Bir Siber Güvenlik Uyumluluk Programının Tüm Getirilerini Düşünme


Doug Barbin, Büyümeden Sorumlu Başkan ve Schellman’ın Genel Müdürü

C-Suite yöneticileri, değişiklikleri uygularken veya kurumsal düzeyde yatırım yaparken dikkate almaları gereken birçok değişkene sahiptir. Kırılgan bir ekonomiyi, küçülen ekipleri ve artan enflasyon oranlarını hesaba katıyorlar – bütçeleme ve maliyet endişelerini akıllarına getiriyorlar ve haklı olarak öyle. Bununla birlikte, iş dünyası liderleri, olağanüstü doğruluk ve verimlilik gerektiren ürünler veya hizmetler için pazarlık avcılığının günlük tüketici zihniyetine çok sık kapılırlar. Bu, siber güvenlik uyumluluk değerlendirmesi için alışveriş yapan kuruluşlar için olduğundan daha doğru değildir.

Siber güvenlik endüstrisinin kendisi de zorluklarla karşı karşıya. Veri gizliliği düzenlemelerinin benimsenmesi – CMMC’den GDPR’ye ve CCPA, genişleyen güvenlik tehditleri ve ek dijital ayak izi karmaşıklıkları, güvenilir ve emniyetli siber güvenlik operasyonlarını daha da karmaşık hale getirdi ve maliyetleri artırdı. Siber güvenlik sigortası primleri, karar vericilerin yükünü daha da artırmak için, bir ihlalden endişe duyan veya bir ihlal yaşayanlar için zirve yapıyor.

Bu, işletme liderlerini her şeyden önce uygun fiyatlı siber güvenlik değerlendirmesi denetim programları aramaya teşvik etse de, bir kurumsal veri ihlalinin ortalama maliyetinin 2021’de 4,35 milyon dolar olduğunu belirtmek önemlidir. bir güvenlik değerlendirmesi yapılırken tek faktör değildir ve olamaz. Bunun yerine, farklı siber güvenlik denetim ortaklarını ve programlarını araştırırken, Baş Bilgi Güvenliği Görevlileri (CISO’lar) değerlendirme yatırım getirisini (ROAI) ​​dikkate almalıdır.

ROAI ölçümlerini anlama

ROAI ölçümleri, bir denetim firmasının itibarı ve kaynakları da dahil olmak üzere faktörlerin bir kombinasyonundan yararlanarak liderlerin karar vermede daha stratejik bir yaklaşım benimsemesini sağlar. Ayrıca, süreçle ilgili verimlilikleri ve iş akışı sinerjilerini hesaba katarak, bir denetim firmasının bir işletme ile sahip olacağı çalışma ilişkisini de dikkate alır. Özünde: Bir uyum programının maliyetin ötesindeki en büyük etkilerini kapsar.

Siber güvenlik denetimi konusunda gelişmiş uzmanlığa, ölçeğe ve yeteneklere sahip değerlendirme firmaları, rapor başına daha düşük operasyonel maliyetle daha yüksek kalite ve düzeyde hizmet sağlayabilir. ROAI göz önünde bulundurulduğunda, işletmeler, uyumlu kalmak, kesintileri azaltmak ve şirketin daha sonraki aşamalarda maliyetlerden tasarruf etmesine yardımcı olmak için gereken denetim verimliliklerini ve denetim hizmetlerinin kapsamını hangi sağlayıcıların sağlayabileceğini belirlemek için dolar ve sentlerin ötesinde daha derine inmeye teşvik edilir. . En önemlisi, bir kuruluşa güvenen müşteriler, kuruluş denetim ortaklarını bütüncül olarak değerlendiriyorsa onlara daha çok güvenecektir.

