Gradnja poslovnega primera za varnostne nalozbe

Varnostne ekipe se pogosto trudijo pridobiti proracun. Skozi svojo kariero sem opazoval nadarjene varnostne strokovnjake, ki niso uspeli pridobiti financiranja, ne zato, ker bi bili njihovi predlogi neutemeljeni, ampak ker niso znali prevesti tehnicne nujnosti v poslovno vrednost. Razlika nikoli ni v tehnologiji. Je v govorjenju jezika ljudi, ki nadzorujejo denar.

Pogosti izzivi

Pred gradnjo primera razumejte, zakaj zahteve za varnostni proracun pogosto spodletijo.

• Varnost videna kot stroskovno mesto - Za razliko od prodaje ali razvoja izdelkov varnost neposredno ne ustvarja prihodkov. Da bi premagali to percepcijo, pokazite, kako varnost omogoca prihodke, sciti prihodke ali zmanjsuje stroske. Strankam sem pomagal oblikovati njihove varnostne programe kot konkurencne razlikovalce, ki so jim pridobili pogodbe.
• Tezave pri dokazovanju ROI - Kako izmerite donos necesa, kar se ni zgodilo? Oblikovanje pogovora okrog zmanjsanja tveganja namesto donosa na nalozbo je pogosto bolj ucinkovito.
• Konkurencne prioritete - Vsak oddelek verjame, da so njegove proracunske potrebe kriticne. Vas poslovni primer mora pokazati, zakaj si varnost zasluzi prednost, pogosto s prikazom, kako bi varnostne odpovedi spodkopale druge nalozbe.
• "Nismo bili vdrti" - To zamenjuje sreco s strategijo. To naslovim s predstavitvijo podatkov o verjetnosti vdora za podobne organizacije in s prikazom skozi rezultate penetracijskega testa, da je organizacija ranljiva.

Gradnja primera

Ucinkovit poslovni primer mora biti strukturiran okrog poslovnih rezultatov, ne tehnicnih znacilnosti.

• Zmanjsanje tveganja - Kvantificirajte potencialno izogibanje izgubam z uporabo industrijskih podatkov. Okvir FAIR zagotavlja strukturirano metodologijo za kvantificiranje tveganja v financnih izrazih. Ce je letno pricakovanje izgube zaradi vdora 2 milijona evrov in predlagana nalozba zmanjsa to verjetnost za 60 odstotkov, je pricakovana vrednost 1,2 milijona evrov v letnem zmanjsanju tveganja.
• Skladnost - Zahtevano po GDPR, NIS2, PCI DSS ali DORA. Neskladnost prinasa konkretne financne kazni. Globe po GDPR lahko dosezejo 4 odstotke globalnega letnega prometa. Nalozbe v skladnost oblikujte kot obvezne stroske poslovanja.
• Konkurencna prednost - Mocna varnost je vse bolj zahtevana za podjetniško prodajo in vladne pogodbe. Videl sem slovenska podjetja, ki so izgubila velike pogodbe, ker niso mogla dokazati ustreznih varnostnih kontrol.
• Zavarovanje - Dokazljive varnostne izboljsave lahko zmanjsajo premije kibernetskega zavarovanja za 15-30 odstotkov. Strankam sem pomagal doseci te prihranke z dokumentiranjem izboljsav, identificiranih skozi nase ocene.

Financni modeli

Vodstvo se odziva na financno analizo, ne na tehnicne argumente.

• Letno pricakovanje izgube (ALE) - Pricakovanje posamicne izgube, pomnozeno z letno stopnjo pojavljanja. To vodstvu pomaga razumeti pricakovane stroske na letni osnovi za primerjavo s preventivnimi ukrepi.
• Donos na varnostno nalozbo (ROSI) - Zmanjsanje tveganja minus strosek kontrole, deljeno s stroskom kontrole. Ceprav ni popoln, zagotavlja znano metriko v slogu ROI.
• Izracuni stroska vdora - Uporabite objavljene podatke, kot je IBM Cost of a Data Breach Report. Upostevajte neposredne stroske, kot so forenzika in pravni stroski, ter posredne stroske, kot sta odhajanje strank in skoda ugledu.

Nasveti za predstavitev

• Zacnite s poslovnimi rezultati - "Ta nalozba bo zmanjsala tveganje vdora za 60 odstotkov in prihranila ocenjenih 300.000 evrov v potencialnih izgubah" je bolj prepricljivo kot "potrebujemo novo platformo SIEM."
• Uporabite industrijska merila - Primerjajte svojo varnostno porabo kot odstotek proracuna IT z industrijskimi vrstniki.
• Predstavite moznosti, ne ultimatov - Vodstvu dajte tri moznosti: minimalno izvedljivo, priporoceno in idealno nalozbo. Vsaka s stroski, zmanjsanjem tveganja in casovnico.
• Pokazite primerjavo z vrstniki - Sklicujte se na javno porocane incidente pri primerljivih organizacijah. To je na dokazih temeljeca komunikacija tveganja.

Izkoriscanje rezultatov penetracijskih testov

Porocilo penetracijskega testa je eno najmocnejsih orodij za gradnjo poslovnega primera za varnost. Ko pokazem, da sem dosegel dostop domenskega administratorja skozi izkoristljive ranljivosti, poslovni primer za nalozbo v odpravo postane samoumeven. Predstavite kljucne ugotovitve neposredno vodstveni ekipi. Vpliv slisanja "dostopali smo do celotne baze podatkov vasih strank z interneta v manj kot dveh urah" je dalec bolj prepricljiv kot katerakoli preglednica.

Casovna umestitev zahteve

Varnostnim ekipam svetujem, da proracunske zahteve uskladijo s proracunskimi cikli, ne s casovnicami incidentov. Predstavite primer med letnim nacrtovalnim ciklom, ko vodstvo dodeljuje vire. Kljub temu bodite pripravljeni izkoristiti ustrezne zunanje dogodke, velik vdor v vasi panogi, novo regulativno zahtevo ali rezultate nedavnega penetracijskega testa, da dodate nujnost. Najboljse varnostne nalozbe, ki sem jih videl financirane, so bile tiste, kjer je varnostni vodja imel dobro pripravljen primer in cakal na pravi trenutek za predstavitev.