Tim keamanan menghadapi tuntutan yang semakin besar dengan lebih banyak alat, lebih banyak data, dan harapan yang lebih tinggi dari sebelumnya. Dewan menyetujui anggaran keamanan yang besar, namun tetap mengajukan pertanyaan yang sama: apa yang didapatkan bisnisnya? CISO menanggapi dengan laporan tentang kontrol dan jumlah kerentanan – tetapi eksekutif ingin memahami risiko dalam hal paparan keuangan, dampak operasional, dan menghindari kerugian.
Putusnya menjadi sulit untuk diabaikan. Biaya rata -rata pelanggaran telah mencapai $ 4,88 juta, menurut data IBM baru -baru ini. Angka itu tidak hanya mencerminkan respons insiden tetapi juga downtime, kehilangan produktivitas, gesekan pelanggan, dan upaya yang diperluas yang diperlukan untuk memulihkan operasi dan kepercayaan. Kejatuhan jarang terbatas pada keamanan.
Para pemimpin keamanan membutuhkan model yang membuat konsekuensi itu terlihat sebelum muncul. Penilaian Nilai Bisnis (BVA) menawarkan model itu. Ini menghubungkan eksposur dengan biaya, prioritas untuk dikembalikan, dan pencegahan ke nilai berwujud.
Artikel ini akan menjelaskan bagaimana BVA bekerja, apa yang diukur, dan mengapa itu menjadi penting bagi organisasi yang memahami bahwa keamanan siber adalah fungsi bisnis utama, bukan hanya masalah TI.
Mengapa metrik keamanan tidak lagi diterjemahkan
Sebagian besar metrik keamanan dibangun untuk tim operasional, bukan pemimpin bisnis. CVE menghitung, tarif tambalan dan cakupan alat membantu melacak kemajuan, tetapi mereka tidak menjawab pertanyaan yang penting bagi dewan: Berapa biaya pelanggaran yang sebenarnya akan dibebani oleh kita? Berapa banyak risiko yang telah kita lepas dari meja? Di mana investasi ini membuat perbedaan?
Metrik tradisional gagal karena beberapa alasan utama:
- Mereka menunjukkan aktivitas, bukan dampak. Mengatakan 3.000 kerentanan ditetapkan kuartal terakhir tidak menjelaskan apakah ada di antara mereka yang terikat pada sistem yang penting. Ini memberi tahu Anda apa yang dilakukan – bukan apa yang lebih aman. (Jika Anda ingin mempelajari lebih lanjut tentang topik ini, lihat webinar terbaru kami di dalamnya-itu diisi dengan wawasan yang tidak dapat dilewatkan tentang bagaimana metrik kesombongan akan membuang pemahaman Anda tentang postur keamanan Anda, dan apa yang harus dilakukan.)
- Mereka merindukan bagaimana eksposur terhubung. Kesalahan konfigurasi tunggal mungkin terlihat kecil sampai bergabung dengan masalah identitas atau segmen jaringan datar. Sebagian besar metrik tidak mencerminkan bagaimana penyerang rantai kelemahan untuk mencapai aset kritis.
- Mereka meninggalkan konsekuensi keuangan. Biaya pelanggaran bukan satu ukuran untuk semua. Mereka bergantung pada semuanya, mulai dari waktu deteksi dan tipe data hingga kompleksitas cloud dan kesenjangan staf – faktor yang tidak pernah disentuh oleh sebagian besar dasbor.
BVA membantu menjembatani kesenjangan antara temuan teknis dan apa yang sebenarnya perlu dipahami oleh bisnis. Ini menghubungkan data paparan dengan dampak keuangan, menggunakan pemodelan biaya pelanggaran yang didasarkan pada penelitian dunia nyata. Penilaian harus didasarkan pada input dari sumber -sumber seperti biaya IBM dari laporan pelanggaran data, yang menguraikan faktor -faktor yang membentuk biaya suatu insiden – dari seberapa cepat suatu pelanggaran terdeteksi hingga seberapa rumit lingkungan TI. IBM menggunakan faktor -faktor tersebut untuk menganalisis berapa biaya pelanggaran setelah fakta – tetapi mereka juga dapat digunakan untuk memproyeksikan berapa biayanya sebelumnyaberdasarkan postur sebenarnya organisasi.
Di situlah BVA masuk. Daripada melacak metrik tingkat permukaan, itu membingkai ulang keamanan siber dalam hal hasil. Itu menggeser percakapan. Bergerak dari menghitung remediasi ke hasil yang menunjukkan. Ini menawarkan gambaran yang jelas tentang bagaimana eksposur mengarah pada dampak, apa yang dipertaruhkan, dan di mana investasi keamanan dapat memberikan nilai yang dapat diukur. Itu memberi para pemimpin keamanan konteks yang mereka butuhkan untuk mendukung keputusan dengan percaya diri.
