Kurumsal kuruluşlar toplu olarak her yıl milyarlarca dolar harcıyor güvenlik araçları ve sistemleri onları gelişen bir tehdit ortamından korumak için. Ancak yıllık devasa yatırımlara rağmen veri ihlallerinin sayısı artmaya devam ediyor.
Geçtiğimiz on yıl boyunca, BT güvenlik bütçeleri, bütçenin dokunulmaz bir kalemi olarak görüldü ve bir işletmenin varlığını tehdit etmesi nedeniyle diğer departmanlara uygulanan kesintilerden büyük ölçüde korundu. büyük veri ihlali temsil etmek.
Ancak yaklaşmakta olan küresel durgunluğun korkusu ve belirsizliği, iş dünyası liderlerini işletme bütçelerindeki her girdiyi dikkatle incelemeye zorluyor. Kurumsal CISO’lar artık bütçelerinin maliyet düşürücü önlemlerden muaf tutulacağını varsayamaz. Bunun yerine, güvenlik programlarının genel maliyet etkinliğine ilişkin sivri uçlu soruları yanıtlamaya hazırlıklı olmaları gerekir.
Başka bir deyişle, işletme sağlam güvenlik araçlarına ve uzman uygulayıcılara yatırım yapma ihtiyacını anlasa da artık şu soru ortaya çıkıyor: Ne kadar yeterli? Güvenlik harcamaları hala kabul edilebilir bir riske maruz kalma seviyesini koruyacak şekilde nasıl ayarlanabilir?
Güvenlik liderlerinin önümüzdeki yıllarda bütçelerini koruma veya artırma şansına sahip olmaları gerekiyorsa, kendilerini ampirik verilerle donatmaları ve güvenlik yatırımlarının iş değerini, elinde bulunduranlara açık bir şekilde aktarabilmeleri gerekecek. kurumsal çanta dizeleri.
Güvenlik hesabının ölçülmesi
Yirmi yılı aşkın bir süre önce, ünlü teknoloji uzmanı Bruce Schneier, güvenlik önlemlerini uygulama pratiğini tanımlamak için ‘Güvenlik Tiyatrosu’ ifadesini icat etti. güvenlik önlemleri Bu, aslında bunu başarmak için çok az şey yaparken, gelişmiş güvenlik hissi sağlar.
Bugünlerde pek çok yönetim kurulu, tüm bu güvenlik araçları ve sistemlerinin birikiminin, yatırımlarıyla orantılı bir ekonomik fayda sağlayıp sağlamadığını ya da bunun yalnızca bir tür güvenlik önlemi olup olmadığını merak etmeye başlıyor. Kabuki tiyatrosu değerli kurumsal varlıklarının yeterince korunduğunu hissetmeleri için tasarlanmıştır.
CISO’lar da aynı şekilde bilgi güvenliğinin etkinliğini ölçmeye yönelik standart bir yaklaşımın bulunmaması nedeniyle zorluk yaşıyor. Güvenlik liderleri tam olarak neyi ölçmelidir? İşletmenin gerçekte anladığı ölçümler açısından riski nasıl ölçersiniz? Daha fazla araca sahip olmak aslında bizi daha iyi korumayı mı sağlıyor yoksa sadece daha fazla yönetim ve karmaşıklık baş ağrısı mı yaratıyor?
Bunlar, CISO’ların işletme bütçelerini yönetim kuruluna sunarken ve rasyonelleştirirken cevaplayabilmeleri gereken sorulardan sadece birkaçı.
Güvenlik bütçenizi haklı çıkaracak temel stratejiler
Kurumsal CISO’lar, geçmişteki güvenlik olayları, tehdit istihbaratı ve güvenlik ihlalinin potansiyel etkisi hakkındaki verilere erişimden yararlanarak, potansiyel bir saldırıya karşı etkili bir şekilde savunma yapmak için gereken kaynaklar hakkında daha bilinçli kararlar alabilir.
Bu dördünü düşünün veriye dayalı stratejiler Siber güvenliğin değerini tanımlamak ve iş liderlerine iletmek için bir başlangıç noktası olarak:
1: Anlamlı ölçümleri tanımlayın
Güvenlik ölçümlerinin, diğer kabul edilen iş ölçümleri ve KPI’larla tutarlı bir şekilde yakalanması ve iletilmesinin oldukça zor olduğu biliniyor. Doğrudan gelir getiren bir ürün veya hizmet için yatırım getirisini hesaplamak oldukça basit olsa da, öncelikle finansal kaybı önlemeye odaklanan güvenlik araçlarının yatırım getirisini ölçmeye çalışırken bu durum daha da karmaşık hale geliyor.
Yatırım getirisi işletmenin geri kalanı tarafından kolayca anlaşılabilen bir ölçüm olsa da, BT güvenliğinin değerini iletmek en anlamlı yöntem olmayabilir. Benzer şekilde, ilgili metriklerin raporlanması saldırı sayısı tespit edilmesi ve engellenmesi etkileyici görünebilir ancak iş liderlerinin gerçekte önemsediği şeylerle bağlantısı yoktur.
