0
0
Pergunta: Como demonstrar o ROI do meu programa de segurança?
Neal Bridges, CISO da Query.AI: Ao demonstrar o ROI dos programas de segurança, há três coisas que as equipes de segurança devem fazer.
A primeira é mudar a percepção do papel da segurança como o “escritório do NÃO”. Os programas de segurança precisam aceitar que seu papel é permitir que o negócio assuma RISCOS e não elimine riscos. Por exemplo, se uma empresa precisa montar operações em um país de alto risco, com leis cibernéticas ou operadores cibernéticos arriscados, a reação da maioria das equipes de segurança é dizer não. Na realidade, o trabalho da equipe de segurança é permitir que a empresa assuma esse risco construindo programas de segurança de som que possam identificar, detectar e responder a ameaças de segurança cibernética. Quando os líderes da empresa veem equipes de segurança tentando ajudá-los a alcançar seus objetivos de negócios, eles são mais capazes de ver o valor de um forte programa de cibersegurança.
Da mesma forma, as equipes de cibersegurança devem entender as metas de negócios de sua empresa e alinhar as iniciativas de segurança de acordo. Muitas equipes de segurança tentam empurrar suas iniciativas de segurança como prioridades para o negócio, quando, de fato, essas iniciativas podem ser negativas nos negócios. Por exemplo, digamos que o objetivo do negócio é aumentar a fabricação em uma linha executando software operacional de fim de vida. Alguns profissionais de segurança aumentariam os controles de segurança na tentativa de evitar o tempo de inatividade associado a um ataque. Mas essa abordagem não aumenta a produtividade – na verdade, pode ter o efeito oposto e reduzir a eficácia da fabricação.
Em vez disso, as equipes de segurança precisam dar um passo atrás e avaliar como podem colocar em prática uma estratégia de segurança que aumente a produtividade na linha de fabricação. Uma abordagem mais centrada nos negócios seria fazer coisas como construir melhores medidas de identificação e resposta para apoiar objetivos de resiliência empresarial, aumentar a fidelidade do alerta aos dispositivos que isolam o ambiente de fabricação e executar exercícios de resposta a incidentes mais frequentes ou exercícios de ação de crise para se preparar para um ataque cibernético de fabricação. Entender o que o CEO e o CFO acham ser os maiores impulsionadores de negócios e alinhar suas estratégias de cibersegurança a esses drivers, em última análise, correlacionará-se com a percepção de que a cibersegurança está ligada a objetivos lucrativos de negócios, aumentando assim o ROI dos gastos cibernéticos.
Por último, mas não menos importante, as equipes cibernéticas devem descobrir como relatar suas métricas de uma maneira que os líderes empresariais possam entender. Um exemplo disso é uma equipe de segurança relatando quantos ataques cibernéticos a empresa viu decorrentes de um país arriscado em que fazem negócios. Se uma empresa é lucrativa, a equipe executiva pode não ver um impacto imediato para os milhares de ataques cibernéticos que estão relatando. No entanto, se a equipe de segurança evoluir ligeiramente suas métricas para demonstrar quanto tempo foi gasto respondendo ao phishing naquela região específica, quantos laptops eles tiveram que reimagem por causa do malware USB todos os meses, ou a quantidade de tempo de inatividade que uma linha de produção teve por causa de um sistema operacional de fim de vida, eles podem diretamente vincular esses problemas de segurança cibernética à perda de receita em situações de risco. E esse conhecimento é o que os líderes empresariais precisam para entender melhor os riscos de segurança, seu potencial impacto nos negócios e o papel da segurança em manter a organização segura.
FONTE: DARK READING