Soru: Güvenlik programımın yatırım getirisini (ROI) nasıl rapor ederim?
Optiv Ürün, Gelişmiş Algılama ve Müdahaleden Sorumlu Başkan Yardımcısı John Ayers: Herhangi bir güvenlik programı için yatırım getirisini ölçmek, bir şirketin söz konusu programdan elde etmek istediği sonucun ne olduğunu erken ve net bir şekilde belirtmekle başlar. Bu açıkça programdan programa ve şirketten şirkete değişir. 40 milyar dolarlık bir finansal hizmetler kuruluşunun ve 500 milyon dolarlık bir üretim kuruluşunun güvenlik söz konusu olduğunda yatırım getirisi olarak gördüklerinin değişeceği kesindir.
Ancak, söz konusu olduğunda, bu kuruluşların her ikisi de risklerini azaltmak ve yönetmek istiyor. Temel amaç, çılgınca farklı bütçelere ve olgunluk seviyelerine rağmen aynıdır.
Bunu nasıl yapabiliriz?
- Verilerin yaşadığı yeri dönüştürerek.
- Varlık (cihazlar veya veri kaynakları) yönetimini uygulayarak.
- Sıfır güven veya MXDR gibi yeni çerçeveler uygulayarak.
Ama bunlar maliyet, değil mi? Bu, güvenlik değerini nasıl artırır? Çünkü verileri ölçebiliyoruz ve onun ve ilgili metrikleri raporlayabiliyoruz. Güvenlik programınızla kendinizi daha rahat hissedebiliyorsanız, harika, ancak ölçemiyorsanız veya sonuçları göremiyorsanız, o zaman nereden bileceksiniz? Programlarınızı izleme ve veri algılama yoluyla doğrulayabilmeniz gerekir.
Bu metriklerin örnekleri birçok biçimde olabilir. Tepkisel bir bakış açısıyla, türe göre zaman içindeki toplam güvenlik olayı sayısı; ortalama tespit süresi (MTTD); ortalama çözüm süresi (MTTR); zamanla izinsiz giriş denemeleri; ve ağdaki tanımlanamayan cihazların sayısı.
Oradan, “proaktif metrikler” dediğim şeye yöneliyoruz. Bunlar, eğitim ve güvenlik açığı yönetiminin ne kadar iyi performans gösterdiğini ölçmek için oluşturulmuş ölçümlerdir. Örneğin, oltalama testi başarı oranı; güvenlik farkındalığı tamamlama oranı; yama için ortalama gün sayısı; ağdaki tam yamalı cihazların yüzdesi; ve personel tarafından bildirilen güvenlik olaylarının sayısı.
Çoğu zaman, yeni olan her şeyin tam istediğimiz gibi olmasını beklediğimiz “parlak nesne” sorununa takılıp kalıyoruz – ve bu teknoloji ürünleri için de geçerli. Nadiren, hatta bir teknoloji ürünü tek başına bütünsel bir yatırım getirisi sağlayabilir.
Güvenlik liderleri görünürlük ve ekiplerinin keşfedebileceklerini raporlamaya odaklanırsa, şirket liderliğine ve yönetim kurullarına, kuruluşlarının insanlarla, süreçle ve teknolojiyle ilgili potansiyel tehditleri hızla tespit edip bunlara yanıt verebileceğini ve iş normalliğini hızla yeniden oluşturabileceğini gösterebilirler.