Denetim verimliliği ve neden değerli olduğu

ROAI’yi düşünmeyen işletmeler, haber akışlarında, gelen kutularında veya sosyal medyada gezinirken gördükleri düşük maliyetli, “kolay düğme” sağlayıcılara yönelme eğilimindedir. Ne yazık ki, tasarruflarını sergilemek için pazarlama kampanyalarına büyük bütçeler ayıran bu kolayca tanınan sağlayıcılar, bir çalışma ilişkisi kurulduktan sonra her zaman iddia ettikleri gibi olmuyorlar. Ve uygulamaya konulduğunda, onlarla fiilen çalışmanın öngörülemeyen “maliyetleri” vardır. Düşük maliyetli siber güvenlik denetim firmaları için de bu geçerli.

Herkes size satış konuşması yaparken verimli olduklarını iddia edecek, ancak çoğu zaman, düşük maliyetli denetim firmaları taahhütlerini mükemmel bir durum senaryosuna göre teklif edecek ve fiyatlandıracaktır. Ek hizmetler için ek ücretlerden veya sizi sürekli olarak nasıl desteklediklerinden bahsetmeyi dikkate almazlar. Bir şirket bir sözleşme imzaladıktan sonra genellikle denetçinin insafına kalır. Firma, üzerinde anlaşmaya varılan orijinal denetim sözleşmesinde birkaç tur değişiklik yapmaya karar verirse (“değişiklik sürünmesi” olarak bilinen bir taktik) şirket, iş süresine, kaynaklarına ve üretkenliğine mal olan fiyat artışlarına ve ek lisans denetimlerine tabi olabilir. , yanı sıra doğru sağlayıcıyı seçtiklerine dair güvenceleri.

Bir ROAI yaklaşımı, bir firmanın denetim verimliliğinin sözleşme değişikliklerini ve iş kesintilerini azaltmak için etkilerini dikkate alır. Bir anlaşma yapıldıktan sonra bir sözleşmeye önerebilecekleri değişiklik sayısı için %5 veya daha az teklif veren siber güvenlik denetim firmaları, genellikle herhangi bir ek maliyet veya baş ağrısı olmadan yüksek kaliteli denetimler sunar. Bunun nedeni, ROAI ile ortaya çıkarıldığı gibi, belirli bir fiyat aralığında müşteri ihtiyaçlarına göre özelleştirmek için güvene, kaynaklara ve uzmanlığa sahip olmalarıdır.

“Sürekli” siber güvenlik değerlendirmesini bir kenara bırakmak

Genel idari verimlilikler, BT ekipleri için denetim verimlilikleriyle el ele gider. Hiçbir siber güvenlik operasyonu aynı değildir. Bu nedenle, denetim programları, her işletmenin benzersiz dijital altyapısına yeterince entegre olacak ve bu altyapının ihtiyaçlarını karşılayacak esnekliğe ve ölçeklenebilirliğe sahip olmalıdır.

Düşük maliyetli denetim firmaları, hızla gelişen iş ihtiyaçlarına uyum sağlamak veya farklı düzenleyici kurumların değişen gereksinimlerini karşılamak için gereken çeviklikten ve kaynaklardan genellikle yoksundur. Bu firmalar genellikle, bir CISO ekibine özel bir deneyim sağlamak için özelleştirmeyi reddeden önceden belirlenmiş denetim şablonları kullanır. Bu şablonlu denetim programları, düşük maliyetli siber güvenlik firmalarının denetim ihtiyaçlarını düzeltmek için gereken ayarlamalar için veya yanlış veya kesin olmayan denetim sonuçlarını çözmek için süreçleri uygulamak için ek ücret talep etmesinin başka bir yolu olabilir.

CISO’lar, bir siber güvenlik denetim ortağı seçerken, işletmelerinin gelişen ihtiyaçlarına uyum sağlamak için bir firmanın çevikliğini ve hızlı, verimli ve kişiselleştirilmiş denetim programları sağlama becerisini tartmalıdır. Ek olarak, oldukça esnek ve ölçeklenebilir değerlendirme programları sunan denetim firmaları, genellikle herhangi bir düzenleyici kurum için denetim gereksinimlerini karşılayabilir. Bu, şirketlerin tek bir değerlendirme firmasıyla ortaklık kurarak tutarlı bir siber güvenlik denetim programı uygulamasına olanak tanır; bu da boşa harcanan zamanı ve birden fazla firma bulma ve birlikte çalışma karmaşıklığını azaltır.

