Cómo comunicar el valor de …


Hay muchas razones para la prueba de la pluma, pero las razones financieras tienden a ser ignoradas.

Google «prueba de la pluma retorno de la inversión (ROI)«y encontrará muchos consejos repetitivos sobre cómo comunicar mejor el valor de un compromiso de prueba de lápiz. Evaluar los costos de las sanciones por incumplimiento., medir el impacto de una violación contra el costo de un compromiso de prueba de lápiz, reducir el tiempo de remediación, para nombrar unos pocos. Si bien todas estas mediciones son importantes, las pruebas con bolígrafo proporcionan un valor más allá del cumplimiento y la prevención de violaciones, incluso a través de una lente financiera. Exploremos los pasos críticos para definir y comunicar con éxito el ROI para las pruebas de seguridad.

Primero, comprenda el papel de la prueba de lápiz en lo que respecta a la madurez del programa de seguridad: La definición del ROI de las pruebas con pluma tiene sus matices, ya que aparentemente no hay resultados tangibles que provengan directamente de la inversión. Al implementar una estrategia de prueba de lápiz, está evitando activamente una violación que podría costar dinero a su organización. Pero el costo de una violación es el punto de datos más obvio para medir el ROI, y esas estimaciones varían ampliamente. ¿Mi consejo? Trabaje para madurar su programa de seguridad hasta el punto en que el compromiso con los probadores de bolígrafo se centre en garantizar la efectividad de los controles existentes y los puntos de contacto de seguridad en su ciclo de vida de desarrollo, no solo para marcar una casilla de cumplimiento o evitar una infracción sin ayuda. Aprovechar las pruebas de lápiz durante todo el ciclo de vida del desarrollo puede ayudar a identificar problemas en el desarrollo antes de la implementación en lugar del costoso descubrimiento de vulnerabilidades en una fecha posterior.

Segundo, identifique métricas, no mediciones: Las decisiones comerciales a menudo se toman utilizando medidas, en lugar de métricas. Pero en la mayoría de los casos, las decisiones de conducción basadas en mediciones (o datos sin procesar) pueden ser engañosas y terminar con líderes empresariales que centran el tiempo, el esfuerzo y el presupuesto en las actividades incorrectas. Las métricas, por otro lado, son una agregación de múltiples mediciones que responden preguntas comerciales específicas, generalmente en un formato de proporción o porcentaje para ayudar a los equipos a rastrear el progreso.

Como punto de partida, aquí hay cinco métricas que los equipos de seguridad deben aprovechar para traducir el ROI pentesting a los equipos de liderazgo:

  • Tendencias de densidad de vulnerabilidad: Los datos históricos sobre vulnerabilidades son instrumentales para el negocio y el conocimiento del riesgo. Revise las principales vulnerabilidades encontradas en una aplicación y examine los datos históricos para determinar si hay ciertos patrones a lo largo del tiempo que muestran la probabilidad de múltiples vulnerabilidades si se descubre una sola. Si estas métricas comienzan a disminuir, es un claro indicador de que está obteniendo un mejor command sobre sus sistemas y ahora tiene la información disponible para aprender cómo erradicar dos o más vulnerabilidades a la vez.
  • Cobertura de prueba de pluma: Los equipos de seguridad cibernética a menudo clasifican las vulnerabilidades en términos de métricas de alto, medio o bajo riesgo. Naturalmente, centran los esfuerzos de seguridad en el riesgo más alto, lo que hace que las aplicaciones de riesgo medio y bajo carezcan de atención mientras los atacantes buscan explotar lo que sea más vulnerable. El seguimiento de todos los niveles de riesgo permite a los equipos de prueba de bolígrafo determinar qué falta exactamente el enfoque desde una perspectiva de seguridad. Esto resaltará las áreas que están siendo descuidadas o que faltan inversiones en seguridad. La cobertura adecuada en su cartera también obliga a las organizaciones a mantener un inventario adecuado de sus activos, un funds a must have para una organización.
  • Proporción de vulnerabilidades abiertas: remediadas: Esta métrica muestra cuán rápida y efectiva es una organización para solucionar problemas de seguridad. No puede simplemente probar las aplicaciones para que sean seguras, debe remediarlas. La métrica de relación de vulnerabilidad open up: remediated ayuda a determinar cuáles de sus problemas se están remediando y cuáles no. También puede determinar áreas específicas donde se necesita capacitación para ayudar a impulsar los esfuerzos de remediación. Con una estrategia efectiva de prueba de lápiz, las organizaciones deberían ver la cantidad de vulnerabilidades remediadas que aumentan o superan las vulnerabilidades abiertas.
  • Costos relacionados con los esfuerzos de remediación: Una vez que se identifica una vulnerabilidad, una métrica crítica es cuantificar el costo de cuánto esfuerzo se va a remediar. Tenga en cuenta: si la corrección va más allá de la línea de código que se cambia, el ciclo requiere más tiempo y esfuerzo. Por ejemplo, si se encuentran vulnerabilidades en el código en producción, alguien tiene que cambiarlo, realizar pruebas de regresión en el application, probar para asegurarse de que nada más está roto, pasar por un entorno de command de calidad, hacer una prueba adicional para asegurarse de que se solucionó correctamente y luego empuje el código actualizado a producción. Costoso, no? El seguimiento de estas métricas de costos (costos de own multiplicados por las horas dedicadas) le permite determinar si está ganando eficiencia en la remediación y le permitirá responder a la pregunta: «¿Cuánto me cuesta realmente crear seguridad en mis aplicaciones?»
  • Costos de crear una aplicación segura: Es importante controlar las métricas de costos de otras actividades de seguridad que influyen en el desarrollo de aplicaciones. Esto incluye la creación de requisitos de seguridad incluso antes de que su aplicación esté codificada, lo que permite la revisión del código durante los ciclos de desarrollo y las herramientas integradas en la tubería de integración continua / entrega continua / implementación continua (CI / CD) a medida que su program se promueve de un entorno a otro. otro y mas. La auditoría del proceso de desarrollo de aplicaciones para detectar vulnerabilidades a su vez creará eficiencias en la creación de seguridad en una aplicación.

Una oportunidad perdida
Desde mi experiencia, aquellos en roles de liderazgo de seguridad no trabajan tan estrechamente con el CFO como deberían. En última instancia, las actividades preventivas de ciberseguridad tienen muchos beneficios y, potencialmente, hacen que su organización gane más dinero a largo plazo al brindar tranquilidad a los clientes, prevenir ataques y desarrollar un mejor software package en common. La mayoría de las métricas anteriores harán obligatoria la colaboración con la suite C y requerirán que los equipos trabajen estrechamente con el CFO y los equipos financieros para realizar un seguimiento de las métricas que importan. Al final, tendrá un retorno de la inversión tangible para las pruebas de lápiz y programas de seguridad más amplios.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Nabil Hannan es director basic de NetSPI. Dirige la práctica de consultoría de la compañía, centrándose en ayudar a los clientes a resolver sus necesidades de evaluación de ciberseguridad y gestión de amenazas y vulnerabilidades. Nabil tiene más de 13 años de experiencia en consultoría de ciberseguridad de su … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia unique