Los equipos de seguridad enfrentan demandas crecientes con más herramientas, más datos y mayores expectativas que nunca. Las juntas aprueban grandes presupuestos de seguridad, pero aún así hacen la misma pregunta: ¿qué es el negocio a cambio? CISOS argumenta con informes sobre controles y recuentos de vulnerabilidad, pero los ejecutivos desean comprender el peligro en términos de exposición financiera, impacto activo y evitar pérdidas.
La desconexión se ha vuelto difícil de ignorar. El costo promedio de una violación ha ajustado los $ 4.88 millones, según datos recientes de IBM. Esa sigla refleja no solo la respuesta a los incidentes sino asimismo el tiempo de inactividad, la pérdida de productividad, el desgaste del cliente y el esfuerzo extendido requerido para restaurar las operaciones y la confianza. Las consecuencias rara vez se limitan a la seguridad.
Los líderes de seguridad necesitan un maniquí que ponga a la perspectiva esas consecuencias antaño de que surjan. Una evaluación de valía comercial (BVA) ofrece ese maniquí. Vincula las exposiciones al costo, la priorización a la devolución y la prevención con un valía tangible.
Este artículo explicará cómo funciona un BVA, qué mide y por qué se está volviendo esencial para las organizaciones que entienden que la ciberseguridad es una función comercial secreto, no solo un problema de TI.
Por qué las métricas de seguridad ya no se traducen
La mayoría de las métricas de seguridad se construyeron para equipos operativos, no líderes empresariales. Los recuentos de CVE, las velocidades de parches y la cobertura de herramientas ayudan a rastrear el progreso, pero no responden las preguntas que importan a la juntura: ¿qué nos costaría en realidad una violación? ¿Cuánto peligro hemos sacado de la mesa? ¿Dónde hace esta inversión la diferencia?
Las métricas tradicionales se quedan cortas por algunas razones secreto:
- Muestran actividad, no impacto. Aseverar que 3.000 vulnerabilidades se fijaron el extremo trimestre no explica si alguno de ellos estaba vinculado a los sistemas que importan. Te dice lo que se hizo, no lo que se volvió más seguro. (Si desea obtener más información sobre este tema, consulte nuestro seminario web nuevo al respecto: está harto de ideas no faltas sobre cómo las métricas de vanidad eliminarán su comprensión de su postura de seguridad y qué hacer al respecto).
- Se pierden cómo se conectan las exposiciones. Una única configuración errónea puede parecer beocio hasta que se combine con un problema de identidad o un segmento de red plana. La mayoría de las métricas no reflejan cómo los atacantes encadenan las debilidades para alcanzar activos críticos.
- Dejan de costado las consecuencias financieras. Los costos de incumplimiento no son de talla única. Dependen de todo, desde el tiempo de detección y el tipo de datos hasta la complejidad de la nimbo y las brechas de personal, los factores que la mayoría de los paneles nunca tocan.
Un BVA ayuda a cerrar la brecha entre los hallazgos técnicos y lo que el negocio en realidad necesita comprender. Conecta los datos de exposición al impacto financiero, utilizando el modelado de costos de incumplimiento basado en la investigación del mundo efectivo. Las evaluaciones deben apoyarse en insumos de fuentes como el costo de IBM de un noticia de violación de datos, que describe los factores que dan forma al costo de un incidente, desde la celeridad con que se detecta una violación hasta cuán enrevesado es el entorno de TI. IBM usa esos factores para analizar lo que cuesta una violación luego del hecho, pero asimismo se pueden usar para proyectar lo que podría costar con anticipaciónbasado en la postura efectivo de la estructura.
Ahí es donde entra un BVA. En motivo de rastrear métricas a nivel de superficie, refuerza la ciberseguridad en términos de resultados. Cambia la conversación. Pasa de contar remediaciones a mostrar resultados. Ofrece una imagen clara de cómo las exposiciones conducen al impacto, lo que está en recreo y dónde las inversiones de seguridad pueden ofrecer un valía medible. Eso le da a los líderes de seguridad el contexto que necesitan para apoyar las decisiones con confianza.
La evaluación del valía comercial: lo que mide
Una cosa es proponer que se ha escaso un peligro. Otra es mostrar lo que eso significa en dólares, tiempo o impacto comercial. Eso es lo que un BVA es especialmente diseñado. Conecta los puntos entre el trabajo de seguridad y los resultados que el resto del negocio en realidad se preocupa. Un BVA debería centrarse en tres cosas:
- Evitación de costos – ¿Qué es lo que probablemente costaría una violación en función de los riesgos en su entorno y cuánto de eso se puede alertar al arreglar las exposiciones correctas?
