Wie Sie den ROI von Investitionen in Sicherheit berechnen
Sicherheit von einer Kostenstelle in einen strategischen Wert verwandeln
Trotz der jüngsten Dynamik ist Cybersicherheit noch lange nicht an die Spitze der Prioritätenliste von Unternehmen gerückt.
Sicherlich berichten viele CISOs direkt an den CEO und werden gebeten, mit dem Vorstand ihres Unternehmens über Risiken und Compliance zu sprechen. Dennoch gibt mehr als die Hälfte der Sicherheitsteams an, dass sie unterfinanziert sind, sodass sie keine wichtigen Investitionen in die Risikominderung tätigen können. Ob zu Recht oder nicht, viele Unternehmen betrachten ihr Sicherheitsteam letztlich als Kostenstelle – eine Wahrnehmung, die dazu führen kann, dass Investitionen in die Sicherheit auf der Kippe stehen, wenn die Budgets gekürzt werden oder die Finanzprognosen ins Wanken geraten.
Um diese Wahrnehmung zu ändern, müssen Sicherheitsverantwortliche viel Zeit darauf verwenden, Beziehungen zu ihren Kollegen aufzubauen und die Sicherheitsstrategie auf die allgemeinen Prioritäten des Unternehmens abzustimmen. Dabei kann es hilfreich sein, den Return on Investment (ROI) früherer Sicherheitsinvestitionen zu erörtern. Solche Messungen können anderen Führungskräften helfen, zu verstehen, wie viel Mehrwert das Sicherheitsteam bereits geschaffen hat – und sie möglicherweise davon zu überzeugen, in Zukunft ähnliche Investitionen zu unterstützen.
ROI-Messungen auf geschäftliche Prioritäten abstimmen
Bevor Sie entscheiden, welche Art von ROI Sie messen möchten und sich mit den Daten befassen, sollten die Sicherheitsverantwortlichen zunächst bestimmen, welche Botschaft sie vermitteln möchten. Jede Zahl oder Kennzahl – auch wenn sie noch so beeindruckend ist – kann willkürlich wirken, wenn sie nicht mit einer übergeordneten Unternehmenspriorität übereinstimmt.
Hier sind drei gängige digitale Prioritäten und die verschiedenen ROI-Messungen, die sie unterstützen können:
Lesen Sie weiter, um spezifische Methoden zur Durchführung jeder dieser Arten von Messungen zu erfahren.
ROI-Messung 1: Gerettete Einnahmen durch weniger Ausfälle von Webanwendungen
Es gibt viele Metriken und Scores, um das Risiko zu quantifizieren und es zu verringern. Diese Werte können natürlich für Sicherheitsteams hilfreich sein, aber für andere Personen in einem Unternehmen sind sie möglicherweise zu abstrakt, um sie zu verstehen.
Wenn Sie über die Auswirkungen von Verbesserungen der Sicherheit sprechen, sollten Sie stattdessen versuchen, diese mit einer Zahl zu verbinden, die für das gesamte Unternehmen von Bedeutung ist. Im Zusammenhang mit der Sicherheit von Webanwendungen ist eine solche Zahl der von der Webanwendung generierte Umsatz. Die Messung, wie Ihre Sicherheitsverbesserungen den Umsatz schützen, ist viel konkreter als eine isolierte Risikobewertung.
Um eine solche Messung durchzuführen, benötigen Sie die folgenden Daten:
Das Ausmaß der angriffsbedingten Ausfallzeiten, die Ihre Website vor und nach der betreffenden Investition verzeichnet hat. Idealerweise in Stunden über den Verlauf eines Jahres gemessen, da ein kürzeres Zeitfenster umsatzstarke Zeiten übersehen könnte. Wahrscheinlich ist es sinnvoll, verschiedene Versionen dieser Zahl für verschiedene Arten von Angriffen zu erhalten (z. B. DDoS-Angriffe, Schadbots).
