보안 투자의 ROI 계산
비용 중심 보안에서 전략적 가치로 보안 전환하기
최근의 추진력에도 불구하고, 사이버 보안이 기업 우선순위 목록에서 최우선이 되는 것은 아직 갈 길이 멉니다.
많은 CISO가 CEO에게 직접 보고하며, 위험과 규제 준수에 대해서는 회사 이사회와 논의하도록 요청을 받는 경우가 확실히 많습니다. 하지만 보안팀의 절반 이상이 자금이 부족하여 위험을 줄�이기 위한 중요한 투자를 하지 못하고 있다고 이야기합니다. 공정하든 아니든, 많은 조직에서는 궁극적으로 보안팀을 비용 센터로 간주합니다. 이는 예산이 빡빡하거나 재무 예측이 불안정해질 때 보안 투자가 도마 위에 오를 수 있다는 인식입니다.
이러한 인식을 바꾸려면 보안 리더들은 동료들과 관계를 구축하고 광범위한 회사 우선순위에 맞춰 보안 전략을 조정하는 데 상당한 시간을 할애해야 합니다. 이러한 과정 중에, 이전에 투자한 증권의 투자 수익률(ROI)을 논의하는 것이 도움이 될 수 있습니다. 이러한 측정치는 동료 리더가 보안팀에서 이미 얼마나 많은 가치를 제공했는지 이해하는 데 도움이 될 수 있으며 잠재적으로 앞으로 유사한 투자를 지원하도록 설득할 수 있습니다.
비즈니스 우선순위에 따라 ROI 측정치 조정
측정할 ROI의 종류를 결정하고 데이터를 분석하기 전에, 보안 리더는 먼저 어떤 종류의 스토리를 전달하려고 할 것인지 결정해야 합니다. 아무리 인상적인 숫자나 지표도 광범위한 비즈니스 우선순위와 일치하지 않으면 무작위라고 느껴질 수 있습니다.
다음은 일반적인 디지털 우선순위 3가지와 이를 뒷받침하는 데 도움이 될 수 있는 다양한 ROI 측정 방법입니다.
계속 읽으면서 이러한 각 측정 유형을 수행하는 구체적인 방법을 알아보세요.
ROI 측정 1: ROI 측정 1: 웹 애플리케이션 중단 감소로 인한 수익 증대
위험과 그 감소를 정량화하기 위한 많은 지표와 점수가 존재합니다. 이러한 점수는 보안팀에는 물론 도움이 될 수 있지만, 조직의 다른 사람이 파악하기에는 너무 추상적이라고로 느껴질 수 있습니다.
대신, 보안 개선의 영향을 이야기할 때, 기업 전체에서 관심을 갖는 수치와 연관 짓는 것이 좋습니다. 웹 애플리케이션 보안 컨텍스트에서 그러한 숫자 중 하나가 해당 웹 애플리케이션으로 창출된 수익입니다. 보안 개선을 통해 수익이 보호되는 방식을 측정하는 것은 개별적인 위험 점수보다 훨씬 더 구체적입니다.
이러한 측정을 수행하려면 다음 데이터가 필요합니다.
해당 투자 전과 후에 웹 사이트에서 경험한 공격으로 인한 가동 중지 시간의 양. 기간이 짧으면 판매 성수기가 간과될 수 있으므로 1년이라는 시간 단위로 측정하는 것이 이상적입니다. 다양한 유형의 공격에 대해 이 수치의 다양한 버전을 얻는 것이 합리적일 가능성이 있습니다(예: DDoS, 악의적 봇).
웹 사이트 가동 중지 시간의 시간/일당 비용. B2C 기업의 경우, 전자 상거래팀은 웹 사이트가 시간당 얼마나 많은 수익을 창출하는지 알 수 있어야 합니다. B2B 기업의 경우, 마케팅팀에서 웹 사이트에서 하루에 시간당 생성되는 리드 수 또는 리드의 평균 가치를 알려줄 수 있습니다. 어느 쪽이든 광범위한 월별/연간 평균이 좋은 출발점이 됩니다. 하지만 공격이 발생하는 경향이 있는 특정 기간(예: 휴일 쇼핑)의 평균을 구할 수도 있습니다.
이 수치를 통해 특정 유형의 공격을 더 많이 차단함으로써 얼마나 많은 수익을 보호했는지를 추정할 수 있을 것입니다. 이 측정치를 이용하여 원래 프로젝트의 확장에 대한 승인을 얻거나 단순히 관련 프로젝트가 의미 있는 영향을 미칠 것임을 입증할 수 있습니다.
ROI 측정 2: 웹 애플리케이션 침해 위험 감소
일부 보안 투자는 수익에 직접적인 영향을 미치지 않습니다. 예를 들어 가상의 향후 침해를 방지하는 데 전적으로 집중하는 경우입니다. 이 경우 보안 리더는 ROI를 측정할 때 정교한 균형을 유지합니다. 한편으로 독점 위험 메트릭은 파악하기 어려울 수 있습니다. 반면에 평균 데이터 유출 비용은 상당할 수 있으므로 우려의 대상이 될 수 있습니다. 보안 리더들은 단순히 미래의 모든 유출 사고를 예방하겠다고 약속할 수 없다는 것을 알고 있습니다.
