Infrastruktur
Sørg for å ha sikkerhet med i budsjettet og bruk det klokt
november 2, 2016 | Written by: Tommy Bårdevik
Categorized: Infrastruktur
Share this post:
Det er utfordrende for en Chief Information Security Officer å få nødvendige andel av budsjett til sikkerhet, sier Valory Batchellor, teknisk sikkerhetssjef hos IBM Security. Styret ønsker å bruke IT-budsjetter på nye prosjekter og løsninger som skal bidra til å utvikle virksomheten og øke inntjeningen. Det er dette aksjonærene verdsetter.
Datainnbrudd har blitt mer vanlig og Kripos viser til store mørketall for denne type virksomhet som rammer vårt næringsliv. Dette fører til at vi vennes til risikoen og blir mindre oppmerksomme på de potensielle farene og konsekvensene et slikt innbrudd kan få. Som resultat ender man ofte med å nedprioriterer beskyttende tiltak.
Falsk trygghet
Nå er det redusert sannsynlighet for at et selskaps aksjekurs vil falle dersom det blir utsatt for et datainnbrudd, selv om dette blir offentlig kjent. Dette kan få et selskap til å føle en falsk trygghet.
Realiteten er at totalkostnadene forbundet med datainnbrudd har steget. Kostnadsbildet er sammensatt og utgiftene kan bli svært omfattende. Det koster både å redusere virkningen av et pågående innbrudd, opprydding i etterkant, tap av omdømme, forbrukertillit, og kostnader forbundet med søksmål.
Så hvordan kan en Chief Information Security Officer bevise at det faktisk er verdifullt å investere i sikkerhet og rettferdiggjøre et forsvarlig sikkerhetsbudsjett? Dette er en type ROI de færreste økonomiavdelinger forstår, sier Valerie.
Snakk styrets språk
Organisasjonen bør kun investere i sikkerhetsløsninger og tjenester dersom forventede fordeler – i kroner og øre – veier opp for kostnadene. Investeringer utover dette er som regel ikke aktuelt. Dette er den vanlige måten selskaper avgjør hvordan de skal investere i sikkerhet, og er et budsjetteringsspråk styret forstår.
Derfor er det viktig å først klassifisere verdiene av eiendelene ut i fra hva et eventuelt datainnbrudd vil bety økonomisk, og se dette i sammenheng med hvor sårbart selskapet er for en inntrengning. Beregn deretter i hvilken grad den aktuelle løsningen vil redusere sannsynligheten for et innbrudd. Ved hjelp av noen enkle oppstillinger viser dette deg hvordan du kan maksimere avkastningen på sikkerhetsinvesteringen.
Sikkerhet versus forsikring
Å beskytte de mest åpenbare verdiene er – overraskende nok – ikke alltid det smarteste. Noen ganger er prisen for full beskyttelse av de mest sårbare eiendelene uhensiktsmessig høy. Du oppnår nødvendigvis ikke en best mulig ROI ved å beskytte flest mulig eiendeler. På mange måter er dette sunn fornuft: Sannsynligheten for at noen eiendeler blir utsatt for inntrengning er svært liten fordi eiendelene har så lav verdi at full beskyttelse sjelden vil svare seg økonomisk.
Mange sikkerhetsløsninger er med på å beskytte mer enn én ressurs. En sikkerhetsovervåkingsløsning og håndtering av hendelser er for eksempel bevisst utformet for å virke bredt og ha en betydelig effekt på hele organisasjonens holdning til sikkerhet.
Det magiske tallet
Forskerne har testet ut sine modeller mot virkelige scenarioer, og fant ut at for de fleste bruksområder bør ikke sikkerhetsbudsjettet overstige 37 prosent av forventede tap som følge av sikkerhetsbrudd. Dette er balansepunktet der kostnadene vanligvis (men ikke alltid) begynner å overstige fordelene. Forskerne har gitt eksempler på tilfeller hvor dette ikke gjelder, f.eks. i situasjoner der innbrudd førte til katastrofale tap.
Optimaliser ditt sikkerhetsbudsjett
Når det er på tide å vurdere sikkerheten og hvor sårbart ditt selskap er, er det lurt å kontakte sikkerhetseksperter for å beregne optimal investering i sikkerhet. De samme fagfolkene kan også hjelpe deg med å bygge et risikobasert sikkerhetsprogram, og hjelpe til med å optimalisere det eksisterende sikkerhetssystemet for å redusere kostnadene til et optimalt nivå som styret ditt vil være fornøyd med.
Få mer informasjon om IBMs sikkerhetstjenster her her.
Du kan lese Valory Batchelors artikkel om emnet her.
Confidential Computing: sikker prosessering av sensitive data
Prosessering av store mengder sensitive data har vært en utfordring. Med Confidential Computing løses problemet. Private og offentlige virksomheter har de siste årene i økende grad tatt i bruk skytjenester for å prosessere og lagre data. Gjennom pandemien det siste året har vi sett at virksomhetene har flyttet ytterligere volum av forretningskritiske data opp […]
Kvantesikkerhet vil sikre deg mot morgendagens cyberkriminelle
I 2020 ble alle aspekter av livet, fra jobb og studier til underholdning og sosialt samvær, digitalisert. I takt med ny banebrytende teknologi og økende avhengighet av skytjenestene som muliggjør utviklingen, øker også sikkerhetskravene. IBM Research har lansert sine spådommer for 2021. Selv om mye er usikkert fremover, er det helt klart at hybride skyløsninger […]
Yngre utgave av datamaskinens mor
Først publisert i Computerworld 25. september 2019. KOMMENTAR: Vi tar for gitt at de tekniske løsningene vi omgir oss med fungerer. Det kan vi takke «datamaskinenes mor» for. Mainframe – eller IBM Z – lever i beste velgående. Har du noen gang tenkt på hvor mye av hverdagen du tar for gitt? Mobilen vekker deg om […]