Como demonstro o ROI do meu programa de segurança? As equipes de segurança devem deixar de dizer não, alinhar as iniciativas de segurança às metas de negócios e relatar as métricas de uma maneira que os líderes de negócios possam entender.
Ao demonstrar o ROI dos programas de segurança, há três coisas que as equipes de segurança devem fazer.
A primeira é mudar a percepção do papel da segurança como o “escritório do NÃO”. Os programas de segurança precisam aceitar que seu papel é PERMITIR que o negócio assuma RISCOS, e não eliminá-los. Por exemplo, se uma empresa precisa estabelecer operações em um país de alto risco, com leis ou operadores cibernéticos arriscados, a reação imediata da maioria das equipes de segurança é dizer “não”. Na realidade, o trabalho da equipe de segurança é permitir que a empresa assuma esse risco criando programas de segurança sólidos que possam identificar, detectar e responder a ameaças de segurança cibernética. Quando os líderes da empresa veem as equipes de segurança tentando ajudá-los a atingir suas metas de negócios, eles são mais capazes de ver o valor de um programa de segurança cibernética forte.
Segundo, as equipes de segurança cibernética devem entender os objetivos de negócios de sua empresa e alinhar as iniciativas de segurança de acordo. Muitas equipes de segurança tentam colocar suas iniciativas de segurança como prioridades para os negócios, quando, na verdade, essas iniciativas podem ser negativas para os negócios. Por exemplo, digamos que o objetivo de negócios seja aumentar a fabricação em uma linha executando software operacional em fim de vida útil. Alguns profissionais de segurança aumentariam os controles de segurança na tentativa de evitar o tempo de inatividade associado a um ataque. Mas essa abordagem não aumenta a produtividade – na verdade, pode ter o efeito oposto e reduzir a eficácia da fabricação.
Terceiro, por último, mas não menos importante, as equipes cibernéticas devem descobrir como relatar suas métricas de uma maneira que os líderes de negócios possam entender. Um exemplo disso é uma equipe de segurança relatando quantos ataques cibernéticos a empresa viu decorrentes de um país arriscado em que eles fazem negócios. No entanto, se a equipe de segurança evoluir ligeiramente suas métricas para demonstrar quanto tempo foi gasto respondendo a phishing naquela região específica, quantos laptops eles tiveram que re-instalar por causa de malware todos os meses ou a quantidade de tempo de inatividade que uma linha de produção teve por causa de um sistema operacional em fim de vida útil, eles podem vincular diretamente esses problemas de segurança cibernética à perda de receita em situações de risco.
Fonte: Darkreading
Veja também:
- Fortinet lança FortiOS 7.2
- Kaspersky é chamado de ameaça à segurança nacional pela FCC
- Ciberataques a dados bancários cresceram 141% no Brasil
- Labs e Ferramentas para Pen Test e Forense
- TRF 3ª Região fica fora do ar devido a ataque hacker
- Sascar é vítima de ciberataque
- The Trust for the Americas e Fortinet se unem para disseminar conhecimento e informação
- HackerOne expulsa o programa de recompensas de bugs da Kaspersky de sua plataforma
- Mais de 90% das organizações tiveram incidente vinculado a um parceiro
- Novos bugs de BIOS da Dell afetam milhões de sistemas Inspiron, Vostro, XPS e Alienware
- Nestlé hackeada pelo Anonymous – 10 GB de dados vazados
- Nem todo MFA é igual, e as diferenças são muito importantes
Deixe sua opinião!