- Reducción de costos – ¿Dónde pueden ayudar a los esfuerzos de seguridad a achicar el compra? Eso podría incluir achicar el ámbito de las pruebas manuales, achicar la sobrecarga de parches o mejorar su perfil de seguro mostrando una mejor postura de peligro.
- Ganancias de eficiencia – ¿Cuánto tiempo y esfuerzo puedes eludir dándole a su equipo mejores prioridades y automatizando lo que no necesita un toque humano?
Estos números del mundo efectivo ayudan a los líderes de seguridad a planificar mejor, llevar más inteligente y hacer el caso cuando las decisiones o presupuestos están en recreo.
¿Por qué la atraso y la inacción cuestan más de lo que piensas?
El impacto financiero de una violación aumenta con cada día de retraso. Los incidentes que involucran exposiciones basadas en la identidad o datos de sombra ahora tardan más de 290 días en contener. Durante ese tiempo, las empresas experimentan pérdida de ingresos, operaciones estancadas y daños de reputación prolongados. Encima, el noticia de IBM muestra que el 70% de las violaciones conducen a una interrupción operativa importante, muchos de ellos nunca se recuperan por completo.
Un BVA aporta claridad a esa partidura de tiempo. Identifica las exposiciones con veterano probabilidad de prolongar un incidente y estima el costo de ese retraso en función de su industria y perfil organizacional. Todavía ayuda a evaluar el retorno de los controles preventivos. Por ejemplo, IBM descubrió que las empresas que implementan automatización efectiva y remediación basada en IA ven los costos de incumplimiento de hasta $ 2.2 millones.
Algunas organizaciones dudan en efectuar cuando el valía no está claramente definido. Ese retraso tiene un costo. Un BVA debe incluir un maniquí de “costo de no hacer mínimo” que estima la pérdida mensual que asume una compañía al dejar exposiciones sin atracar. Hemos descubierto que para una gran empresa, ese costo puede exceder medio millón de dólares.
Pero comprender el costo de la inacción es solo la parte de la batalla. Para cambiar en realidad los resultados, los líderes de seguridad deben utilizar esa comprensión para regir la táctica y desarrollar un apoyo interfuncional.
La conclusión: desde el compra hasta la táctica, BVA construye fila
No hay duda sobre qué tan admisiblemente están haciendo el trabajo los equipos de seguridad. El problema es que las métricas tradicionales no siempre muestran cuál es su trabajo medio. Los recuentos de parches y la cobertura de herramientas no son lo que les importa los tableros. Quieren entender qué está en realidad protegido. Un BVA ayuda a conectar los puntos, mostrando cómo los esfuerzos de seguridad del día a día ayudan al negocio a evitar pérdidas, eludir tiempo y mantenerse más resistentes.
Todavía facilita las conversaciones difíciles. Ya sea justificando un presupuesto, caminar por el tablero a través del peligro o replicar preguntas de las aseguradoras, un BVA les da a los líderes de seguridad poco sólido a lo que señalar. Muestra dónde está marcando la diferencia: achicar el trabajo ocupado, achicar las pruebas de terceros y mejorar cómo la estructura maneja el peligro.
Y lo más importante, lleva a todos en la misma página. La seguridad, la TI y las finanzas no tienen que adivinar las prioridades del otro. Pueden trabajar desde los mismos números, centrarse en lo que en realidad importa y moverse más rápido cuando cuenta.
Es este cambio el que hace la verdadera diferencia. La seguridad deja de ser el equipo que dice “no” y comienza a ser el equipo que ayuda al negocio a seguir delante. Con un BVA, el liderazgo finalmente tiene una forma clara de ver el progreso, tomar decisiones más inteligentes y porfiar con el peligro antaño de que se convierta en poco más sobresaliente.
*****
¿Quiere ver qué puede decirle un BVA sobre el peligro en su estructura? Consulte la calculadora de ROI Cyber XM y comience a comprender cómo evitar las pérdidas, eludir tiempo y mantenerse más resistente.
Nota: Este artículo práctico fue aportado por David Lettvin, Director de Cuentas Inside Channel, XM Cyber.