보안 �리더는 더 신중한 접근 방식을 취하기 위해 다음 수치를 사용할 수 있습니다.
지정된 기간에 유출을 경험할 가능성. 사용 가능한 데이터에 따라 실제 회사 데이터 또는 업계 벤치마크를 사용하는 것이 합리적일 수 있습니다.
데이터 유출의 평균 비용. 다시 말하지만, 이 수치가 더 정확한 느낌을 주도록 하는 데 업계 벤치마크가 도움이 될 수 있습니다.
해당 공격면/벡터에서 시작된 유출의 비율.
보안 투자를 통한 위험 감소 비율(%). 최대한 널리 허용되는 메트릭을 사용하세요. 예: 웹 애플리케이션의 경우 해당 보안 투자가 OWASP 상위 10개 항목 중 얼마나 많은 항목을 해결하거나 방지하는지 결정하는 데 도움이 될 수 있습니다.
보안 리더는 이러한 수치를 통해 유출 관련 비용 절감을 좀 더 세밀하게 추정할 수 있고, 동료 리더는 궁극적으로 불확실한 아이디어를 보다 구체화된 방식으로 파악하는 데 도움을 받을 수 있습니다.
ROI 측정 3: 팀 시간 절약을 통한 비용 절감
조직의 위험 프로필에 직접적인 영향을 미치지 않는 투자의 경우에도 보안 리더는 팀 생산성과 효율성에 미치는 영향을 입증하려고 노력해야 합니다. 보안 팀에서 특정 투자를 통해 시간을 절약하거나 그런 입장을 취할 경우 동료 리더에게는 초기 비용이라는 가격표가 덜 우려될 수 있습니다. 또한 팀에서 시간을 더 많이 할애한다는 것은 전략적인 작업에 더 많은 시간을 투자할 수 있다는 것을 의미합니다.
이를 계산하는 한 가지 방법에는 다음 수치가 필요합니다.
보안팀원 고용의 평균 시간당 비용. 투자의 성격에 따라 투자로 인해 영향을 받는 특정 팀 구성원에 초점을 맞추거나 투자가 팀 전체에 영향을 미칠 수 있는 방식을 추정할 수 있기를 원할 수 있습니다.
보안 투자에 따라 주당/월간/연간 절약된 시간. 여기에는 관련 작업을 수행하는 데 걸리는 평균 시간을 일부 추정하는 일이 포함될 수 있습니다(예: 티켓 응답, 정책 업데이트, 사용자 온보딩). 또한 리소스 계획 목적으로는 짧은 기간이 더 유용할 수 있는 반면, 전반적인 비용 절감 맥락에서는 긴 기간이 더 적합할 수 있습니다.
앞서 언급한 이점 외에도 두 수치를 곱하면 보안 실무자의 가치를 인식하지 못할 수도 있는 리더의 경우 시간 절약을 실제로 확인할 수 있습니다.
보안 플랫폼이 적절하면 더 높은 ROI를 달성할 수 있습니다
애초에 보안 서비스의 이점이 발생하지 않으면 보안 서비스의 이점을 측정할 수 없습니다. 그리고 불행히도 많은 보안 플랫폼에는 다음과 같은 이유로 제공하는 효율성과 가시성이 줄어들게 되는 구조적 결함이 있습니다.
모든 것이 연동되게 하기 위해 수동 통합 및/또는 추가 통합 서비스가 필요한 경우
다양한 서비스에 대한 다수의 UI
서로 다른 인프라상의 다양한 서비스로 인해 성능 및 가용성 문제가 발생
클라우드 네이티브 보안 및 연결성 서비스의 통합 플랫폼인 Cloudflare 클라우드 연결성은 다릅니다. 다음을 통해 처음부터 효율성, 가시성, 제어를 염두에 두고 구축되었습니다.
구성 가능하고 프로그래밍 가능한 아키텍처: 모든 서비스를 네트워크의 모든 서버에서 실행할 수 있고 간편한 서버리스 기능을 통해 사용자 정의할 수 있습니다.
글로벌 유비쿼터스 범위: 전 세계 335여 개의 도시에 걸쳐 있으며 13,000여 개의 다른 네트워크와 상호 연결됩니다.
모든 서비스를 지원하는 교차 기능 위협 인텔리전스: 전체 웹 트래픽의 최대 20%를 처리하여 수집됩니다.
통합되고 간소화된 인터페이스: 사용자가 단일 제어판에서 모든 보안 서비스를 관리할 수 있습니다.
Forrester의 최근 연구에 따르면 인터뷰에 응한 고객으로 구성된 복합 조직에서는 3년 동안 거의 백만 달러의 수익을 보호하고 웹 애플리케이션 침해 위험을 25% 줄였으며 238%의 ROI를 달성했다고 밝혔습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
Forrester의 Cloudflare의 클라우드 연결성의 전체 경제적 영향 보고서에서 Cloudflare의 클라우드 연결성의 ROI(이와 같은 구체적인 측정치 포함)에 대해 알아보세요.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
다양한 유형의 보안 노력에 대한 ROI 측정 방법
보안 ROI 측정이 미래 투자를 뒷받침하는 방법
최고의 ROI를 제공하는 보안 플랫폼 유형