Sørg for å ha sikkerhet med i budsjettet og bruk det klokt

Share this post:

Det er utfordrende for en Chief Information Security Officer å få nødvendige andel av budsjett til sikkerhet, sier Valory Batchellor, teknisk sikkerhetssjef hos IBM Security. Styret ønsker å bruke IT-budsjetter på nye prosjekter og løsninger som skal bidra til å utvikle virksomheten og øke inntjeningen. Det er dette aksjonærene verdsetter.

Datainnbrudd har blitt mer vanlig og Kripos viser til store mørketall for denne type virksomhet som rammer vårt næringsliv. Dette fører til at vi vennes til risikoen og blir mindre oppmerksomme på de potensielle farene og konsekvensene et slikt innbrudd kan få. Som resultat ender man  ofte med å nedprioriterer beskyttende tiltak.

Falsk trygghet

Nå er det redusert sannsynlighet for at et selskaps aksjekurs vil falle dersom det blir utsatt for et datainnbrudd, selv om dette blir offentlig kjent. Dette kan få et selskap til å føle en falsk trygghet.

Realiteten er at totalkostnadene forbundet med datainnbrudd har steget. Kostnadsbildet er sammensatt og utgiftene kan bli svært omfattende. Det koster både å redusere virkningen av et pågående innbrudd, opprydding i etterkant, tap av omdømme, forbrukertillit, og kostnader forbundet med søksmål.

Så hvordan kan en Chief Information Security Officer bevise at det faktisk er verdifullt å investere i sikkerhet og rettferdiggjøre et forsvarlig sikkerhetsbudsjett? Dette er en type ROI de færreste økonomiavdelinger forstår, sier Valerie.

Snakk styrets språk

Organisasjonen bør kun investere i sikkerhetsløsninger og tjenester dersom forventede fordeler – i kroner og øre – veier opp for kostnadene. Investeringer utover dette er som regel ikke aktuelt. Dette er den vanlige måten selskaper avgjør hvordan de skal investere i sikkerhet, og er et budsjetteringsspråk styret forstår.

Derfor er det viktig å først klassifisere verdiene av eiendelene ut i fra hva et eventuelt datainnbrudd vil bety økonomisk, og se dette i sammenheng med hvor sårbart selskapet er for en inntrengning. Beregn deretter i hvilken grad den aktuelle løsningen vil redusere sannsynligheten for et innbrudd. Ved hjelp av noen enkle oppstillinger viser dette deg hvordan du kan maksimere avkastningen på sikkerhetsinvesteringen.

Sikkerhet versus forsikring

Å beskytte de mest åpenbare verdiene er – overraskende nok – ikke alltid det smarteste. Noen ganger er prisen for full beskyttelse av de mest sårbare eiendelene uhensiktsmessig høy. Du oppnår nødvendigvis ikke en best mulig ROI ved å beskytte flest mulig eiendeler. På mange måter er dette sunn fornuft: Sannsynligheten for at noen eiendeler blir utsatt for inntrengning er svært liten fordi eiendelene har så lav verdi at full beskyttelse sjelden vil svare seg økonomisk.

Mange sikkerhetsløsninger er med på å beskytte mer enn én ressurs. En sikkerhetsovervåkingsløsning og håndtering av hendelser er for eksempel bevisst utformet for å virke bredt og ha en betydelig effekt på hele organisasjonens holdning til sikkerhet.

Det magiske tallet

Forskerne har testet ut sine modeller mot virkelige scenarioer, og fant ut at for de fleste bruksområder bør ikke sikkerhetsbudsjettet overstige 37 prosent av forventede tap som følge av sikkerhetsbrudd. Dette er balansepunktet der kostnadene vanligvis (men ikke alltid) begynner å overstige fordelene. Forskerne har gitt eksempler på tilfeller hvor dette ikke gjelder, f.eks. i situasjoner der innbrudd førte til katastrofale tap.

Optimaliser ditt sikkerhetsbudsjett

Når det er på tide å vurdere sikkerheten og hvor sårbart ditt selskap er, er det lurt å kontakte sikkerhetseksperter for å beregne optimal investering i sikkerhet. De samme fagfolkene kan også hjelpe deg med å bygge et risikobasert sikkerhetsprogram, og hjelpe til med å optimalisere det eksisterende sikkerhetssystemet for å redusere kostnadene til et optimalt nivå som styret ditt vil være fornøyd med.

Få mer informasjon om IBMs sikkerhetstjenster her her.

Du kan lese Valory Batchelors artikkel om emnet her.