Die stündlichen/täglichen Kosten für Ausfallzeiten Ihrer Website. Bei B2C-Unternehmen sollte Ihr E-Commerce-Team Ihnen sagen können, wie viel Umsatz Ihre Website pro Stunde generiert. Bei B2B-Unternehmen kann Ihr Marketingteam Ihnen möglicherweise sagen, wie viele Leads oder Formularausfüllungen Ihre Website pro Stunde/Tag generiert und wie hoch der durchschnittliche Wert eines Leads ist. In beiden Fällen ist ein grober Monats-/Jahresdurchschnitt ein guter Ausgangspunkt – aber Sie können auch den Durchschnitt aus bestimmten Zeiträumen nehmen (z. B. Weihnachtseinkäufe), wenn Ihre Angriffe dort besonders häufig auftreten.
Anhand dieser Zahlen können Sie genau abschätzen, wie viel Umsatz Sie geschützt haben, indem Sie mehr Angriffe einer bestimmten Art blockiert haben. Sie können diese Messung nutzen, um die Akzeptanz für eine Erweiterung des ursprünglichen Projekts zu erhöhen oder einfach um zu zeigen, dass verwandte Projekte eine bedeutende Wirkung haben werden.
ROI-Messung 2: Geringeres Risiko eines IT-Sicherheitsvorfalls bei Webanwendungen
Einige Sicherheitsinvestitionen haben keinen direkten Einfluss auf die Einnahmen – selbst dann, wenn sich ihre Investitionen ausschließlich auf die Verhinderung hypothetischer zukünftiger IT-Sicherheitsvorfälle konzentrieren. In solchen Fällen müssen die Sicherheitsverantwortlichen bei der Messung des ROI eine heikle Balance finden. Einerseits sind proprietäre Risikokennzahlen möglicherweise schwer zu erfassen. Andererseits können die durchschnittlichen Kosten von Datenpannen recht hoch sein, was als alarmierend empfunden werden kann. Und Sicherheitsverantwortliche wissen, dass sie nicht einfach versprechen können, alle künftigen Verstöße zu verhindern.
Für einen etwas maßvolleren Ansatz können Sicherheitsverantwortliche die folgenden Zahlen heranziehen:
Die Wahrscheinlichkeit, dass es in einem bestimmten Zeitraum zu einem IT-Sicherheitsvorfall kommt. Je nach den verfügbaren Daten kann es sinnvoll sein, reale Unternehmensdaten oder einen Branchen-Benchmark zu verwenden.
Die durchschnittlichen Kosten einer Datenpanne. Auch hier können Branchen-Benchmarks dazu beitragen, dass diese Zahl genauer erscheint.
Prozentualer Anteil der IT-Sicherheitsvorfälle, die von der betreffenden Angriffsfläche / dem betreffenden Angriffsvektor ausgehen.
Prozentsatz der Risikominderung durch die Sicherheitsinvestition. Verwenden Sie möglichst weithin gebräuchliche Metriken. Bei Webanwendungen kann es beispielsweise hilfreich sein zu ermitteln, wie viele der OWASP Top 10 die Sicherheitsinvestitionen adressieren oder verhindern.
Diese Zahlen ermöglichen es den Sicherheitsverantwortlichen, eine differenziertere Einschätzung der durch IT-Sicherheitsvorfälle verursachten Kosteneinsparungen zu vornehmen und ihren Kollegen eine letztlich ungewisse Idee greifbarer zu machen.
ROI-Messung 3: Kosteneinsparungen durch Zeitersparnis im Team
Bei Investitionen, die sich nicht direkt auf das Risikoprofil des Unternehmens auswirken, sollten die Sicherheitsverantwortlichen dennoch versuchen, die Auswirkungen auf die Produktivität und Effizienz des Teams nachzuweisen. Wenn Ihr Sicherheitsteam durch eine bestimmte Investition Zeit spart (oder dies womöglich bald tun könnte), wird der anfängliche Preis für andere Führungskräfte weniger besorgniserregend erscheinen. Darüber hinaus bedeutet mehr Teamzeit mehr Zeit für die strategischen Prioritäten.