CISO’lar, siber güvenlik ihtiyaçlarını maliyetin ötesinde değerlendirerek siber güvenlik değerlendirmelerinde bulabilecekleri idari değeri keşfedecek ve bu da bir denetim için hazırlanmak için daha az zaman harcanmasına yol açacaktır; denetçilerinizi eğitmek için daha az zaman harcanır; yinelenen isteklere yanıt vermek için daha az zaman harcanması; ve raporları yeniden yazmak için daha az zaman. Bu da, iş yüklerini azaltan, iş kesintilerini ortadan kaldıran ve daha sonra aşağı yönde öngörülemeyen maliyet tasarruflarına yol açan siber güvenlik değerlendirme süreçlerini kolaylaştırır.

Siber güvenlik uyumluluk programlarını bir üst düzeye çıkarmak isteyen şirketler için maliyet, dikkate alınması gereken tek şey olamaz. Maliyeti şirketinizin daha geniş güvenlik anlatısının küçük bir bileşeni haline getirerek ve ROAI ölçümlerini kullanarak, CISO’lar risk değerlendirmesine daha stratejik bir yaklaşım getirebilir. Uzmanlığa, esnekliğe ve ölçeğe dayalı bir siber güvenlik uyumluluk programı seçmek, BT ekiplerinin yalnızca sürekli gelişen uyumluluk gereksinimlerine ayak uydurmak için gereken verimlilik ve çevikliği elde etmelerini değil, aynı zamanda siber güvenlik yolculuklarında ilerlemelerine yardımcı olacak bilgili ve güvenilir bir denetim ortağı kazanmalarını sağlar.

yazar hakkında

Bir Siber Güvenlik Uyumluluk Programının Tüm Getirilerini DüşünmeDoug Barbin, Schellman’da Baş Büyüme Sorumlusu ve Genel Müdürdür. Doug Barbin, Schellman’ın küresel hizmet portföyünün stratejisinden, geliştirilmesinden, büyümesinden ve sunumundan sorumludur. 2009’da katıldığından beri, öncelikli odak noktası, Schellman’ı pazar lideri çeşitlendirilmiş siber güvenlik ve uyumluluk hizmetleri sağlayıcısı yapmak için BT denetimi ve güvencesindeki güçlü temeli genişletmek olmuştur. Schellman’ın birçok hizmet teklifini geliştirdi, küresel müşterilere hizmet verdi ve şimdi hizmet sağlama profesyonellerine, uygulama liderlerine ve iş geliştirme ekiplerine liderlik etmeye ve onları desteklemeye odaklanıyor.

Doug, teknoloji ürün yönetimi yöneticisi, ipotek firması CTO/COO’su ve dolandırıcılık ve adli bilişim soruşturmaları lideri olarak hizmet vermiş, teknoloji odaklı hizmetlerde 25 yıldan fazla deneyime sahiptir. Doug, Penn State’ten Muhasebe ve Adalet Yönetimi alanında çift lisans derecesine ve Pepperdine’den MBA derecesine sahiptir. Ayrıca MIT’den Yapay Zeka üzerine yüksek lisans dersleri almıştır ve yaratılmasına yardımcı olduğu birkaçı da dahil olmak üzere büyük endüstri sertifikalarının çoğuna ek olarak birden fazla CPA lisansına sahiptir.

Doug Barbin’e çevrimiçi olarak https://www.linkedin.com/in/douglasbarbin/ adresinden ve şirketimizin web sitesi https://www.schellman.com/ adresinden ulaşılabilir.



Source link