticile îndoielii au încetat să funcționeze în urmă cu aproape un deceniu, când investițiile în securitate au continuat să crească an de an”, adaugă el.

Construirea unei strategii de program cibernetic care demonstrează rezultate pozitive în afaceri merge mult mai departe în capacitatea CISO de a influența alți directori.

De ani de zile, organizațiile au crescut cheltuielile, în special cheltuielile pentru securitatea aplicațiilor, și încă nu au reușit să atingă tipul de acoperire al portofoliului de aplicații pe care și-l doresc, spune John Steven, CTO al ThreatModeler.

„Atunci când organizațiile văd aceste cheltuieli ca fiind nesustenabile, să nu mai vorbim de rata de creștere solicitată, directorii de securitate trebuie să demonstreze că nu numai că fac lucruri, ci fac mai multe pentru mai puțin decât CISO de la egal la egal sau cei care au venit înaintea lor”, el spune.

Oricât de comune sunt încălcările în industrie, acestea sunt probabil rare în cadrul unei singure organizații, așa că „timpul de la încălcare” ar trebui să fie un indicator destul de somnoros al activității și al rezultatului, adaugă Steven.

„Concentrarea pe facilitarea livrării sau pe frecarea clienților poate avea un impact semnificativ mai mare”, spune el.