Picus Security veröffentlicht Leitfaden zur Messung des ROI von Sicherheitsvalidierungstools

Picus Security hat einen neuen Leitfaden mit dem Titel "Measuring BAS ROI: A CISO’s Guide to Justifying Security Validation Investments" veröffentlicht. Dieser soll Chief Information Security Officers (CISOs) dabei unterstützen, den finanziellen Nutzen von Investitionen in Sicherheitvalidierungstechnologien, insbesondere Breach and Attack Simulation (BAS), zu quantifizieren.

Der Leitfaden befasst sich mit der seit langem bestehenden Herausforderung, dass Cybersicherheit oft als Kostenfaktor und nicht als strategische Investition angesehen wird. Er hebt hervor, wie BAS-Tools messbare Nachweise für die Wirksamkeit von Sicherheitskontrollen gegenüber realen Angriffstechniken liefern und es CISOs ermöglichen, der Geschäftsleitung und den Vorständen einen greifbaren ROI nachzuweisen.

BAS-Bewertungen emulieren sicher gegnerisches Verhalten, um die Leistung von Sicherheitskontrollen wie Firewalls, Intrusion Detection Systems (IDS/IPS) und Endpoint Detection and Response (EDR)-Plattformen zu bewerten. Im Gegensatz zu theoretischen Risikobewertungen liefert BAS konkrete Daten zu Präventions-, Erkennungs- und Reaktionsraten. Die Publikation verweist auf den "Cost of a Data Breach Report" von IBM, der darauf hinweist, dass die weltweiten Durchschnittskosten aufgrund verbesserter Erkennungs- und Eindämmungsmethoden gesunken sind.

Picus Securitys Leitfaden skizziert eine Schritt-für-Schritt-Methode zur Berechnung des BAS-ROI. Ziel ist es, Organisationen mit den Daten auszustatten, die sie benötigen, um einen soliden Business Case für kontinuierliche Investitionen in die Sicherheitsvalidierung zu erstellen. Dieser Ansatz soll dazu beitragen, Sicherheitsausgaben zu einem nachweisbaren Geschäftstreiber zu machen und das Gesamtrisiko sowie die Kosten im Zusammenhang mit Cyberbedrohungen zu reduzieren.