Perustele tarvittava tietoturvabudjetti ja käytä se viisaasti

Tietoturvajohtajan on haastavaa saada budjettia kyberturvallisuudelle, sanoo Valory Batchellor, Ison-Britannian IBM Tietoturvayksikön kumppaneista vastaava tekninen johtaja. Valory on tutkinut käytettyjä ja luotettuja menetelmiä, jotka voisivat auttaa tietoturvajohtajaa perustelemaan budjettia. Yrityksien hallitukset haluavat sinnikkäästi käyttää tietoturvabudjetit nimettyihin projekteihin ja ratkaisuihin, jotka laajentavat liiketoimintaa ja tuovat lisää voittoa. Se on myös osakkeenomistajien etu.

Tietomurtojen yleistyessä, kollegat ja asiakkaat tuntuvat turtuvan murtojen mahdollisiin vaikutuksiin, mikä voi laskea heidän mielenkiintoaan panostaa suojaukseen etukäteen.

Vääristynyt turvallisuuden tunne

Yrityksen pörssikurssi tuskin laskee merkittävästi, jos se joutuu julkisen tietomurron kohteeksi. Tämä yksin voi johtaa ihmisiä harhaan, tai tuudittaa jopa täysin vääristyneeseen turvallisuuden tunteeseen.

Todellisuudessa tietomurtojen kokonaiskustannukset ovat kuitenkin jatkuvassa kasvussa. Kustannukset koostuvat useista eri tekijöistä, aina mahdollisista oikeudenkäyntikuluista muihin toimenpiteisiin, joilla pyritään minimoimaan murron vaikutukset tuotemerkin maineeseen sekä kuluttajien luottamukseen.

Joten kuinka osoittaa kyberturvallisuuteen investoimisen arvo ja perustella riittävä tietoturvabudjetti? Tietoturvabudjetilla kun ei ole varsinaista ROI:ta, jota yhtiön päättäjät ymmärtäisivät, summaa Valory.

Käytä kieltä, jota hallituskin ymmärtää

Organisaatioiden tulisi investoida tietoturvaratkaisuihin- ja palveluihin vain silloin, kun rahallisten hyötyjen voidaan olettaa olevan kustannuksia suuremmat. Tämä on toimialariippumaton ja vakiintunut tapa, jonka periaatteet myös hallituksen jäsenet ymmärtävät. Asia on helpompi ymmärtää klassisten bisnesmallien, kuten Gordon-Loebin mallin avulla: Ensin määritellään liiketoiminnan omaisuuden arvo ja haavoittuvuus potentiaalisen murron varalle. Tämän jälkeen arvioidaan, missä määrin kyseinen ratkaisu vähentää murron todennäköisyyttä. Lopuksi arvot syötetään malliin ja esitetään yksinkertaisten tilastojen avulla, miten maksimoida kyberturvallisuuteen investoitujen panostuksien tuotot.

Tietoturva vai vakuutus?

Yllättävää kyllä, joskus kaikkein ilmeisimpien haavoittuvuuksien turvaaminen voi olla kannattamatonta. Osa omaisuudesta on yksinkertaisesti järkevämpää vakuuttaa.

Kannattaa kuitenkin muistaa, että monet tietoturvaratkaisut suojaavat useampaa uhkaa vastaan. Esimerkiksi security intelligence -ratkaisut on suunniteltu turvaamaan organisaation turvallisuutta laaja-alaisesti.

Taikaluku

Gordon-Loebin mallin takana olevat tutkijat mallinsivat tosielämän skenaarioita ja huomasivat, että useimmissa käyttötapauksissa tietoturvabudjetin ei pitäisi ylittää 37 prosenttia mahdollisen murron odotetuista tappioista. (Pois lukien ne tapaukset, joissa murto voisi aiheuttaa katastrofaaliset tappiot.)

Optimoi tietoturvabudjettisi

Yrityksen tietoturvan heikkouksien arvioinnin ollessa ajankohtaista, on järkevää kääntyä tietoturva-ammattilaisten puoleen, kannattavien tietoturvainvestointien optimoimiseksi. Samasta suunnasta löytyy varmasti apu myös riskilähtöisen turvallisuusohjelman rakentamiseksi ja nykyisen tietoturvajärjestelmän optimoimiseksi sekä kulujen asettamiseksi tasolle, johon myös organisaatiosi hallitus on tyytyväinen.

Lue lisää: http://www.ibm.com/fi/security-consulting-services/

Lue Valory Batchelorin aihetta käsittelevä artikkeli kokonaisuudessaan täältä.

Kirjoittaja:

Tero Rauhala

Markkinointijohtaja, tietoturvaratkaisut, IBM