Erste Kosten-Nutzen-Rechnung für Software-Sicherheit
Im Rahmen der Studie zur ROI-Thematik wurden Führungskräfte von 17 weltweit agierenden Kunden von Fortify befragt, darunter Fortune-500-Unternehmen aus dem Finanzdienstleistungs- und Staatssektor. Mainstay analysierte die Ergebnisse und konnte so die unterschiedlichen Vorteile, die Investitionen in SSA bieten, identifizieren, qualifizieren und quantifizieren. Die zwischen April und August dieses Jahres geführten Interviews ergaben, dass die Unternehmen, die SSA am umfassendsten und innovativsten einsetzen, auch den weitaus größten Nutzen daraus ziehen. Einsatzbeispiele hier waren u.a. die Integration von Software-Sicherheitskontrollen und Best Practices in den gesamten Anwendungs-Entwicklungszyklus, die Ausweitung des SSA-Programms auf kritische Produktbereiche mit Kundenkontakt und die Nutzung einmaliger Wertschöpfungsmöglichkeiten durch SSA. Das konkrete Ergebnis: Unternehmen mit einer solchen strategischen Ausrichtung können mithilfe von Anwendungs-Sicherheitslösungen jährlich bis zu 37 Millionen US-Dollar einsparen.
„In einer Zeit, in der IT-Budgets genau unter die Lupe genommen werden, müssen CISOs (Chief Information Security Officers) Investitionen in die Software-Sicherheit mit einer Kosten-Nutzen-Rechnung begründen“, so Roger Thornton, Gründer und CTO von Fortify. „Die Studie stellt eine gute Basis dar, um die Investitionen in ein SSA-Programm sowohl betriebswirtschaftlich als auch finanziell zu rechtfertigen. Organisationen verringern mit ihm nicht nur ihre Geschäfts- und Sicherheitsrisiken, sondern erreichen in Bezug auf die Software-Sicherheit auch eine viel größere strategische Hebelwirkung.“
Business oder IT: Wie strategisch ist Software-Sicherheit?
Die Studie von Mainstay zeigte außerdem, dass die Unterstützung der IT-Leitung einschließlich des CIO und der Leitung der Anwendungsentwicklung für die Einführung einer effektiven strategischen SSA-Lösung von zentraler Bedeutung ist. Ansonsten ist es in den meisten Fällen nicht möglich, das gesamte Potenzial einer strategischen SSA-Lösung zu nutzen. Etwa 90 Prozent der Befragten gaben an, dass die Unterstützung der Geschäftsleitung in der Regel nur gewonnen werden kann, indem die Rentabilität der SSA-Lösung anhand eines Business Case oder einer ROI-Analyse nachgewiesen wird.
Kunden, die ihre SSA-Programme optimiert hatten, profitierten u. a. von den folgenden Vorteilen:
• Reduzierung der Sicherheitslücken pro Anwendung von über 1.000 auf unter 100
• Senkung der durchschnittlichen Zeit zum Schließen von Sicherheitslücken von 1 bis 2 Wochen auf 1 bis 2 Stunden
• Rückgang des prozentualen Anteils erneut auftretender Sicherheitslücken von 80 % auf 0 %
• Senkung der Kosten für Compliance- und Penetrationstests von ca. 500.000 auf 250.000 US-Dollar
• Verringerung der Verzögerungen der Markteinführung von Produkten und Anwendungen aufgrund von Sicherheitslücken von 4+ Vorfällen (mit je 30 Tagen) auf 0
„Wir haben 30 Software-Security-Anbieter analysiert. Doch obwohl alle über den ROI reden, hat kein einziger den geschäftlichen Wert von SSA wirklich quantifiziert“, so Amir Hartman, Mitbegründer und Managing Director von Mainstay Partners. „Fortify ist das erste Unternehmen in der Branche, das den SSA-Investitionen tatsächliche Kosten- und Zeiteinsparungen gegenübergestellt hat. Mit dieser Studie erhalten Führungskräfte im Bereich der Software-Sicherheit ein Argument, um der IT- und Unternehmensleitung den Wert von SSA in ihrer eigenen Sprache zu vermitteln.“
Weitere Informationen sowie eine Zusammenfassung der Studie mit dem Titel „Does Application Security Pay? Measuring the Business Impact of Software Security Assurance Solutions“ finden Sie unter
https://www.fortify.com/....