Als IT-Sicherheitsverantwortlicher fällt es Ihnen vielleicht schwer, der Unternehmensleitung deutlich zu machen, welchen geschäftlichen Wert die Arbeit des Security-Teams hat. Vergessen Sie dabei technische Details – wichtige Entscheidungsträger interessieren sich ausschließlich für die Zahlen. Doch wenngleich die Berichte, die Sicherheitstools liefern, meist mit einer Menge von Zahlen glänzen, sind diese in der Regel technologieorientiert und haben nur selten konkreten Bezug zu den Unternehmensfinanzen und Geschäftsrisiken.
Um Sie bei dieser Herausforderung zu unterstützen, hat Qualys IDC beauftragt, mit einer Reihe unserer Unternehmenskunden aus verschiedenen Branchen eingehende Interviews zum Thema Geschäftsnutzen zu führen. Auf diese Weise wollten wir herauszufinden, wie die Kunden den geschäftlichen Nutzen von Qualys wahrnehmen. Basierend auf den Ergebnissen der Interviews, stellt IDC in dem Whitepaper The Business Value of Qualys drei grundlegende Zahlen dar, die Ihnen helfen werden, den geschäftlichen Wert der Qualys Enterprise TruRisk-Plattform für Ihre Unternehmensleitung zu beziffern:
- Durchschnittlicher jährlicher Nutzen: 102.000 USD pro 1.000 internen Usern
- 3-Jahres-Rendite der Investition: 403 % oder 5,1 Mio. USD pro Jahr
- Amortisationszeit: 5 Monate
Wie IDC feststellte, lassen sich diese Kennzahlen zum Geschäftsnutzen auf drei Stärken zurückführen. Die erste ist die Steigerung der Gesamteffizienz der Sicherheitsteams dank schnellerer Erkennung und Entschärfung von Bedrohungen. Die zweite ist die Förderung der Produktivität bei den IT-Infrastruktur-, DevOps- und Compliance-Teams. Und die dritte Stärke liegt in darin, Probleme und Zwischenfälle erheblich zu reduzieren, so etwa Sicherheitsverletzungen, ungeplante Ausfallzeiten von Anwendungen und Bußgelder für Compliance-Verstöße.
Die Sprache der Geschäftsführung sprechen
Wie wichtig eine starke Cybersicherheit ist, ist bekannt. Die ständigen Nachrichten über Sicherheitsverletzungen rauben Vorstandsmitgliedern und hochrangigen Führungskräften den Schlaf. Eine Cyberbedrohung kann die Existenz des gesamten Unternehmens aufs Spiel setzen, und die Stakeholder machen sich Sorgen, ob die Abwehr des Unternehmens diesen Gefahren standhalten kann. Als Sicherheitsverantwortlicher gehört es zu Ihren Aufgaben, ihnen zu vermitteln, dass das Risiko unter Kontrolle ist – oder zumindest deutlich reduziert wird.
Allerdings neigen Sicherheitsverantwortliche oft dazu, in der Kommunikation mit dem Management in Fachjargon zu verfallen. Und vergessen dabei, dass branchenübliche Bezeichnungen für exotische Lösungen und Prozesse, die ihnen selbst völlig selbstverständlich erscheinen, für die Finanzexperten und Risikomanager im Unternehmen reines Kauderwelsch sind.
Um dies zu illustrieren, sind im oberen Teil der nachstehenden Abbildung sechs zentrale Konzepte aufgeführt, die beschreiben, wie sich die Cyber-Risiken mit der Qualys Enterprise TruRisk-Plattform reduzieren lassen. Dabei werden Begriffe verwendet, wie Sie sie in der IT-Branche hören und in Marketingmaterialien oder auf unserer Website lesen. Der untere Teil der Abbildung zeigt, wie Sie diese Konzepte in geschäftliche Begriffe übersetzen können. Die Verwendung einer geschäftsorientierten Sprache ist ein entscheidendes Mittel, um bei Führungskräften, einschließlich CFOs, CISOs und CIOs, Gehör zu finden.
Risikosenkung, in zwei Sprachen ausgedrückt
[Text im Schaubild]
Geringeres Cyber-Risiko | |||||||
Ziel | |||||||
Technische Sprache | Einfachere Sicherheitsabläufe | Aufgabenoptimierung | Tool-Konsolidierung | Priorisierung von Bedrohungen | Schnelle Erkennung | Risikominimierung | |
Business-Sprache | Kostensenkung durch einheitliche Arbeitsabläufe über eine einzige Plattform | Schnellere Behebung von Sicherheitsproblemen dank Integration zahlreicher Tools in einer Plattform | Einfachere Sicherheitsmaßnahmen über eine Plattform-Schnittstelle für zahlreiche integrierte Tools | Schnellere Reaktionen der Teams durch risikobasierte Priorisierung | Bis zu 4x schnellere Erkennung von Geschäftsrisiken – einschließlich Zero-Days | Automatische Behebung von Risiken im gesamten Unternehmen |
Nachfolgend finden Sie sechs zahlenorientierte Stichworte, die Ihnen helfen werden, dem Management den geschäftlichen Nutzen der Qualys Enterprise TruRisk-Plattform zu erläutern. Es sind allesamt Stichworte, auf die die Analysten von IDC stießen, als sie untersuchten, wie Kunden von Qualys den Geschäftsnutzen der Plattform wahrnehmen. Anhand dieser Stichworte können Sie die drei eingangs genannten Stärken demonstrieren, die wesentlich zum Geschäftsnutzen beitragen. In dem IDC-Whitepaper The Business Value of Qualys sind sie detailliert beschrieben.