Sonuçta anlamlı olan, metrikleri temel iş işlevlerine ve önceliklere göre hizalayabilme yeteneğidir; yani örneğin bir kuruluşun birincil hedefi olası kesintilerin operasyonları üzerindeki etkisini azaltmaksa, bu zaman içinde izlenebilir ve izlenebilir.
2: Operasyonel riski ölçün
Güvenlik ekibinin kuruluşa sağladığı değeri göstermek için riski ölçerek başlamanız, ardından bu riskin nasıl azaltıldığını göstermeniz gerekir. etkili güvenlik kontrolleri. Kabul edilebilir risk seviyeleri için net eşikler tanımlayarak bir kuruluşun risk toleransının belirlenmesi, belirlenen risklerin çok büyük veya yönetilemez hale gelmeden önce zamanında ele alınmasını sağlamaya yardımcı olabilir. Operasyonel riski hem ölçmenin hem de sayısallaştırmanın diğer bazı pratik yolları şunları içerebilir:
- Olasılık: Geçmiş veriler, uzman görüşleri ve Verizon’un yıllık raporu gibi üçüncü taraf araştırmaları kullanılarak ölçülebilen belirli bir güvenlik riskinin ortaya çıkma olasılığı. Veri İhlali Olay Raporu (DBIR).
- Etki: Mali kayıplar, itibar kaybı ve yasal/uyumluluk yükümlülükleri dahil olmak üzere bir güvenlik ihlalinin olası sonuçları.
- Kontroller: Riski önlemek, tespit etmek veya en aza indirmek için hangi önlemlerin alındığını belirleyin. Bu, teknik kontrollerin (güvenlik duvarları veya antivirüs yazılımı gibi) yanı sıra organizasyonel kontrolleri (politikalar ve prosedürler gibi) içerebilir.
3: Araçları ve satıcıları birleştirin
Geçtiğimiz on yılda kurumsal güvenlik ekiplerinin güvenlik araçları alışverişine çıktığı görüldü. A Ponemon çalışması Tipik bir işletmenin ağlarını korumak ve dayanıklılığı sağlamak için ortalama 45 siber güvenlik aracı kullandığını tespit etti.
Yeni araçların benimsenmesinin ana etkenlerinden biri, sürekli gelişen tehdit ortamı Bu da belirli saldırı vektörlerine yönelik yeni kurulan küçük işletmelerden oluşan bir endüstrinin ortaya çıkmasına neden oldu. Bu, kuruluşların boşlukları ele almak ve kapatmak için çeşitli niş nokta çözümleri edinmesine yol açtı. Bu düzinelerce birbirine bağlı ve örtüşen aracın lisanslanmasında yalnızca maliyet hususları mevcut değildir, aynı zamanda bunların yönetilmesine bağlı bir yan maliyet de vardır.
CISO’lar, paylaşılan veri ve kontrol düzlemine sahip bir platform yaklaşımını benimseyerek güvenlik araçlarını birleştirebilir, operasyonları kolaylaştırabilir ve eski silolar arasındaki boşlukları ve güvenlik açıklarını azaltabilir.
4: Görünürlüğe öncelik verin
Göremediğiniz şeyi etkili bir şekilde yönetemezsiniz. Bu nedenle yatırımlara öncelik vermek çok önemli. araçlar ve süreçler Bir ortamda ne olduğunu ve en büyük risklerin nerede olduğunu bilmek için geniş ağ görünürlüğü sağlayan. Güvenlik duruşlarını iyileştirmenin diğer yolları:
- Aracısız olun: Bu, bulut iş yüklerinin kapsamına girmeyi kolaylaştırabilir. Doğru izinleri güvence altına almanıza gerek yok; yalnızca AWS kimlik bilgilerini girin, API’yi yapılandırın; ortam bir saatten daha kısa sürede taranabilir.
- Uç nokta görünürlüğü: Saldırıların çoğu bireysel uç nokta cihazlarında başladığından ve saldırganlara ayrıcalıkları artırmaları için kolay bir yol sağladığından, özellikle çalışanlar uzak konumlardan oturum açmaya devam ederken görünürlük çok önemlidir.
Geçtiğimiz on yıl boyunca güvenlik liderleri yönetim kurulu masasında bir sandalye kazanmak için yoğun bir mücadele verdi. Eğer bu koltuğu korumak istiyorlarsa, siber güvenliğin tam değerini aktarabilmeleri ve rasyonelleştirebilmeleri için ampirik verilere dayalı bir sorumluluk kültürü oluşturmaları gerekecek.
Kevin Durkin CFO’dur Uptyc’ler.
Veri Karar Vericileri
VentureBeat topluluğuna hoş geldiniz!
DataDecisionMakers, veri çalışması yapan teknik kişiler de dahil olmak üzere uzmanların veriyle ilgili içgörüleri ve yenilikleri paylaşabileceği yerdir.
En son fikirleri, güncel bilgileri, en iyi uygulamaları ve veri ile veri teknolojisinin geleceğini okumak istiyorsanız DataDecisionMakers’ta bize katılın.
Hatta düşünebilirsiniz bir makaleye katkıda bulunmak kendinin!
Kaynak: https://venturebeat.com/security/4-strategies-data-driven-cisos-need-to-take-now-to-defend-their-budgets/