IT-säkerhet
Skaffa den säkerhetsbudget du behöver och spendera den klokt
14/10/2016 | Skriven av: Gästbloggare
Categorized: IT-säkerhet
Share this post:
Utmaningen för alla IT-chefer är att få en tillräcklig budget för IT-säkerhet, säger Valory Batchellor, säkerhetschef, IBM Security Channel, Storbritannien. Valory har gjort en genomgång av beprövade och säkra metoder som kan vara till hjälp för IT-chefer inför en budgetpresentation. Styrelsen i ett företag ser gärna att IT-budgeten spenderas på lösningar som breddar affärsverksamheten och på så sätt genererar fler intäkter. Detta är också vad många aktieägare värdesätter.
Medan dataintrång blir allt vanligare, blir även kollegor och kunder avtrubbade till den potentiella risken för ett intrång, vilket gör dem mindre angelägna till att i förväg skydda företagets tillgångar.
En falsk säkerhetskänsla
Idag är det mindre sannolikt att företagets aktier sjunker när företaget drabbas av ett dataintrång som sedan offentliggörs. Detta kan invagga folk i en oavsiktlig, för att inte säga felaktig, känsla av säkerhet.
Sanningen är att ett intrång kostar allt mer. Denna kostnad består av flera delar, däribland kostnaderna för att dämpa skadeeffekterna, varumärkets försämrade anseende, kundernas sjunkande förtroende samt utläggen för juridiska åtgärder.
Så hur motiverar man nyttan av att investera i en väl tilltagen IT-säkerhetsbudget? Idag har företagens ansvariga svårt att förstå värdet av denna investering, menar Valory.
Tala styrelsens språk
Organisationer bör investera i säkerhetslösningar och tjänster endast när de förväntade fördelarna, i monetära termer, uppväger kostnaderna över tid. Detta är det normala sättet för hur ett företag väljer att investera, oavsett typ av investering. Talar man om budgetering bör man använda ett språk som styrelsen förstår. En vanlig ekonomisk affärsmodell, som exempelvis Gordon Loeb-modellen, kan vara till hjälp. Klassificera först värdet av tillgångarna vid ett eventuellt dataintrång och därefter risken för att ett intrång sker. Estimera därefter till vilken grad den aktuella IT-lösningen kommer att minska sannolikheten för att intrång uppstår. Lägg detta i affärsmodellen med tydliga siffror som visar lönsamheten för din föreslagna investering.
Säkerhet eller försäkring
Överraskande nog är det inte alltid bäst att skydda sina mest värdefulla tillgångar med hjälp av IT-säkerhet. Ibland kan kostnaden för ett heltäckande skydd vara orimligt hög. Dessutom är en försäkring, helt enkelt, mer lämplig vad gäller vissa typer av mindre värdefulla tillgångar.
Tänk på att många IT-säkerhetslösningar skyddar på flera plan. En lösning kan, till exempel, medvetet vara utformad för övervakning av hela organisationen och därmed vara en del av hela organisationens IT-skydd.
Den magiska siffran
Forskarna hos Gordon-Loeb har arbetat med scenarier baserade på verkliga case, De har kommit fram till att i de flesta fall bör en IT-säkerhetsbudget inte överstiga 37 procent av den förväntade förlusten som kommer till följd av en säkerhetsöverträdelse (med undantag för de fall då dataintrånget leder till katastrofala förluster).
Optimera din säkerhetsbudget
När du ska identifiera svagheter i ert IT-skydd är det klokt att vända sig till experter med målet att finna de optimala säkerhetsinvesteringarna. Samma sakkunniga kan också hjälpa dig att bygga ett riskbaserat säkerhetsprogram och samarbeta för att optimera din organisations befintliga system med målsättningen att finna en investeringsnivå som din styrelse kan acceptera.
Lär dig mer
- Forskarnas förklarande video ”Gordon-Loeb Model for Cybersecurity Investments”
- Valory Bachelors inlägg ”Get the Security Budget You Need and Spend It Wisely”
- IBM Security Consulting Services – Våra säkerhetskonsulter hjälper dig hantera risk och bibehålla gott rykte
/Thomas
Är ditt företag rustat för förödande cyberattacker?
Har du inte en plan nu, kommer du att göra planen när allt står stilla… Trots ett enormt fokus på cybersäkerhet inom näringsliv och offentlig sektor, har en hektisk arbetsmiljö medfört att många organisationer står utan planer för hur IT-ledningen ska hantera förödande cyberattacker. Något måste alltså göras. Här är tre tips som kan hjälpa företag […]
Pandemin gör nätsäkerhet viktigare än någonsin
Det var inte många veckor sedan jag skrev ett inlägg på Think-bloggen om det fantastiska arbete våra volontärer gör ute på skolorna genom initiativet ”Är du säker?” #290CyberSecurity. Ändå känns det som väldigt, väldigt länge sedan. Sedan dess har vi tvingat lära oss massor av nya ord. Ord som hemarbete, social distansering, självisolering och frivillig […]
Vad jag lärt mig efter 18 månader som säkerhetsanalytiker
I september kommer jag att ha arbetat med IT-säkerhet i fyra år och det har varit en otroligt lärorik resa. Jag har fått arbeta både som projektledare, lösningstekniker och sedan 18 månader som säkerhetsanalytiker i ett säkerhetscenter (SOC; som står för Security Operation Center). Vad har jag då lärt mig av min tid som säkerhetsanalytiker […]