Son 8 ay boyunca, Luke (Hakuke) Stephens ve ben 10 güvenlik yöneticisi ile konuştuk, 550’den fazla güvenlik profesyonelini araştırdık ve Hackerone’un CISO Danışma Kurulu’ndan içgörüler kurduk. Konuşmalarımızda tekrar tekrar önemli bir zorluk ortaya çıktı: Güvenlik liderleri, azaltılmış risklerin finansal etkisini açıklayan yatırımlarını ölçmek ve haklı çıkarmak için daha iyi bir yola ihtiyaç duyuyorlar.
Bu blogda, güvenlik programlarının finansal etkisini iş liderlerine konuşacak şekilde ölçmek için tasarladığımız bir çerçeve olan Beyaz Makalemizi hafifletme (ROM) ile ilgili olarak duyurmaktan heyecan duyuyoruz.
Geleneksel YG neden siber güvenlik konusunda yetersiz kalıyor
Geleneksel YG modellerini siber güvenliğe uygulayan kuruluşlar, genellikle personel sayısını azaltmak veya operasyonel giderleri azaltmak gibi maliyet düşürme önlemlerine odaklanır. Ancak, bu yaklaşım güvenliğin birincil işlevini açıklayamamaktadır: risk azaltma ve ihlalin önlenmesi.
Bir CISO’nun araştırmamıza söylediği gibi:
“Güvenlik genellikle bir gelir sürücüsü değil, bir maliyet merkezi olarak görülür. YG çalışmaz, çünkü her zaman doğrudan getiri gösteremezsiniz – hasarı önlemek, gelir elde etmekle ilgilidir.”
Doğası gereği, güvenlik çabaları doğrudan kâr elde etmek yerine finansal kayıpları önleyerek geliri, marka itibarını ve operasyonel sürekliliği korur. Bununla birlikte, bu faydaları ölçmek genellikle zordur, bu da geleneksel finansal modeller aracılığıyla haklı göstermeyi zorlaştırır.
Azaltma (ROM) Çerçevesi Geri Dönüşü
ROM, bir sigorta poliçesi gibi gelecekteki kayıpları önlemek için güvenlik yatırımlarını yeniden çerçeveleyerek siber güvenlik gerekçesine yaklaşmanın yeni bir yolunu sunar.
ROM, elde edilen geliri ölçmek yerine, hafifletilmiş kayıpları hesaplar. “Bu yatırım hangi gelir elde etti?” Rom, “Siber güvenlik önlemlerine yatırım yaparak hangi kayıpları önledik?”
Bunu faktoring yaparak yapar:
Geleneksel YG’nin “net kârını” “önlenen kayıplarla” değiştirerek ROM, siber güvenliğin finansal etkisini somut olarak ölçebilir.
ROM Hesap Makinesi: Güvenlik liderleri için pratik bir araç
Araştırmamızın en büyük çıkartmalarından biri, güvenlik liderlerinin teoriden daha fazlasına ihtiyaç duymalarıydı-bu hesaplamaları gerçek dünya senaryolarında çalıştırmak için araçlara ve modellere ihtiyaç duyuyorlar.
Bu çalışmada geliştirdiğimiz türden ilk ROM hesaplayıcısı, güvenlik programı sonuçlarını, sömürü olasılığı (ELS) kavramı yoluyla sömürü olasılığını ve toplam hafifletme tasarruflarını hesaplamak için endüstri ölçütlerini birleştirir. Güvenlik programlarının değerini göstermek için kuruluşlara savunulabilir metrikler sağlar.
Son 2 ay içinde güvenlik programlarının finansal etkisini ölçmek için hackerone müşterileri üzerinde sayısız gerçek dünya hesaplaması yapma fırsatım oldu. Her seferinde sonuçlar:
ROM ile, proaktif güvenlik için harcanan her doların kârlılığı doğrudan nasıl koruduğunu göstermek mümkündür.
Küresel bir finansal altyapı sağlayıcısındaki bir güvenlik lideri bunu en iyi açıklar:
“ROM, potansiyel 5 milyon dolarlık kritik ihlallere karşı 300.000 dolarlık bir yatırımı haklı çıkarmamı sağlıyor. Bu metrik ile, sürekli güvenlik testi yoluyla güvenlik açıklarının azaltılmasının maliyetli ihlalleri nasıl önlediğini ve harcamaları nasıl haklı çıkardığını gösterebilirim. ”
Gelişmiş ROM hesap makinesi müşteriler için kullanılabilir olsa da, herkesin konsepti keşfetmesine ve hesaplamalarını yüksek ve kritik şiddet bulguları kullanarak çalıştırmasına olanak tanıyan hafif bir sürüm geliştirdik.
Hackerone müşterileri ROM hesaplamalarını gerçek zamanlı olarak çalıştırabilir
ROM çerçevesi artık ROM hesap makinesini güvenlik yatırımlarını gerçek finansal açıdan ölçmek için kullanabilen Hackerone müşterileri tarafından kullanılabilir.
Hackerone AI Copilot, HAI ile müşteriler, Hackerone platformuna gönderilen her güvenlik açığındaki ROM hesaplamalarını otomatikleştirebilir. Bu, müşterilerin her bir güvenlik açığının potansiyel finansal etkisini anında değerlendirebileceği ve gerçek risk verilerine dayalı azaltma çabalarına öncelik verebileceği anlamına gelir. Program geçmişi, endüstri ölçütleri ve atanan CVSS, CVE veya EPSS rakamları gibi diğer temel faktörler gibi şeyleri birleştirerek, analizimize çeşitli boyutlar getirebilir ve bu varsayımları mümkün olduğunca gerçekçi, savunulabilir ve eyleme geçirilebilir hale getirebiliriz, hepsi Hackerone platformunda.
Ve bu sadece başlangıç!
ROM’un geleceği ve nasıl katkıda bulunabileceğiniz
ROM, güvenlik ekiplerine etkilerini göstermek için net, ölçülebilir bir yol sağlar, bu da satın alma, bütçelerin ve proaktif güvenlik önlemlerine uzun vadeli yatırımların güvenliğini kolaylaştırır. Bununla birlikte, ROM’un yaygın olarak benimsenen bir endüstri standardı olması için güvenlik profesyonellerinden devam eden girdilere ihtiyacımız var.
ROM’u, güvenlik yatırımı gerekçesi için pratik, savunulabilir ve eyleme geçirilebilir bir çerçeve olarak kalmasını sağlamak için aktif olarak rafine ediyoruz. ROM hesap makinesini test etmek ve onu nasıl geliştirebileceğimiz hakkında geri bildirim sağlamak isterseniz, bizimle iletişime geçin (veya bana LinkedIn’de mesaj gönderin) – bilgilerinizi çok isteriz.
Daha fazla bilgi edinmek için, Beyaz Kağıt’ın tamamını okuyabilir ve HackerOne’un web seminerine katılabilirsiniz, “Siber Güvenliğin Azaltma Geri Dönüşü ile Mali Etkisini Niklendirin”, 12 Mart 2025’te. Bu web seminerinde ROM ve ROM’un gerçek dünya uygulamalarını tartışacağız. Kuruluşunuzda nasıl kullanabilirsiniz!