Return on Investment
IDC stellte fest, dass die Anwender von Qualys eine Kapitalrendite (ROI) von 403 % erzielen. Dabei kommt das Geld auf zweierlei Weise zurück. Zum einen werden die Gesamtinvestitionskosten (TCO) gesenkt, weil auf Einzellösungen für Aufgaben verzichtet werden kann, die in die Qualys Enterprise TruRisk-Plattform bereits integriert sind. Zum anderen lassen sich dank der optimierten Prozesse und Automatisierungsfunktionen, die die Plattform bietet, manuelle Prozesse reduzieren, was ebenfalls den ROI erhöht. Denn wie heißt es doch so schön: Zeit ist Geld – und das gilt insbesondere auch für die Fixkosten durch Löhne.
Amortisation
Die Amortisation gibt an, wie schnell der Nutzen von Qualys Ihre Anfangsinvestition aufwiegt. Die Amortisationszeit für die Qualys Enterprise TruRisk-Plattform beträgt fünf Monate. Erreicht wird diese kurze Dauer durch den Plattform-Ansatz mit drei oder mehr integrierten Lösungen. Da mehrere Teams die Plattform nutzen können, werden Arbeitsabläufe über Abteilungsgrenzen hinweg vereinfacht, zum Beispiel in den Bereichen IT, IT-Sicherheit und Compliance.
Gesamtnutzen
Der Gesamtnutzen ist der ROI plus der damit verbundene qualitative Wert der Investition in die Qualys Enterprise TruRisk-Plattform. Laut IDC erzielen die Kunden von Qualys, die für die Untersuchung befragt wurden, jeweils einen Gesamtnutzen von 5,1 Millionen USD pro Jahr. Diese Rendite steigt im Lauf der Zeit exponentiell an und erhöht sich noch einmal zusätzlich, wenn die Kunden weitere Lösungen in die Plattform integrieren.
Zeitersparnisse
Die Operationalisierung von SecOps-Prozessen mithilfe der Qualys Enterprise TruRisk-Plattform ist ein wesentlicher Faktor für Zeitersparnisse der Mitarbeiter. IDC stellte fest, dass die Sicherheitsteams bei Qualys-Anwendern um 24 % effizienter arbeiten. Die mittlere Zeit zur Problembehebung (MTTR) verbesserte sich durch die bidirektionale Integration von ITSM- und CMDB-Tools um bis zu 50 %. Die mittlere Erkennungszeit (MTTD) reduzierte sich auf vier Stunden – ein sechsmal besserer Wert im Vergleich zu Plattformen von Mitbewerbern –, und die Reaktionszeit bei kritischen CVEs betrug weniger als 24 Stunden. Die Plattform vermittelte binnen zwei Sekunden Überblick über eine hybride Infrastruktur.
Risikoverringerung
Die Kunden von Qualys, die IDC befragte, führten die erzielte Risikoverringerung vor allem auf drei Aspekte zurück: 65 % weniger ungeplante Ausfallzeiten bei Anwendungen; eine um 66 % beschleunigte Behebung von Ausfällen; und 24 % weniger Bußgelder für Compliance-Verstöße. Ungeplante Ausfälle werden durch proaktive Sicherheitsmaßnahmen vermieden, gestützt auf mehr als 25 Threat Intelligence-Quellen, Erkenntnisse aus der Bedrohungsforschung von Qualys sowie der Fähigkeit der Plattform, alle von außen zugänglichen Assets zu sehen, was die Sicherheit der Lieferkette erhöht. Für die schnellere Behebung von Ausfällen sorgen der bidirektionale Datenfluss zwischen den Tools der Plattform sowie beobachtete Verbesserungen bei den Patch-Prozessen um 89 %. Und die höhere Compliance wird durch eine 86%ige Abdeckung der MITRE ATT&CK-Richtlinien sowie die Unterstützung und Berichterstattung für 850 Richtlinien, 20.000 Kontrollen und 100 Vorschriften erreicht.
Leistungskennzahlen für die Sicherheitsteams
Wie die Untersuchung von IDC ergab, wurden mithilfe der Qualys Enterprise TruRisk-Plattform drei KPIs für das Sicherheitspersonal verbessert. Dank der wachsenden Datenbank der Plattform, die mehr als 85.000 CVEs umfasst, arbeitete das Personal bei der proaktiven Erkennung von Bedrohungen um 56 % effektiver. Bei der Reaktion auf potenzielle Bedrohungen waren die Mitarbeiter um 40 % effizienter. Zu diesen Effizienzsteigerungen trug bei, dass die Schwachstellen um bis zu 85 % reduziert werden konnten – durch risikobasierte Priorisierung sowie Nutzung der automatisierten Ablauflogik mit Skripten, die die Plattform bietet. Die Mitarbeiter konnten mit 37 % höherer Effizienz patchen und Tickets um 60 % schneller schließen – einschließlich der Behebung von Schwachstellen in kundenspezifischer First-Party-Software.
Info: IDC-Whitepaper herunterladen – The Business Value of Qualys, Whitepaper von IWC, gesponsert von Qualys, #US51057523, November 2023
#Qualys