Los equipos de seguridad enfrentan una creciente demanda con más herramientas, más datos y mayores expectativas que nunca. La junta aprueba un gran presupuesto de seguridad, pero aún así hace la misma pregunta. CISOS responde con informes sobre los recuentos de control y vulnerabilidad, pero la gerencia quiere comprender los riesgos en términos de evitar la exposición financiera, el impacto operativo y las pérdidas.
El corte es cada vez más difícil de ignorar. Los datos recientes de IBM muestran que el costo promedio de las violaciones alcanzó los $ 4.88 millones. Esa cifra no solo refleja la respuesta de incidentes, sino también el tiempo de inactividad, la pérdida de productividad, el desgaste del cliente y los largos esfuerzos necesarios para restaurar la operación y la confianza. Raramente las consecuencias se limitarán a la seguridad.
Los líderes de seguridad necesitan un modelo que ponga a la vista esos resultados antes de que surjan. La evaluación del valor comercial (BVA) proporciona ese modelo. Esto vincula la exposición a los costos, la priorización de devoluciones y preventivo a valores tangibles.
Este artículo explica cómo funciona BVA, qué mide y por qué se ha vuelto esencial para las organizaciones que entienden que la ciberseguridad no es solo un problema de TI sino una característica comercial crítica.
Por qué las métricas de seguridad ya no se traducen
La mayoría de las métricas de seguridad se construyeron para equipos de operaciones en lugar de líderes empresariales. Los recuentos de CVE, las velocidades de parches y la cobertura de herramientas lo ayudan a rastrear el progreso, pero no responda preguntas que sean importantes para la Junta. ¿Cuánto riesgo elimina de la mesa? ¿Dónde hace esta inversión la diferencia?
Faltan las métricas tradicionales por varias razones importantes:
Muestran actividad en lugar de shock. Aunque 3.000 vulnerabilidades se fijaron en el último trimestre, no explica si alguno de ellos está vinculado a los sistemas críticos. Te dice lo que se ha logrado, no algo más seguro. (Si desea obtener más información sobre este tema, consulte nuestro seminario web reciente. Está lleno de ideas de errores sobre cómo las métricas de vanidad desechan su comprensión de las actitudes de seguridad y qué hacer al respecto). Una única concepción puede parecer menor, hasta que se combinen con problemas de identidad o segmentos de redes planas. La mayoría de las métricas no reflejan cómo los atacantes traen debilidades para alcanzar activos críticos. Descallen las consecuencias financieras. Las tarifas de violación no se ajustan a todos los tamaños. Estos se basan en todo, desde tiempos de detección y tipos de datos hasta complejidad de la nube y brechas de personal. La mayoría de los paneles son factores que no los tocan.
BVAS puede ayudar a cerrar la brecha entre los resultados de la investigación técnica y lo que su empresa realmente necesita comprender. Conecte los datos de exposición al impacto financiero utilizando el modelado de costos de violación de la investigación del mundo real. La evaluación debe basarse en la entrada de una fuente, como el costo de IBM para los informes de violación de datos. Esto describe los factores que dan forma al costo de un incidente. Esto va desde la velocidad de la violación hasta la complejidad del entorno de TI. IBM utiliza estos factores para analizar el costo de la violación después del hecho, pero también se puede utilizar para predecir que los costos pueden estar de antemano en función de la actitud real de la organización.
Ahí es donde aparece BVA. En lugar de rastrear métricas a nivel de superficie, reconfigure la ciberseguridad en términos de resultados. Cambiar la conversación. Se mueve del recuento de reparaciones a mostrar los resultados. Tiene una comprensión clara de cómo la exposición puede afectar, qué está en riesgo y dónde las inversiones de seguridad pueden proporcionar un valor medible. Esto le da a los líderes de seguridad el contexto que necesitan para apoyar su toma de decisiones con confianza.