Penilaian Nilai Bisnis: Apa yang diukurnya
Adalah satu hal untuk mengatakan risiko telah berkurang. Ini adalah hal lain untuk menunjukkan apa artinya dalam dolar, waktu, atau dampak bisnis. Itulah yang dilakukan oleh BVA yang harus dilakukan. Ini menghubungkan titik -titik antara pekerjaan keamanan dan hasil yang benar -benar dipedulikan oleh seluruh bisnis. BVA harus fokus pada tiga hal:
- Penghindaran biaya – Berapa biaya pelanggaran berdasarkan risiko di lingkungan Anda, dan berapa banyak yang dapat dicegah dengan memperbaiki paparan yang tepat?
- Pengurangan Biaya – Di mana upaya keamanan dapat membantu memotong pengeluaran? Itu mungkin termasuk menyusutnya ruang lingkup pengujian manual, mengurangi tambalan overhead, atau meningkatkan profil asuransi Anda dengan menunjukkan postur risiko yang lebih baik.
- Keuntungan Efisiensi – Berapa banyak waktu dan upaya yang dapat Anda hemat dengan memberikan prioritas yang lebih baik kepada tim Anda dan mengotomatiskan apa yang tidak membutuhkan sentuhan manusia?
Angka-angka dunia nyata ini membantu para pemimpin keamanan berencana lebih baik, menghabiskan lebih pintar, dan membuat kasus ketika keputusan atau anggaran ada di telepon.
Mengapa penundaan dan tidak bertindak lebih mahal dari yang Anda pikirkan
Dampak finansial dari pelanggaran meningkat setiap hari penundaan. Insiden yang melibatkan eksposur berbasis identitas atau data bayangan sekarang memakan waktu lebih dari 290 hari. Selama waktu itu, bisnis mengalami kehilangan pendapatan, operasi yang macet, dan bahaya reputasi yang berkepanjangan. Terlebih lagi, laporan IBM menunjukkan bahwa 70% pelanggaran menyebabkan gangguan operasional besar – banyak dari mereka yang tidak pernah sepenuhnya pulih.
BVA membawa kejelasan ke timeline itu. Ini mengidentifikasi eksposur yang paling mungkin untuk memperpanjang insiden dan memperkirakan biaya penundaan berdasarkan industri dan profil organisasi Anda. Ini juga membantu mengevaluasi pengembalian kontrol preemptive. Misalnya, IBM menemukan bahwa perusahaan yang menggunakan otomatisasi yang efektif dan remediasi berbasis AI melihat biaya pelanggaran turun sebanyak $ 2,2 juta.
Beberapa organisasi ragu untuk bertindak ketika nilainya tidak jelas. Penundaan itu memiliki biaya. BVA harus mencakup model “biaya tidak melakukan apa -apa” yang memperkirakan kerugian bulanan yang diambil perusahaan dengan meninggalkan paparan tanpa penanganan. Kami telah menemukan bahwa untuk perusahaan besar, biaya itu dapat melebihi setengah juta dolar.
Tetapi memahami biaya tidak bertindak hanya setengah dari pertempuran. Untuk benar-benar mengubah hasil, para pemimpin keamanan perlu menggunakan pemahaman itu untuk memandu strategi dan membangun dukungan lintas fungsi.
Intinya: Dari pengeluaran ke strategi, BVA membangun keselarasan
Tidak ada pertanyaan tentang seberapa baik tim keamanan melakukan pekerjaan. Masalahnya adalah bahwa metrik tradisional tidak selalu menunjukkan apa pekerjaan mereka cara. Hitungan tambalan dan cakupan alat bukan apa yang dipedulikan papan. Mereka ingin tahu apa yang sebenarnya dilindungi. BVA membantu menghubungkan titik-titik-menunjukkan bagaimana upaya keamanan sehari-hari membantu bisnis menghindari kerugian, menghemat waktu, dan tetap lebih tangguh.
Itu juga membuat percakapan yang sulit lebih mudah. Baik itu membenarkan anggaran, berjalan di papan melalui risiko, atau menjawab pertanyaan dari perusahaan asuransi, BVA memberi para pemimpin keamanan sesuatu yang solid untuk ditunjukkan. Ini menunjukkan di mana tim membuat perbedaan-mengurangi kesibukan, mengurangi pengujian pihak ketiga, dan meningkatkan bagaimana organisasi menangani risiko.
Dan yang paling penting, itu membuat semua orang di halaman yang sama. Keamanan, IT, dan Keuangan tidak harus menebak prioritas masing -masing. Mereka dapat bekerja dari angka yang sama, fokus pada apa yang benar -benar penting, dan bergerak lebih cepat ketika diperhitungkan.
Pergeseran inilah yang membuat perbedaan nyata. Keamanan berhenti menjadi tim yang mengatakan “tidak” dan mulai menjadi tim yang membantu bisnis bergerak maju. Dengan BVA, kepemimpinan akhirnya memiliki cara yang jelas untuk melihat kemajuan, membuat keputusan yang lebih cerdas, dan berurusan dengan risiko sebelum berubah menjadi sesuatu yang lebih besar.
*****
Ingin melihat apa yang bisa diberitahukan oleh BVA tentang risiko di organisasi Anda? Lihat kalkulator ROI Cyber XM dan mulailah memahami cara menghindari kerugian, menghemat waktu, dan tetap lebih tangguh.
Catatan: Artikel ahli ini disumbangkan oleh David Lettvin, Manajer Akun Saluran di dalam XM Cyber.
