HackerOne müşterileri, güvenlik taahhütlerinin başarısını ölçerken sürekli olarak maliyet tasarrufunu hesaba katıyor; %59’u itibar veya müşteriyle ilgili olaylardan elde edilen tahmini tasarruflara ve %54’ü riskten kaçınmadan elde edilen tahmini mali tasarruflara değer veriyor. Ancak güvenlik kontrol testleri için yatırım getirisini ölçmek, siber güvenlik faydalarının soyut doğasından dolayı zor olabilir. Bir şeyin olmasını önlemenin değerini nasıl ölçersiniz?
ROI’yi ROM ile desteklemek
Geleneksel yatırım getirisi hesaplamaları genellikle güvenlik yatırımlarının tam değerini yakalamada yetersiz kalır. Alternatif ve çoğu durumda tamamlayıcı değerlendirme mekanizması olarak dikkat çeken, bir güvenlik ihlalinin beklenen maliyetlerini azaltma stratejilerinin uygulanmasının maliyetleriyle karşılaştıran Azaltma Getirisi (ROM)’dur. Proaktif güvenlik önlemlerinin niteliksel ve niceliksel faydalarına ilişkin daha ayrıntılı bir anlayış sağlar. Aşağıdakiler de dahil olmak üzere çeşitli potansiyel maliyetlerde ROM faktörleri:
- Güvenliği ihlal edilmiş sistemleri geri yükleme
- Kesinti nedeniyle gelir kaybı
- Yasal ve düzenleyici cezalar
- Kamunun güven ve itibarının zedelenmesi
ROM, potansiyel finansal sonuçlar açısından azaltma veya önleme stratejilerinin etkinliğini değerlendirerek, paydaşlara güvenlik yatırımlarının maddi ve manevi değerini değerlendirmeleri için pratik bir çerçeve sunar. Aynı zamanda risk yönetimini de büyüterek odağı anında maliyet tasarrufundan uzun vadeli esnekliğe kaydırıyor.
“Hata ödül programı, tüm harcamalarımız genelinde en yüksek yatırım getirisini sağlayan programdır. Yatırım getirisini göstermek gerçekten zor, ancak hata ödülüyle birlikte bir temel çizgim var. ‘Bu güvenlik açığını kurum dışından birileri bulmayı başardı’ diyebilirim. Bu sisteme erişme yetkisi olmayan biri sisteme erişebildi.’ Programımızda yer almayan güvenlik açıklarına rağmen, hata ödülü onlara bir fiyat etiketi koymamı sağlıyor. Bu iş senaryosunu açıklayabilirim ve paydaşlarımız hata ödülüne aynı zamanda yatırım getirisi sağlayan diğer araçlardan daha fazla öncelik verebilirler.”
— Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
ROI ve ROM Hesaplamaları
İnsan gücüyle çalışan güvenlik testleri ile yatırım getirisi ve ROM hesaplamalarının pratik faydalarını göstermek için finansal hizmetler sektöründen bir örnek olay incelemesini düşünün. Büyük bir finans kurumu, mevcut kırmızı ekip çalışmalarının yanı sıra bir hata ödül programı da uyguladı. Bir yıl boyunca program, önceki testlerde gözden kaçan birçok kritik güvenlik açığını tespit etti.
Senaryo
- İlk güvenlik yatırımı: Kurum, hata ödül programına 200.000 ABD doları ve kırmızı takım oluşturma çalışmalarına da 100.000 ABD doları yatırım yaptı.
- Potansiyel ihlal maliyetleri: Potansiyel bir ihlalin, tehlikeye atılmış sistemlerin geri yüklenmesi, gelir kaybı, yasal cezalar ve itibar kaybıyla ilgili maliyetler de dahil olmak üzere kuruma 5 milyon dolara mal olacağı tahmin ediliyor.
Yatırım Getirisi (ROI)
Basit bir yatırım getirisi hesaplaması, potansiyel 5 milyon dolarlık bir ihlale karşılık 300.000 dolarlık getiriye bakar.
- İhlalin önlenmesi: Kurum, güvenlik açıklarını tespit edip azaltarak 5 milyon dolarlık olası bir ihlali önledi.
- Testin maliyeti: Proaktif güvenlik testlerine yapılan toplam yatırım 300.000 dolardı.
Geleneksel Yatırım Getirisi Hesaplamalarını Kullanma
Geleneksel yatırım getirisi veya maliyet-fayda analizleri yatırım getirisinde yaklaşık 15,67 ABD doları sağlar.
ROM’a bakarsak, güvenlik önlemlerini uygulamanın maliyetini beklenen ihlal maliyetiyle karşılaştırırız.
Bu senaryoda ROM, hafifletmeye harcanan her dolar için kuruluşun potansiyel olarak ihlal maliyetlerinden 16,67 dolar tasarruf edeceğini gösteriyor. Bu vaka örneğinin hatırına, bu maliyetleri basit tuttuk. Ancak günümüzde ihlal maliyetlerinin basit bir dolar tutarından çok daha fazlasını içerdiğini unutmamak önemlidir. Bunlar ayrıca olası fidye ödemelerini, uyumluluk gerekliliklerini, düzenleyici cezaları, yasal ücretleri, marka hasarını ve çok daha fazlasını içerir. Örneğin finansal hizmetler sektöründeki ihlallerin maliyeti ortalama 6,08 milyon dolardır.
Gerçek Dünya ROM’u
7. Yıllık Hacker Destekli Güvenlik Raporu’na göre, HackerOne platformundaki bir hatanın ortalama fiyatı 2022’de 400 dolardan 500 dolara yükseldi. 90. yüzdelik dilimdeki ortalama ödül ise 2.500 dolardan 3.000 dolara çıktı. Ancak dramatik gerçek şu: Bu güvenlik açıklarının fark edilmeden kullanılmasının ve vahşi doğada sömürülmesinin maliyeti, ödülün maliyetinden 1.600 kat daha fazla; ortalama 4,88 milyon dolar.
“Zoom 2019’dan bu yana 900 bilgisayar korsanıyla çalıştı ve bunlardan 300’ü hızlı bir şekilde devam etmek zorunda kaldığımız güvenlik açıklarını bildirdi. 7 milyon doların üzerinde ödeme yaptık. Bu önemli bir yatırım ama geri dönüşleri buna değer: Gerçek dünya sorunlarına dönüşmeden önce gerçek dünya çözümlerini bulmak için birinci sınıf yetenekler buluyoruz.”
— Michael Adams, CISO, Zoom
HackerOne ile Güvenlik Girişimlerinden Stratejik Değer Sağlayın
HackerOne’da biz yalnızca yüksek kaliteli, tekrarlanabilir güvenlik taahhütlerinde lider değiliz; aynı zamanda iş ortaklarımızın daha sağlam güvenlik bütçeleri ve başarılı programlar için bu taahhütlerin değerini ölçmesine ve nitelendirmesine yardımcı olma konusunda da uzmanız. ROI ve ROM hakkında daha fazla bilgi edinmek ve proaktif güvenliğin değerini paydaşlara insan destekli güvenlikle ifade etmenin en iyi yollarını öğrenmek için SANS Teknik İncelemesi: İnsan Gücüyle Güvenlik Testi’ni indirin.