Evaluación del valor comercial: lo que mide
Una cosa es que el riesgo se ha reducido. Otra es mostrar lo que significa en dólares, tiempo o impacto comercial. Eso es lo que BVA pretendía. Conecta puntos entre el trabajo de seguridad y los resultados que realmente se preocupa al resto de su negocio. BVA debe centrarse en tres cosas:
Evitación de costos: ¿a qué costos se pueden incurrir una violación en función de los riesgos ambientales? Reducción de costos: ¿dónde pueden reducir los esfuerzos de seguridad el gasto? Esto incluye reducir el alcance de las pruebas manuales, reducir los parches de sobrecarga o mejorar su perfil de seguro mostrando una mejor actitud de riesgo. Mayor eficiencia: ¿cuánto tiempo y esfuerzo puede ahorrar priorizando a su equipo y automatizando cosas que no requieren toque humano?
Estos números del mundo real ayudan a los líderes de seguridad a mejorar sus planes, gastan de manera más inteligente y hacen un punto en que las decisiones y los presupuestos estén en la cima.
¿Por qué los retrasos e inacciones cuestan más de lo que piensas?
El impacto económico de la violación aumenta con los retrasos diarios. Los incidentes que contienen exposiciones basadas en la identidad o datos de sombra actualmente toman más de 290 días. Mientras tanto, las empresas han experimentado pérdidas en ingresos, operaciones estancadas y daños reputacionales persistentes. Además, el informe de IBM muestra que el 70% de las violaciones conducen a grandes interrupciones operativas. Muchos de ellos no se recuperan por completo.
El BVA aclara su línea de tiempo. Identifique las exposiciones que tienen más probabilidades de prolongar el incidente y estimar el costo de ese retraso en función de la industria y el perfil organizacional. También ayuda a evaluar el rendimiento del control preventivo. Por ejemplo, IBM descubrió que las empresas que implementan automatización efectiva y remediación basada en IA reducirán los costos de violación en $ 2.2 millones.
Algunas organizaciones son reacias a actuar cuando los valores no están claramente definidos. Ese retraso cuesta dinero. El BVA debe incluir un modelo de «costo de nada» que estima las pérdidas mensuales que la compañía causará al dejar la exposición no exenta. Descubrimos que las grandes empresas podrían costar más de $ 500,000.
Pero comprender el costo de la inacción es solo la mitad de la batalla. Para transformar realmente los resultados, los líderes de seguridad deben utilizar su comprensión para guiar sus estrategias y crear apoyo a través de trabajo.
Conclusión: De los gastos a la estrategia, BVA construye alineación
No hay duda de qué tan bien el equipo de seguridad está haciendo su trabajo. El problema es que las métricas tradicionales no siempre muestran el significado de su trabajo. El recuento de parches y la cobertura de herramientas no son algo que le importa a la placa. Quieren saber qué está realmente protegido. BVA ayuda a conectar puntos. Muestra cómo los esfuerzos de seguridad diarios pueden ayudar a las empresas a evitar pérdidas, ahorrar tiempo y mantenerse más resistentes.
También facilita las conversaciones difíciles. Ya sea que justifique su presupuesto, se adhiera a la Junta para que arriesgue o responda preguntas de su compañía de seguros, la BVA les da a los líderes de seguridad algo que apunta. Muestra dónde está marcando la diferencia su equipo: reducir el trabajo ocupado, reducir las pruebas de terceros y mejorar la forma en que su organización maneja los riesgos.
Y lo más importante, lleva a todos en la misma página. La seguridad, la TI y las finanzas no tienen que adivinar las prioridades de los demás. Funcionan desde el mismo número, se centran en lo que realmente importa y se mueven más rápido cuando cuenta.
Es este cambio el que hace la verdadera diferencia. La seguridad deja de ser un equipo «no» y comienza a convertirse en un equipo que ayuda a las empresas a avanzar. Con BVA, el liderazgo finalmente ve el progreso, toma decisiones más inteligentes y tiene una forma clara de lidiar con los riesgos antes de abordarlos.
*****
¿Quiere ver qué puede decirle BVA sobre los riesgos de su organización? Consulte la calculadora de ROI Cyber XM y comience a comprender cómo evitar las pérdidas, ahorrar tiempo y mantenerse más resistente.
Nota: Este artículo experto fue aportado por David Lettvin, gerente de cuentas de canal interno para XM Cyber.
Source link
