Güvenlik uygulayıcıları, sahip oldukları bütçeyle güvenlik hedeflerine nasıl ulaşacaklarını bulmak zorundadırlar. Ayrıca, güvenlik programının kuruluşu korumada etkili olduğunu göstermelidirler. Satın aldıkları siber güvenlik ürünlerini ve araçlarını haklı çıkarabilmeleri ve yatırım getirisini (YG) ifade edebilmeleri gerekir.
Şimdi bunun için bir araç var. SecurityScorecard, güvenlik pratisyenlerinin kuruluşun genel güvenlik duruşunu göstermek için üst düzey tahminler bulmasına yardımcı olmak için bir içerik ve yatırım getirisi hesaplayıcısı yayınladı.
SecurityScorecard’ın baş pazarlama sorumlusu Cindy Zhou, “Ekonomik belirsizlik zamanında, kötü aktörler oynaklıktan yararlandığı için siber güvenlik duruşlarını güçlendirmek bir öncelik olmalı” diyor. “Kuruluşlar, satın aldıkları siber güvenlik ürünleri ve araçlarının sağlam bir yatırım getirisi sağlayıp sağlamadığını bilmeli ve ifade edebilmelidir.”
Zhou, güvenlik ekiplerinin güvenlik programları için ne satın alacaklarını düşünürken çok çeşitli risk faktörlerini göz önünde bulundurmaları gerektiğini söylüyor. Liste, ağ güvenliği, DNS sağlığı, yama ritmi, uç nokta güvenliği, IP itibarı, uygulama güvenliği, kübit puanı, hacker sohbeti, bilgi sızıntıları, sosyal mühendislik ve dijital tedarik zincirlerini bilmeyi içerir.
Harcamayı Doğrulamak için Riski Hesaplama
Siber riski finansal terimlerle ölçmek, kuruluşların bir siber saldırının finansal etkisini anlamalarına, satıcılarının oluşturduğu riskler hakkında fikir edinmelerine ve sorunlar çözülürse beklenen kayıplardaki azalmayı ölçmelerine olanak tanır. Örneğin, bir siber güvenlik ürünü 200.000 dolara mal olabilir; ancak, 5 milyon dolarlık bir veri ihlaline karşı savunma yapabilir ve böylece kuruluşa uzun vadede önemli miktarda fon tasarrufu sağlayabilir.
Zhou, “CISO’lar, siber teknoloji yığınlarına yapılan harcamayı haklı çıkarmak için işletmelerinin siber riskini ölçebilmelidir” diyor.
Diğer bir önemli faktör, siber risk sigortası ve ilgili primleri temin etme yeteneğidir.
“Birçok sigortacı, bir şirketin bir poliçeye uygun olup olmadığını değerlendirmek için SecurityScorecard kullanıyor” diyor. “CISO’lar ve CFO’ların, yalnızca bir politika için dikkate alınmaları için güvenlik duruşlarını göstermeleri gerekiyor.”
Etkileşimli hesap makinesi, Forrester Consulting için toplanan verilere dayanmaktadır. Güvenliğin Toplam Ekonomik EtkisiScorecard. Forrester Consulting, Toplam Ekonomik Etki formülünü kullanarak bir finansal model oluşturdu.
Araştırmanın bir parçası olarak danışmanlar, risk yönetiminde artan verimlilik, teknoloji verimliliği ve konsolidasyon ve iyileştirilmiş güvenlik duruşu dahil olmak üzere, SecurityScorecard’a sahip olmanın kuruluştaki etkilerini ölçtüler. Bu yaklaşım, yalnızca kuruluş içindeki maliyetleri ve maliyet düşüşünü ölçmekle kalmaz, aynı zamanda genel iş süreçlerinin etkinliğini artırmada bir teknolojinin olanak sağlayan değerini de tartar.
ROI hesaplayıcısı, SecurityScorecard’ın, müşterilerin siber riski bütünsel iş riski analizinin bir parçası olarak finansal açıdan anlamalarına yardımcı olmak için tasarlanmış Siber Risk Ölçme (CRQ) yeteneklerini genişletir.
Yönetici Satın Alma Alma
Coalfire’da saha CISO’su John Hellickson, C-suite ve yönetim kurulu, kuruluşun finansal performansına odaklanmaya alışkındır, bu nedenle CISO’nun finansal açıdan siber riskleri ölçebilmesi gerekir, diyor. Bu şekilde CISO, siber yatırımları da haklı çıkarabilir ve önceliklendirebilir.
Bu, tüm tarafların bu tür yatırımların mali etkisi ve iş sonuçları hakkında bilinçli kararlar vermesini sağlar.
Hellickson, “Halihazırda yürürlükte olan insanları, süreçleri ve teknolojileri gerekçelendirmek ve hesaba katmak, genel risk hesaplamalarında mevcut hafifletici kontrollerin dikkate alınmasını sağlar” diyor.
Hellickson’un bakış açısına göre, siber güvenlik stratejisinin kapsamlılığını doğrulamak, mevcut yatırımların olgunluğunu ve risk seviyesini bilmek ve gelecekteki yatırımların bu olgunluğu nasıl iyileştireceğini ve bu riski nasıl etkin bir şekilde yöneteceğini tahmin etmek, yönetici güvenini ve desteğini kazanmanın anahtarıdır.
“Korku, belirsizlik ve şüphe taktikleri neredeyse on yıl önce çalışmayı bıraktığında, güvenlik yatırımlarının yıldan yıla artmaya devam ettiği bir zamanda, ihlal edilmeme güvencesine odaklanmak neredeyse boşa gitti” diye ekliyor.
Olumlu iş sonuçları gösteren bir siber program stratejisi oluşturmak, CISO’nun diğer yöneticileri etkileme becerisinde çok daha ileri gider.
ThreatModeler’ın CTO’su John Steven, kuruluşların yıllardır harcamalarını, özellikle uygulama güvenliği harcamalarını artırdığını ve hala uygulama portföylerinin istedikleri kapsamı elde edemediklerini söylüyor.
“Kuruluşlar bu harcamayı, talep edilen büyüme oranını bir yana, sürdürülemez olarak gördüklerinde, güvenlik yöneticileri yalnızca işleri halletmekle kalmayıp, emsal CISO’lardan veya onlardan önce gelenlerden daha azıyla daha fazlasını yaptıklarını göstermelidir.” diyor.
Steven, sektör genelinde ihlaller ne kadar yaygın olsa da, bunların muhtemelen tek bir kuruluşta nadir olduğunu, bu nedenle “ihlalden bu yana geçen sürenin” faaliyet ve sonucun oldukça uykulu bir göstergesi olması gerektiğini açıklıyor.
“Teslimat etkinleştirme veya müşteri sürtünmesine odaklanmak önemli ölçüde daha etkili olabilir” diyor.