企業の予算がすでに圧迫されているときに、企業は COVID-19 の発生以来、前例のないサイバー脅威に直面しています。デジタル トランスフォーメーションと在宅勤務の急速な加速により、企業の IT ネットワークに対する負担がかつてないほど増加しています。これらの運用シフトの一部は永続的であることが証明されます。
うまく機能する企業にとって、これらの変革は、効率性、生産性、およびコスト削減の向上という点で大きなメリットをもたらします。ただし、企業の最も価値のある資産がデジタル化されるにつれて、リスクが増大するというマイナス面もあります。
サイバーのビジネス上の重要性が高まるにつれて、経営幹部がこの拡大した一連のリスクに取り組むため、セキュリティ予算は潜在的な過剰支出と過小支出の両方の領域です。以下は、多くの企業による予算の最適化が不十分な例です。
- 企業は、セキュリティ スタック内のすべてのツールで全使用容量の平均 25% しか使用していないため、かなりの無駄と冗長性が生じています。
- 平均して、企業は 30 ~ 70 の異なるセキュリティ ツールを所有しており、1 つのタイプの攻撃に対処するために数百万ドルを費やすこともあります。これは、全体的なセキュリティ体制に対する特定のツールの貢献の証拠を作成する必要性を強調しています。これは、セキュリティ制御の標準化と、もはや付加価値のないテクノロジの売却をサポートする証拠です。
比較的新しいサイバーセキュリティの概念であるセキュリティ検証に入ります。これは、CISO と CFO の共同チームが、優先度の高い攻撃の種類と企業全体のリスク プロファイルに対するサイバー セキュリティ支出の有効性と ROI の両方に関する確かなデータを提供することを要求する取締役会や経営幹部からの圧力が高まっているために発生しました。また、企業がサイバー セキュリティへの投資を回収する能力を検証したいと考えています。これには、攻撃の成功によって失われた価値を明確にして測定し、それをサイバー セキュリティ テクノロジーを使用して有効性を向上させる能力に関連付けることが含まれます。
セキュリティの合理化は、セキュリティ検証アプローチの柱です。セキュリティ体制を検証可能な形で改善し、不十分なサイバー ガバナンスに関連して増大する財務リスクを軽減するのは、企業リソースの割り当てです。これは基本的に、テクノロジー、人、およびプロセス全体にわたるセキュリティ プログラムの有効性を測定することであり、セキュリティ コントロールの検証によって可能になります。
限られた予算の世界では、検証と合理化は、企業がセキュリティ支出を最適化し、コストのかかるビジネス中断の侵害に苦しむ可能性を減らし、デジタル トランスフォーメーションに関連するマイナス面の財務リスクを軽減するために重要です。
「良い」デジタルトランスフォーメーションと「悪い」デジタルトランスフォーメーションを理解する
予算に関する話し合いの重要な出発点は、企業が現在セキュリティをどの程度管理しているかを理解することです。
客観的かつ外部的に検証可能な方法で、「良い」対「悪い」サイバーセキュリティを評価することが可能になりました. Intangic (以前は Cyberhedge) は、独自のデータを使用して、企業のサイバー ガバナンスを 5 つ星 (最高) から 1 つ星 (最悪) まで評価します。 1 つ星の企業はサイバー環境が貧弱であり、重大な財政的制約と相まって、既存のサイバー問題を解決するための投資能力が制限されています。私たちのデータは、これらの企業がこの「悪いサイバー貧乏財務」サイクルから抜け出すのに苦労していることを示しています。なぜそれが重要なのですか? 2 つの理由:
- ランサムウェアなどの大規模な攻撃を受けるリスクが大幅に高まり、その結果として多額の金銭的および市場的損失が発生します。
- 検証済みの格付けは、企業とそれに依存する顧客に財務上および運用上の影響をもたらす破壊的で費用のかかる攻撃の可能性を下げるために、脆弱性に直ちに注意を払う必要があることを C スイートに早期に警告するシグナルとして機能します。
しかし、 Mandiant Security Validationと合理化を導入している企業は、1 つ星のステータスとそれに伴う財務リスクを回避する可能性がはるかに高く、これはすべての業界セクターに当てはまります。無形のデータは、Mandiant Security Validation などの統合プラットフォームを介したサイバーに対するセキュリティ コントロール検証アプローチを持つ企業が、1 つ星の評価から 2 つ星または 3 つ星の評価に効果的に移行できることを明確に示しています。重大な経済的および市場的損失)。
このアプローチを実行するには、サイバー パフォーマンスの「インサイド アウト」ビューと「アウトサイド イン」ビュー、およびパフォーマンスの良し悪しに関連する財務上のリスクと利益が必要です。
- インサイドアウト ビュー:セキュリティのレンズを通して企業ネットワークの内側から外側へのビュー。セキュリティ リスクと会社のツールとコントロールの詳細な外観、機能しているものと機能していないもの、およびより最適化するために修正できるものを検証可能なビュー。セキュリティ支出。
- アウトサイド イン ビュー: CyFi® (サイバー金融) レンズを通して、企業ネットワークの外側から内側へのビュー。外部から検証可能なデータ (内部ネットワーク ビューなし) から完全に派生した第 2 世代のデータ セットは、企業に対するサイバーと運用/財務の両方の影響を組み合わせます。これらは、違反イベントの最大かつ最も正確なサンプル サイズにマッピングされた唯一の既知の評価です。
より大規模な統制検証アプローチの一環として、インサイド アウトとアウトサイド インのビューを活用するセキュリティ合理化手法を採用することで、企業はサイバーおよび財務パフォーマンスを改善し、コストのかかる事業中断の可能性を下げることができます。どうすればわかりますか?このデータは、Mandiant の顧客が Intangic の CyFi® (サイバー金融) 指標で一貫して高いスコアを示していることを示しています。
合理化は、現在オンデマンドで利用できる最近のウェビナーの焦点でした。 Mandiant Security Validationの詳細については、当社の Web サイトにアクセスしてください。
Ryan Dodd は、Intangic の創設者兼 CEO です。
参照: https://www.mandiant.com/resources/blog/lower-risk-digital-transformation-leads-to-costly-breach
Comments