Skaffa den säkerhetsbudget du behöver och spendera den klokt

Share this post:

Thomas Dahlbeck,
Senior Managing Consultant, IBM Security

Utmaningen för alla IT-chefer är att få en tillräcklig budget för IT-säkerhet, säger Valory Batchellor, säkerhetschef, IBM Security Channel, Storbritannien. Valory har gjort en genomgång av beprövade och säkra metoder som kan vara till hjälp för IT-chefer inför en budgetpresentation. Styrelsen i ett företag ser gärna att IT-budgeten spenderas på lösningar som breddar affärsverksamheten och på så sätt genererar fler intäkter. Detta är också vad många aktieägare värdesätter.

Medan dataintrång blir allt vanligare, blir även kollegor och kunder avtrubbade till den potentiella risken för ett intrång, vilket gör dem mindre angelägna till att i förväg skydda företagets tillgångar.

En falsk säkerhetskänsla
Idag är det mindre sannolikt att företagets aktier sjunker när företaget drabbas av ett dataintrång som sedan offentliggörs. Detta kan invagga folk i en oavsiktlig, för att inte säga felaktig, känsla av säkerhet.

Sanningen är att ett intrång kostar allt mer. Denna kostnad består av flera delar, däribland kostnaderna för att dämpa skadeeffekterna, varumärkets försämrade anseende, kundernas sjunkande förtroende samt utläggen för juridiska åtgärder.

Så hur motiverar man nyttan av att investera i en väl tilltagen IT-säkerhetsbudget? Idag har företagens ansvariga svårt att förstå värdet av denna investering, menar Valory.

Tala styrelsens språk
Organisationer bör investera i säkerhetslösningar och tjänster endast när de förväntade fördelarna, i monetära termer, uppväger kostnaderna över tid. Detta är det normala sättet för hur ett företag väljer att investera, oavsett typ av investering. Talar man om budgetering bör man använda ett språk som styrelsen förstår. En vanlig ekonomisk affärsmodell, som exempelvis Gordon Loeb-modellen, kan vara till hjälp. Klassificera först värdet av tillgångarna vid ett eventuellt dataintrång och därefter risken för att ett intrång sker. Estimera därefter till vilken grad den aktuella IT-lösningen kommer att minska sannolikheten för att intrång uppstår. Lägg detta i affärsmodellen med tydliga siffror som visar lönsamheten för din föreslagna investering.

Säkerhet eller försäkring
Överraskande nog är det inte alltid bäst att skydda sina mest värdefulla tillgångar med hjälp av IT-säkerhet. Ibland kan kostnaden för ett heltäckande skydd vara orimligt hög. Dessutom är en försäkring, helt enkelt, mer lämplig vad gäller vissa typer av mindre värdefulla tillgångar.

Tänk på att många IT-säkerhetslösningar skyddar på flera plan. En lösning kan, till exempel, medvetet vara utformad för övervakning av hela organisationen och därmed vara en del av hela organisationens IT-skydd.

Den magiska siffran
Forskarna hos Gordon-Loeb har arbetat med scenarier baserade på verkliga case, De har kommit fram till att i de flesta fall bör en IT-säkerhetsbudget inte överstiga 37 procent av den förväntade förlusten som kommer till följd av en säkerhetsöverträdelse (med undantag för de fall då dataintrånget leder till katastrofala förluster).

Optimera din säkerhetsbudget
När du ska identifiera svagheter i ert IT-skydd är det klokt att vända sig till experter med målet att finna de optimala säkerhetsinvesteringarna. Samma sakkunniga kan också hjälpa dig att bygga ett riskbaserat säkerhetsprogram och samarbeta för att optimera din organisations befintliga system med målsättningen att finna en investeringsnivå som din styrelse kan acceptera.

Lär dig mer

• Forskarnas förklarande video ”Gordon-Loeb Model for Cybersecurity Investments”
• Valory Bachelors inlägg ”Get the Security Budget You Need and Spend It Wisely”
• IBM Security Consulting Services – Våra säkerhetskonsulter hjälper dig hantera risk och bibehålla gott rykte

/Thomas

Följ mig gärna på: Twitter och  LinkedIn