Güvenlik ekipleri, her zamankinden daha fazla araç, daha fazla veri ve daha yüksek beklentilerle artan taleplerle karşı karşıya. Kurullar büyük güvenlik bütçelerini onaylar, ancak yine de aynı soruyu sorar: iş karşılığında ne alır? CISOS, kontroller ve güvenlik açığı sayıları hakkındaki raporlara yanıt verir – ancak yöneticiler finansal maruz kalma, operasyonel etki ve kayıptan kaçınma açısından riski anlamak ister.
Bağlantıyı göz ardı etmek zorlaştı. Son IBM verilerine göre, bir ihlalin ortalama maliyeti 4.88 milyon dolara ulaştı. Bu rakam sadece olay tepkisi değil, aynı zamanda kesinti süresini, verimliliği, müşteri yıpranmasını ve operasyonları ve güveni geri kazanmak için gereken genişletilmiş çabayı da yansıtmaktadır. Fallout nadiren güvenlik ile sınırlıdır.
Güvenlik liderleri, bu sonuçları ortaya çıkmadan önce ortaya koyan bir modele ihtiyaç duyarlar. Bir İş Değeri Değerlendirmesi (BVA) bu modeli sunar. Exposers’ı maliyete, geri dönüşe önceliklendirmeye ve önlenmeyi somut değere bağlar.
Bu makale, bir BVA’nın nasıl çalıştığını, neyi ölçtüğünü ve siber güvenliğin sadece bir BT sorunu değil, kilit bir iş fonksiyonu olduğunu anlayan kuruluşlar için neden gerekli hale geldiğini açıklayacaktır.
Güvenlik metrikleri neden artık tercüme etmiyor?
Çoğu güvenlik metriği iş liderleri değil operasyonel ekipler için inşa edildi. CVE sayımları, yama oranları ve takım kapsamı ilerlemeyi izlemeye yardımcı olur, ancak tahta için önemli olan soruları cevaplamazlar: Bir ihlalin bize maliyeti ne olur? Masadan ne kadar risk çıkardık? Bu yatırım nerede fark yaratıyor?
Geleneksel metrikler birkaç temel nedenden dolayı yetersiz kalır:
- Etki değil, aktivite gösterirler. Geçen çeyrekte 3.000 güvenlik açıkının sabitlendiğini söylemek, bunların herhangi birinin önemli sistemlere bağlı olup olmadığını açıklamıyor. Size ne yapıldığını söyler – daha güvenli olan şey değil. (Bu konu hakkında daha fazla bilgi edinmek istiyorsanız, son web seminerine göz atın-Vanity Metriklerinin güvenlik duruşunuz hakkındaki anlayışınızı nasıl atacağına ve bu konuda ne yapacağınıza dair bir fikir veremez.)
- Maruziyetlerin nasıl bağlandığını özlüyorlar. Tek bir yanlış yapılandırma, bir kimlik sorunu veya düz bir ağ segmenti ile birleşene kadar küçük görünebilir. Çoğu metrik, saldırganların eleştirel varlıklara ulaşmak için zayıflıklarını nasıl zincirlemeye yansıtmaz.
- Finansal sonuçları dışarıda bırakıyorlar. İhlal maliyetleri herkese uyan tek beden değildir. Algılama süresinden ve veri türünden bulut karmaşıklığına ve personel boşluklarına kadar her şeye bağlıdırlar – çoğu gösterge panosunun asla dokunmadığı faktörler.
Bir BVA, teknik bulgular ve işletmenin gerçekte ne anlaması gereken arasındaki boşluğu kapatmaya yardımcı olur. Gerçek dünya araştırmalarına dayanan ihlal maliyet modellemesi kullanarak maruz kalma verilerini finansal etkiye bağlar. Değerlendirmeler, bir olayın maliyetini şekillendiren faktörleri özetleyen – bir ihlalin BT ortamının ne kadar karmaşık olduğundan ne kadar hızlı tespit edildiğinden, bir veri ihlali raporunun IBM maliyeti gibi kaynaklardan gelen girdilere dayanmalıdır. IBM bu faktörleri, bir ihlalin maliyetin ardından ne olduğunu analiz etmek için kullanır – ancak maliyeti ne olabileceğini yansıtmak için de kullanılabilirler vaktinden öncekuruluşun gerçek duruşuna dayanarak.
İşte bir BVA devreye giriyor. Yüzey düzeyinde metrikleri izlemek yerine, siber güvenliği sonuçlar açısından yeniden canlandırıyor. Konuşmayı değiştirir. Düzeltmeleri saymaktan sonuçları göstermeye geçer. Maruziyetlerin etkiye nasıl yol açtığı, tehlikede olanların ve güvenlik yatırımlarının ölçülebilir değer sağlayabileceğinin net bir resmini sunar. Bu, güvenlik liderlerine kararları güvenle desteklemek için ihtiyaç duydukları bağlamı verir.
İş Değeri Değerlendirmesi: Ölçüyor
Bir riskin azaldığını söylemek bir şey. Bunun dolar, zaman veya iş etkisi olarak ne anlama geldiğini göstermek başka bir şey. Bir BVA’nın yapılması amaca yöneliktir. Güvenlik çalışmaları ile işin geri kalanının gerçekten önem verdiği sonuçlar arasındaki noktaları birleştirir. Bir BVA üç şeye odaklanmalıdır:
- Maliyetten kaçınma – Bir ihlal, ortamınızdaki risklere dayalı olarak ne olabilir ve doğru maruziyetleri düzelterek bunun ne kadarının önlenebileceği?
