This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
چند روش برای ارزیابی سرمایه گذاری در امنیت سایبری

چند روش برای ارزیابی سرمایه گذاری در امنیت سایبری

91

چند روش پیشنهادی برای ارزیابی سرمایه گذاری در امنیت سایبری

در بلاگ پست "چرا نمی‌شود همیشه از ROI استفاده کرد؟" ، به بررسی ROI در دنیای امنیت سایبری پرداختیم. بررسی کردیم که چرا ROI نمی‌تواند همیشه معیار بامعنایی در دنیای امنیت سایبری باشد. حالا و در ادامه ی بلاگ پست قبلی، می‌خواهیم به این موضوع بپردازیم که اگر قرار است از ROI استفاده نشود، پس از چه روش‌های جایگزینی می‌توان برای ارزیابی سرمایه‌گذاری‌های امنیت سایبری استفاده کرد؟ 

داخل پرانتز: آن‌چه در این بلاگ‌پست می‌خوانید، بخشی از مطلب Why ROI isn’t always a meaningful metric از بلاگ intigriti است.

آن‌چه در این بلاگ‌پست خواهید خواند: 

نیاز به روش‌های جایگزین برای ارزیابی سرمایه گذاری امنیت سایبری    

  1. بازگشت سرمایه گذاری امنیتی (ROSI)‏   

  2. معیارهای کاهش ریسک   

  3. اجتناب از هزینه   

  4. انطباق و رعایت استانداردها     

  5. معیارهای عملیاتی  

انتقال ارزش امنیت سایبری به هیئت مدیره و گرفتن حمایت 

نیاز به روش‌های جایگزین برای ارزیابی سرمایه‌گذاری امنیت سایبری

به سازمان‌ها توصیه می‌شود که معیارهای جایگزینی را برای ارزیابی مؤثر سرمایه‌گذاری‌های امنیت سایبری بررسی کنند. معیارهایی وجود دارند که بینش روشن‌تری درباره ارزش این سرمایه‌گذاری‌ها ارائه می‌دهند، معیارهایی مانند؛ هزینه‌ی حوادث امنیتی اجتناب‌شده یا تعداد نقض‌های جلوگیری‌شده. این معیارها بیشتر با هدف اصلی امنیت سایبری همسو هستند: حفاظت از داده‌های حساس و زیرساخت‌های حیاتی. 

در ادامه به معرفی 5 روش جایگزین برای ارزیابی درست ارزش سرمایه گذاری امنیت سایبری می‌پردازیم. 

  1. بازگشت سرمایه‌گذاری امنیتی (ROSI)‏

معیار "نرخ بازگشت سرمایه گذاری امنیتی (ROSI) ‏" معیاری است که برای ارزیابی میزان کارآمدی سرمایه گذاری‌های امنیت سایبری به کار می‌رود. این معیار، ارزش مالی‌ای را محاسبه می‌کند که با انجام اقدامات امنیتی ایجاد می‌شود و موجب کاهش ریسک و هزینه‌های احتمالی حوادث امنیتی می گردد. ROSI به سازمان‌ها کمک می‌کند تا اثربخشی هزینه‌های امنیتی خود را از طریق مقایسه تعیین کنند؛ مقایسه‌ی هزینه‌ی پیاده‌سازی اقدامات امنیتی در برابر ضررهای مالی جلوگیری‌شده. این رویکرد استراتژیک در تصمیم‌گیری، اهمیت اقدامات پیشگیرانه‌ای مانند برنامه‌های باگ بانتی را در حفظ تداوم عملیات و مراقبت از شهرت سازمان برجسته می‌کند. 

پیشنهاد خواندنی: ۱۴+۱ دلیل برای انتخاب باگ بانتی

  1. معیارهای کاهش ریسک

یکی از راه‌های اولیه برای ارزیابی اثر اقدام‌های امنیت سایبری، از طریق معیارهای مبتنی بر کاهش ریسک است. این معیارها متمرکز بر اندازه‌گیری میزان کاهش آسیب‌پذیری‌ها و حوادث امنیتی عمل می‌کنند. این رویکرد شامل بررسی تعداد آسیب‌پذیری‌های شناسایی‌شده در طول زمان، توجه به سرعت واضح شدن آن‌ها و زیر نظر داشتن فراوانی و شدت حوادث امنیتی محتمل است. با نشان دادن روند نزولی در این زمینه‌ها، سازمان‌ها می‌توانند به طور کمی مشاهده کنند که اقدامات امنیت سایبری آن‌ها دارد به طور موثری خطرات را کاهش می‌دهد. این معیار بسیار مهم است. زیرا به طور مستقیم با توانایی سازمان برای محافظت از دارایی‌ها و داده‌های خود در برابر تهدیدات احتمالی مرتبط است. 

  1. اجتناب از هزینه

اجتناب از هزینه، یکی دیگر از معیارهای مهم برای ارزیابی کارآمدی اقدام‌های امنیت سایبری است. این معیار شامل محاسبه‌ی هزینه‌هایی است که از طریق اقدامات امنیتی پیشگیرانه از آن‌ها اجتناب شده است. به عنوان مثال؛ یک سازمان می‌تواند با اجرای فناوری‌ها و شیوه‌های امنیتی پیشرفته، از هزینه‌های مرتبط با نقض داده‌ها، (مانند؛ هزینه‌های قانونی، جریمه‌ها و هزینه‌های اصلاح) اجتناب کند. علاوه بر این، امنیت پیشگیرانه می‌تواند از افزایش حق بیمه سایبری جلوگیری کند، که اغلب به دنبال یک نقض امنیتی به دلیل افزایش خطر درک‌شده افزایش می‌یابد. برآورد هزینه‌های اجتناب‌ شده می‌تواند پیچیده باشد، اما بینش ارزشمندی در مورد مزایای مالی سرمایه‌گذاری در اقدامات امنیت سایبری قوی ارائه می‌دهد.)

