Planowanie wydatków na zabezpieczenia

Oszacowanie kosztów zabezpieczeń może być trudne. Niezależnie od tego, ile zostanie zaplanowane, fundusze często są niewystarczające. Poniżej przedstawiono sposób bardziej precyzyjnego planowania.

Streszczenie:

Firma PricewaterhouseCoopers (PwC) i magazyn CSO od 2002 roku prowadzą wśród globalnych firm ankietę na temat ich budżetów na zabezpieczenia. W piątą rocznicę raportu przedstawiono ogólne trendy, które zostały zaobserwowane, w tym następujący: „Wielkość firmy nie wpływa na wydatki. Kiedy budżet na zabezpieczenia informatyczne jest mierzony jako procent budżetu na informatykę, pozostaje wartością stałą, niezależnie od liczby pracowników lub jej przychodów. Wielkość firmy ma mniejszy wpływ na wydatki na zabezpieczenia niż jej branża.”

W tarapatach mogą znaleźć się firmy, które stosują właściwe zasady bezpieczeństwa, ale nie uwzględniają inicjatyw biznesowych. Mark Lobel partner PricewaterhouseCoopers

Jak uważa Lobel i inni eksperci, jest to całkowicie błędna strategia. Konwencjonalne zasady mówią, że koszty zabezpieczeń wynoszą od trzech do pięciu procent całkowitego budżetu na informatykę, ale te szacunki zmieniają się z różnych przyczyn. Jedną z nich jest wzrost znaczenia bezpieczeństwa dla firm. Po drugie, zarządzanie zagrożeniami wymaga obecnie większych zasobów niż jeszcze kilka lat temu. Koszt zabezpieczeń rośnie znacznie szybciej niż przeciętny budżet na informatykę, a jeszcze szybciej rosną wydatki na zatrudnienie specjalistów ds. zabezpieczeń. Gdyby ten trend rozwijał się bez końca, wydatki na zabezpieczenia pochłonęłyby cały budżet na informatykę.

Każda średnia firma, która chce się rozwijać poprzez zwiększenie przychodów lub przejęcia, musi myśleć o zabezpieczeniach zarówno strategicznie, jak i dynamicznie. Uniwersalna strategia budżetowania jest bezcelowa. Zamiast tego należy dokładnie rozważyć kupowane narzędzia zabezpieczające, dlaczego są one kupowane, a także jak te wydatki uwzględniają podstawowe cele biznesowe.

Problem budżetowania

Podstawowym problemem związanym z budżetowaniem, narzeka Lobel, jest brak tabel ubezpieczeniowych umożliwiających obliczanie ryzyka. Wtóruje mu Jim Tiller, kierownik ds. zabezpieczeń w firmie BT INS z Santa Clara w Stanach Zjednoczonych, będącej partnerem Microsoft Gold Certified Partner. „Podczas wznoszenia budynku dostępne są informacje dotyczące ochrony przeciwpożarowej, zamków i innych zabezpieczeń. Są to dokładne informacje historyczne, na podstawie których można podejmować rozsądne decyzje”, wyjaśnia Tiller. Ponieważ firmy zajmują się bezpieczeństwem informatycznym dopiero od pewnego czasu, brakuje próbki, która byłaby istotna statystycznie i umożliwiłaby ocenę kosztów naruszeń lub problemów. Sytuację jeszcze bardziej komplikuje fakt, iż budżet przeznaczony na zabezpieczenia musi obejmować rozwiązania technologiczne zarówno dla zagrożeń wewnętrznych (przypadkowych lub celowych), jak i dla zagrożeń zewnętrznych. Co gorsza, podwojenie inwestycji w zabezpieczenia nie oznacza, że firma będzie dwa razy bezpieczniejsza.

Kluczem jest dobrze znana w informatyce koncepcja, która nie jest jednak często stosowana: zapewnienie zgodności z celami biznesowymi. „Jeśli w celu zwiększenia wydajności agenci ubezpieczeniowi zaczynają korzystać z bezprzewodowych komputerów kieszonkowych, czy dział informatyczny zapewnia wsparcie dla tej inicjatywy pod względem zabezpieczeń?”, pyta Lobel. „W tarapatach mogą znaleźć się firmy, które stosują właściwe zasady bezpieczeństwa, ale nie uwzględniają inicjatyw biznesowych.”

Przede wszystkim należy zaprzestać postrzegania bezpieczeństwa jako zmiennej statycznej. Potrzeby w zakresie zabezpieczeń należy spełniać w podobny sposób jak w przypadku innych części budżetu działu informatycznego: określony procent należy przydzielić na ogólną konserwację systemu, a następnie określić budżet dla poszczególnych projektów. Innymi słowy, budżet na zabezpieczenia należy odpowiednio dostosować do poziomu zabezpieczeń wymaganego przez każdą aplikację. Aby określić koszty zabezpieczeń, można używać procentu budżetu dla każdej aplikacji lub projektu, a nie procentu ogólnego budżetu.

Kwestie budżetu podczas rozwoju lub przejęć

Rozpoczynając planowanie inwestycji w zabezpieczenia, należy myśleć długoterminowo i wszechstronnie, a nie kupować pojedyncze rozwiązania. Na przykład zamiast narzędzia szyfrującego, które obsługuje tylko pocztę e-mail lub urządzenia mobilne, należy wyszukać rozwiązanie wykonujące oba typy zadań. Jeśli w ten sposób zostaną uwzględnione możliwości rozwoju, to we wcześniejszym przykładzie z przekazaniem agentom ubezpieczeniowym urządzeń kieszonkowych dostępne będzie już rozwiązanie obsługujące nową strategię biznesową.

Odnosi się to również do przejęcia innej firmy. Zintegrowany system zarządzania dostępem, który zarządza tożsamościami cyfrowymi i określa sposób dostępu pracowników do zasobów danych, powinien obejmować nie tylko aplikacje używane w firmie, ale także aplikacje uzyskane w wyniku przejęcia.

Jednak jak mówi Tiller, nawet w momencie dokonania fuzji można dokonać pewnych specyficznych obliczeń budżetowych. „Fuzje powodują zwiększenie poziomu złożoności i brak ciągłości, a także zawsze są przyczyną nowych problemów z bezpieczeństwem”, mówi. Zaleca firmom, aby na okres co najmniej sześciu miesięcy od dokonania fuzji potroiły procent ogólnych wydatków przeznaczanych na zabezpieczenia. „W dużej mierze przypomina to konieczność rozwiązania problemu z rzeczywistym zagrożeniem bezpieczeństwa”, mówi Tiller. „W krótkim okresie konieczne jest zwiększenie wydatków, ale koszty ulegną normalizacji po upływie od 12 do 18 miesięcy”.

Howard Baldwin mieszka w Dolinie Krzemowej, jest niezależnym publicystą i regularnie pisze artykuły dla firmy Microsoft. Jego publikacje pojawiały się także w witrynie AllBusiness.com i magazynie CIO.

Do początku strony