- Maliyet azaltma – Güvenlik çabaları harcamaların azaltılmasına nerede yardımcı olabilir? Bu, manuel testin kapsamını küçültmek, yama ek yükünü azaltmak veya daha iyi risk duruşu göstererek sigorta profilinizin iyileştirilmesini içerebilir.
- Verimlilik Kazançları – Ekibinize daha iyi öncelikler vererek ve insan dokunuşuna ihtiyaç duymayan şeyi otomatikleştirerek ne kadar zaman ve çaba tasarrufu yapabilirsiniz?
Bu gerçek dünya sayıları, güvenlik liderlerinin daha iyi planlamasına, daha akıllıca harcamalarına ve kararlar veya bütçeler hattta olduğunda davayı yapmasına yardımcı olur.
Gecikme ve eylemsizlik neden düşündüğünüzden daha pahalıya mal olur?
Bir ihlalin finansal etkisi her gün gecikme gününde artar. Kimlik tabanlı maruziyetleri veya gölge verilerini içeren olayların artık 290 günden fazla sürmesi gerekiyor. Bu süre zarfında, işletmeler gelir kaybı, durdurulmuş operasyonlar ve uzun süreli itibar zararı yaşarlar. Dahası, IBM raporu, ihlallerin% 70’inin büyük operasyonel bozulmaya yol açtığını göstermektedir – bunların çoğu asla tam olarak iyileşmez.
Bir BVA bu zaman çizelgesine netlik getirir. Bir olayı uzatma olasılığı en yüksek olan maruziyetleri tanımlar ve bu gecikmenin maliyetini hem sektörünüze hem de organizasyon profilinize göre tahmin eder. Ayrıca önleyici kontrollerin geri dönüşünü değerlendirmeye yardımcı olur. Örneğin, IBM, etkili otomasyon ve AI tabanlı iyileştirme kuran şirketlerin ihlal maliyetlerinin 2,2 milyon dolara düştüğünü gördü.
Bazı kuruluşlar, değer açıkça tanımlanmadığında hareket etmekte tereddüt eder. Bu gecikmenin bir maliyeti var. Bir BVA, bir şirketin maruziyetleri kabul edilmeden bırakarak aldığı aylık zararı tahmin eden bir “hiçbir şey yapma maliyeti” modeli içermelidir. Büyük bir işletme için bu maliyetin yarım milyon doları aşabileceğini bulduk.
Ancak eylemsizlik maliyetini anlamak savaşın sadece yarısıdır. Sonuçları gerçekten değiştirmek için, güvenlik liderlerinin bu anlayışı stratejiyi yönlendirmek ve işlevler arası destek oluşturmak için kullanmaları gerekir.
Sonuç olarak: harcamadan stratejiye, BVA hizalama oluşturur
Güvenlik ekiplerinin işi ne kadar iyi yaptıklarına dair bir soru yok. Sorun, geleneksel metriklerin her zaman işlerinin ne olduğunu göstermemesidir. araç. Yama sayımları ve takım kapsamı, panoların umurunda değildir. Aslında neyin korunduğunu bilmek istiyorlar. Bir BVA, noktaların bağlanmasına yardımcı olur-günlük güvenlik çabalarının işletmenin kayıplardan kaçınmasına, zamandan tasarruf etmesine ve daha esnek kalmasına nasıl yardımcı olduğunu gösterir.
Ayrıca zor konuşmaları kolaylaştırır. İster bir bütçeyi haklı çıkarıyor, ister risk yoluyla tahtayı yürüyor ister sigorta şirketlerinden gelen soruları cevaplıyor olsun, BVA güvenlik liderlerine işaret etmek için sağlam bir şey verir. Ekibin nerede bir fark yarattığını gösterir-meşgul işlerini kesmek, üçüncü taraf testlerini azaltmak ve kuruluşun riski nasıl ele aldığını iyileştirmek.
Ve en önemlisi, herkesi aynı sayfaya alır. Güvenlik, BT ve finansın birbirlerinin önceliklerini tahmin etmek zorunda değildir. Aynı sayılardan çalışabilir, gerçekten neyin önemli olduğuna odaklanabilir ve sayıldığında daha hızlı hareket edebilirler.
Gerçek farkı yaratan bu değişim. Güvenlik, “hayır” diyen ekip olmayı bırakır ve işletmenin ilerlemesine yardımcı olan ekip olmaya başlar. Bir BVA ile liderliğin nihayet ilerlemeyi görmek, daha akıllı kararlar vermek ve daha büyük bir şeye dönüşmeden önce riskle başa çıkmanın açık bir yolu vardır.
*****
Bir BVA’nın kuruluşunuzdaki risk hakkında size neler söyleyebileceğini görmek ister misiniz? XM Cyber ROI hesap makinesine göz atın ve kayıplardan nasıl kaçınacağınızı, zamandan tasarruf edeceğinizi ve daha esnek kalmayı anlamaya başlayın.
Not: Bu uzman makalesi, XM Cyber’in Kanal Hesap Yöneticisi David Lettvin tarafından katkıda bulundu.