  1. انطباق و رعایت استانداردها

پایبندی به استانداردهای منطبق، مانند مقررات حفاظت از داده‌های عمومی (GDPR) و قانون PSTI، یکی دیگر از روش‌های مهم برای ارزیابی اثربخشی اقدام‌های امنیت سایبری است. این استانداردها، توانایی سازمان را برای انطباق با الزامات نظارتی خاص ارزیابی می‌کنند که می‌تواند به جلوگیری از مجازات‌ها و جریمه‌های مرتبط با عدم انطباق کمک کند. 

حفظ انطباق همچنین به حفاظت از داده‌های حساس کمک می‌کند و به تبع آن، شهرت و اعتماد عمومی سازمان را افزایش می‌دهد. ممیزی‌ها و ارزیابی‌های منظم می‌توانند سطوح انطباق را ردیابی کنند و اطمینان حاصل کنند که سازمان با استانداردها و مقررات صنعت همخوانی دارد. 

  1. معیارهای عملیاتی

معیارهای عملیاتی یک دید عملی از چشم‌انداز امنیت سایبری در یک سازمان ارائه می‌دهند. این معیارها شامل زمان کارکرد سیستم، زمان پاسخ به حادثه و میانگین زمان بازیابی (MTTR) می‌شوند. معیارهای عملیاتی به اندازه‌گیری به‌روز بودن سیستم، قابلیت اطمینان و در دسترس بودن خدمات فناوری اطلاعات می‌پردازند. این ارزیابی مستقیماً بر عملیات و بهره‌وری تجاری تأثیر می‌گذارد. زمان پاسخ به حوادث برای کاهش حداقلی آسیب‌های ناشی از نقض‌های امنیتی بسیار حیاتی ست و همچنین نشان‌دهنده کارایی تیم پاسخ‌دهنده است. MTTR بر روی سرعت بازیابی حوادث سایبری تمرکز دارد که نشان دهنده انعطاف‌پذیری زیرساخت فناوری اطلاعات سازمان است. این معیارها برای برنامه‌ریزی عملیاتی ضروری هستند و می‌توانند به طور قابل‌توجهی بر تصمیمات استراتژیک مربوط به تخصیص منابع و سرمایه‌گذاری‌های امنیت سایبری تأثیر گذارند. 

  1. انتقال ارزش امنیت سایبری به هیئت مدیره و گرفتن حمایت

برای دستیابی به انعطاف‌پذیری سایبری، انتقال ارزش امنیت سایبری به هیئت مدیره و تأمین حمایت آن‌ها بسیار حائز اهمیت است. این که چطور معیارها و اصطلاحات فنی را به زبانی ترجمه کنیم که خطرات تجاری آن قابل‌درک باشد، یک نکته‌ی کلیدی مهم است. در این موقعیت، نشان‌دادن نمونه‌های واقعی از حملات سایبری که باعث آسیب مالی و اعتباری به سازمان‌ها شده‌اند، می توانند کمک کننده باشند. جلب‌کردن توجه به کاهش هزینه‌های بالقوه، درصورت سرمایه‌گذاری‌های امنیت سایبری نیز راه خوبی ست. به عنوان مثال؛ ایوانا پیروسکا، مدیر برنامه Bug Bounty در Visma، نظر خود را درباره ی ارزش جمع‌سپاری امنیتی برای کسب‌وکارها این طور گفته است: "مدیر امنیتی ما یک قانون ساده دارد. او می‌گوید: " هر 1 دلاری که برای پرداخت بانتی یک باگ صرف می‌شود، بین 10 تا 100 دلار آینده را به سازمان باز می‌گرداند." ." تأکید بر اهمیت امنیت سایبری در حفاظت از مالکیت معنوی و داده‌های حساس سازمان می‌تواند مؤثر واقع شود. ارائه‌ی یک طرح جامع مدیریت ریسک امنیت سایبری، که راهبردهایی برای کاهش خطرات و همچنین مسیر روشنی برای پیشبرد آن را ارائه دهد، می‌تواند تأثیرگذار باشد. با ایجاد یک مورد قانع‌کننده برای امنیت سایبری به‌عنوان یک اولویت استراتژیک، می‌توان حمایت هیئت مدیره را برای تقویت موقعیت امنیتی سازمان، جلب و منابع موردنیاز برای این اقدامات را تأمین کرد. 

سخن آخر:  

در این بلاگ‌پست به روش‌هایی پرداختیم که هنگامی که می خواهید ارزش سرمایه‌گذاری‌های امنیت سایبری را بسنجید، می‌توانند به کار بیایند. اگر بخواهید این ارزش را به دیگران نشان بدهید، نیز شاید سخن گفتن به مدل این راه ها بتواند نقش پلی را ایفا کند که ارزش سرمایه گذاری های امنیت سایبری را منتقل کنند. 

امنیت سایبری شبیه به چیست؟ 

چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟ 

استراتژی امنیت سایبری برای کسب و کارها