Como demonstro o ROI do meu programa de segurança?

Como demonstro o ROI do meu programa de segurança? As equipes de segurança devem deixar de dizer não, alinhar as iniciativas de segurança às metas de negócios e relatar as métricas de uma maneira que os líderes de negócios possam entender.

Ao demonstrar o ROI dos programas de segurança, há três coisas que as equipes de segurança devem fazer.

A primeira é mudar a percepção do papel da segurança como o “escritório do NÃO”. Os programas de segurança precisam aceitar que seu papel é PERMITIR que o negócio assuma RISCOS, e não eliminá-los. Por exemplo, se uma empresa precisa estabelecer operações em um país de alto risco, com leis ou operadores cibernéticos arriscados, a reação imediata da maioria das equipes de segurança é dizer “não”. Na realidade, o trabalho da equipe de segurança é permitir que a empresa assuma esse risco criando programas de segurança sólidos que possam identificar, detectar e responder a ameaças de segurança cibernética. Quando os líderes da empresa veem as equipes de segurança tentando ajudá-los a atingir suas metas de negócios, eles são mais capazes de ver o valor de um programa de segurança cibernética forte.

Segundo, as equipes de segurança cibernética devem entender os objetivos de negócios de sua empresa e alinhar as iniciativas de segurança de acordo. Muitas equipes de segurança tentam colocar suas iniciativas de segurança como prioridades para os negócios, quando, na verdade, essas iniciativas podem ser negativas para os negócios. Por exemplo, digamos que o objetivo de negócios seja aumentar a fabricação em uma linha executando software operacional em fim de vida útil. Alguns profissionais de segurança aumentariam os controles de segurança na tentativa de evitar o tempo de inatividade associado a um ataque. Mas essa abordagem não aumenta a produtividade – na verdade, pode ter o efeito oposto e reduzir a eficácia da fabricação.

Em vez disso, as equipes de segurança precisam dar um passo atrás e avaliar COMO podem implementar uma estratégia de segurança que aumente a produtividade na linha de fabricação. Uma abordagem mais centrada nos negócios seria fazer coisas como criar melhores medidas de identificação e resposta para apoiar os objetivos de resiliência de negócios, aumentar a fidelidade do alerta para os dispositivos que isolam o ambiente de fabricação e executar exercícios mais frequentes de resposta a incidentes ou ação de crise para se preparar para um ataque cibernético de fabricação. Entender o que o CEO e o CFO consideram os maiores impulsionadores de negócios e alinhar suas estratégias de segurança cibernética a esses direcionadores acabará se correlacionando com uma percepção de que o cibernético está vinculado a objetivos de negócios lucrativos, aumentando assim o ROI dos gastos cibernéticos.

Terceiro, por último, mas não menos importante, as equipes cibernéticas devem descobrir como relatar suas métricas de uma maneira que os líderes de negócios possam entender. Um exemplo disso é uma equipe de segurança relatando quantos ataques cibernéticos a empresa viu decorrentes de um país arriscado em que eles fazem negócios. No entanto, se a equipe de segurança evoluir ligeiramente suas métricas para demonstrar quanto tempo foi gasto respondendo a phishing naquela região específica, quantos laptops eles tiveram que re-instalar por causa de malware todos os meses ou a quantidade de tempo de inatividade que uma linha de produção teve por causa de um sistema operacional em fim de vida útil, eles podem vincular diretamente esses problemas de segurança cibernética à perda de receita em situações de risco.

Fonte: Darkreading

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!