Eine Möglichkeit, dies zu berechnen, erfordert die folgenden Zahlen:
Die durchschnittlichen stündlichen Kosten für die Anstellung eines Mitglieds des Sicherheitsteams. Je nach Art der Investition möchten Sie sich vielleicht auf bestimmte Teammitglieder konzentrieren, die von der Investition betroffen sind, oder hochrechnen, wie sie sich auf das gesamte Team auswirken könnte.
Die Anzahl der Stunden, die pro Woche/Monat/Jahr durch Ihre Sicherheitsinvestition eingespart werden. Dies kann eine Schätzung der durchschnittlichen Zeitdauer erfordern, die für die Erfüllung relevanter Aufgaben benötigt wird, z. B. die Beantwortung von Tickets, die Aktualisierung von Richtlinien oder das Onboarding von Nutzern. Darüber hinaus können kürzere Zeiträume für die Ressourcenplanung nützlicher sein, während längere Zeiträume für allgemeine Kosteneinsparungen besser geeignet sind.
Zusätzlich zu den oben genannten Vorteilen ergibt die Multiplikation der beiden Zahlen eine Messgröße, die die Zeitersparnis für Führungskräfte greifbar macht, die vielleicht nicht wissen, wie wertvoll Sicherheitsexperten sind.
Die richtige Sicherheitsplattform sorgt für einen höheren ROI
Sie können den Nutzen eines Sicherheitsdienstes nicht messen, wenn der Nutzen gar nicht erst eintritt. Und leider haben viele Sicherheitsplattformen strukturelle Schwächen, die die Effizienz und Sichtbarkeit, die sie bieten, aus Gründen wie diesen verringern:
Notwendigkeit der manuellen Integration und/oder zusätzlicher vereinheitlichender Dienste, damit alles gemeinsam eingesetzt werden kann
Mehrere Benutzeroberflächen für verschiedene Kategorien von Diensten
Verschiedene Dienste auf unterschiedlicher Infrastruktur, was zu Problemen bei Performance und Verfügbarkeit führt
Die Connectivity Cloud von Cloudflare – eine einheitliche Plattform mit cloudnativen Sicherheits- und Vernetzungsdiensten Sie wurde von Grund auf mit Blick auf Effizienz, Sichtbarkeit und Kontrolle entwickelt – ermöglicht durch:
Modulare, programmierbare Architektur: Dabei kann jeder Dienst auf jedem Server im Netzwerk ausgeführt werden und ist über einfache Serverless-Funktionen anpassbar.
Globale, allgegenwärtige Reichweite: Sie erstreckt sich über 335 Städte weltweit und ist mit über 13.000 anderen Netzwerken verbunden.
Funktionsübergreifende Bedrohungsdaten, die jeden Dienst unterstützen: Aus der Bereitstellung von ~20 % des gesamten Webtraffics gewonnen.
Eine einheitliche, vereinfachte Schnittstelle: Hier können Nutzer jeden Sicherheitsdienst über eine zentrale Steuerungsebene verwalten.
Kürzlich hat eine Forrester-Studie ergeben, dass ein Modellunternehmen, das für die befragten Kunden repräsentativ ist, fast eine Million USD an Einnahmen schützte, das Risiko von IT-Sicherheitsvorfällen bei Webanwendungen um 25 % reduzierte und über einen Zeitraum von drei Jahren einen ROI von 238 % erzielte.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Erfahren Sie mehr über den ROI der Connectivity Cloud von Cloudflare – einschließlich spezifischer Messungen wie dieser – im Forrester-Bericht der Total Economic Impact-Studie zur Connectivity Cloud von Cloudflare.
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Wie man den ROI verschiedener Arten von Sicherheitsmaßnahmen misst
Wie Messungen des ROIs von Sicherheitsinvestments zukünftige Investitionen begünstigen
Welche Arten von Sicherheitsplattformen den besten ROI bieten