kako velik naj bo proračun za varnost
Priprava proračuna za varnost včasih ni tako preprosta. Ne glede na to, česa ne vključite v varnost, je proračun pogosto premajhen. Spodaj je opisana natančnejša priprava proračuna za varnost.
Povzetek:
| • | Uskladite proračun za varnost s poslovnimi cilji. |
| • | Po združitvi lahko pričakujete, da se bodo stroški varnosti v šestih mesecih potrojili. |
| • | Razmislite o uporabi strateških varnostnih orodij namesto začasnih rešitev. |
PricewaterhouseCoopers (PwC) in revija CSO že od leta 2002 izvajata anketo, kakšen proračun namenjajo globalna podjetja za varnost, zato sta ob peti obletnici poročila navedla nekaj splošnih trendov, ki sta jih opazila, med drugim tudi tega: »Velikost podjetja ne vpliva na porabo. Če se proračun, ki je namenjen varnosti informacij, meri kot odstotek proračuna za informacijsko tehnologijo, je ta stalen, ne glede na to, koliko zaposlenih je v podjetju in kakšni so prihodki podjetja. Velikost podjetja pri porabi denarja za varnost ni tako pomembna kot v gospodarski panogi.«
 | Če so v podjetju uveljavljene dobre varnostne prakse, ki pa ne podpirajo poslovnih pobud, lahko pride do težav. |  | | Mark Lobel
Partner,
PricewaterhouseCoopers | |
|
Po mnenju Loebla in drugih strokovnjakov je to povsem napačna strategija. Čeprav ustaljena praksa stroške varnosti enači s tremi do petimi odstotki skupnega proračuna za informacijsko tehnologijo, se ta ocena spreminja iz različnih vzrokov. Varnost ima čedalje večji pomen za podjetja, prav tako pa je danes treba zagotoviti več sredstev za upravljanje groženj kot pa pred petimi leti. Stroški varnosti naraščajo hitreje kot povprečni proračun za informacijsko tehnologijo, še hitreje pa naraščajo stroški varnostnega osebja. Če se bo ta trend še naprej nadaljeval, boste morda za varnost porabili celoten proračun za informacijsko tehnologijo.
Vsa srednja velika podjetja, ki želijo zagotoviti rast s povečanjem prihodkov ali prevzemom, morajo o varnosti razmišljati strateško in dinamično. Splošno uveljavljena strategija za pripravo proračuna je zastarela. Pri nakupu varnostnih orodij morate pazljivo razmisliti, katera boste kupili in kako te stroške uskladiti z osnovnimi poslovnimi cilji.
Težava pri pripravi proračuna
Osnovna težava pri pripravi proračuna za varnost je po mnenju Loebla v tem, da za izračun tveganja ni na voljo nobene aktuarske tabele. S tem se strinja tudi Jim Tiller, direktor varnostne službe v podjetju BT INS, ki ima sedež v mestu Santa Clara v Kaliforniji, in lastnik potrdila Microsoft Gold Certified Partner. »Če gradite stavbo, so na voljo informacije o protipožarni zaščiti, varovalnih sistemih in drugi zaščiti. To so načeloma zelo natančne informacije, na podlagi katerih je mogoče sprejeti trdne odločitve,« razlaga Tiller. Ker pa se podjetjem dolgo časa ni bilo treba ukvarjati z varnostjo v informacijski tehnologiji, ni na voljo še nobenega statistično oprijemljivega vzorca, ki bi ga bilo mogoče uporabiti za oceno stroškov, ki nastanejo zaradi vdorov ali težav. Ker morajo v proračun za varnost biti vključene tudi tehnološke rešitve za notranje (nenamerne ali namerne) in zunanje grožnje, je priprava proračuna še toliko bolj zapletena. Podvojena naložba v varnost še ne zagotavlja večje ravni varnosti.
Ključ je zamisel, ki jo strokovnjaki za IT dobro poznajo, vendar premalo uporabljajo v praksi: usklajevanje s poslovnimi cilji. »Če želite storilnost zavarovalnih agentov povečati tako, da jim omogočite uporabo brezžičnih dlančnih računalnikov, ali to zamisel podpira oddelek za IT z varnostnega stališča?« vas sprašuje Loebel. »Če so v podjetju uveljavljene dobre varnostne prakse, ki pa ne podpirajo poslovnih pobud, lahko pride do težav.«
Če želite začeti, si varnosti ne predstavljajte več kot statične spremenljivke, ampak potrebam po varnosti namenite toliko pozornosti kot drugim področjem v svojem proračunu za informacijsko tehnologijo. Določen odstotek namenite splošnemu vzdrževanju sistema in šele nato pripravite proračun za določene projekte. To pomeni, da proračun za varnost ustrezno uskladite z ravnjo varnosti, ki jo potrebuje posamezen program. Za določanje stroškov varnosti namesto odstotka skupnega proračuna uporabite proračun posameznega programa ali projekta.
Kaj je treba upoštevati pri pripravi proračuna med rastjo in ob prevzemih
Ko začnete razmišljati o naložbah v varnost, razmišljajte dolgoročno in vsestransko ter pozabite na nakup začasnih rešitev. Namesto orodja za šifriranje, ki lahko šifrira na primer le e-pošto ali mobilne naprave, kupite tako različico, ki lahko šifrira vse. Če želite rast torej zagotoviti tako, da zavarovalnim agentom omogočite uporabo dlančnih računalnikov, je že na voljo rešitev, ki podpira to novo poslovno strategijo.
Isto velja pri prevzemu podjetja. Vgrajeni sistem za upravljanje dostopa, ki upravlja digitalne identitete in določa, kako lahko zaposleni dostopajo do virov podatkov, naj ne zajema le vaših programov, ampak vse programe, ki ste jih morda dobili pri prevzemu.
Tiller trdi tudi, da je že na začetku združitve mogoče izvesti določene izračune za pripravo proračuna. Pravi, da zaradi združitev pride do zapletov in prekinitev, ki pa vedno predstavljajo varnostna tveganja. Podjetjem svetuje, naj po združitvi za vsaj šest mesecev potrojijo svoj trenutni odstotek skupne porabe denarja za varnost. »Primer je skoraj enak dejanskemu varnostnemu dogodku,« pravi Tiller. »Kratkoročno se stroški zelo povečajo, vendar pa se bodo v roku 12 do 18 mesecev ustalili.«
 | Svobodni pisatelj Howard Baldwin iz Silicijeve doline redno piše za Microsoft. Njegova dela so objavljena tudi na spletnem mestu AllBusiness.com in v reviji CIO.
|
