Güvenlik için bütçe hazırlama
Güvenlik harcamalarınızı tahmin etmek zor olabilir. Ne kadar ayırırsanız ayırın, çoğunlukla yetersiz kalır. Burada nasıl daha eksiksiz bir plan yapabileceğiniz anlatılmaktadır.
Özetle:
| • | Güvenlik bütçelerini iş hedefleriyle uyumlu hale getirin. |
| • | Bir birleşme sonrasında güvenlik giderlerinizin en az altı ay süreyle üç katına çıkacağını göz önüne alın. |
| • | Nokta çözümleri yerine stratejik güvenlik araçlarından yararlanmayı dikkate alın. |
PricewaterhouseCoopers (PwC) ve CSO dergisi global şirketlerin 2002'den bu yana güvenlik bütçeleri hakkında bir araştırma yapıyordu ve raporun beşinci yıldönümünde, belirledikleri bazı genel eğilimleri ortaya koydular, örneğin: "Şirketin büyüklüğü harcamaları etkilemiyor. Bilgi güvenliği bütçesi BT bütçesinin yüzdesi olarak ölçüldüğünde, şirketin çalışan sayısı ve gelir düzeyi ne olursa olsun bu bütçe sabit kalıyor. Güvenlik harcamaları açısından şirketin büyüklüğü, endüstride olduğu kadar önemli değil."
 | İyi güvenlik uygulamalarınız varsa ancak bunlar işletmenin girişimlerine uygun değilse, bir sorununuz var demektir. |  | | Mark Lobel
Ortak,
PricewaterhouseCoopers | |
|
Lobel'e ve diğer uzmanlara göre bu baştan sona yanlış bir strateji. Sağduyulu bir yaklaşımda güvenlik giderleri toplam BT bütçesinin yüzde üçüyle beşi arasında bir yer tutuyor olsa da, bu tahmin çeşitli nedenlerle değişiklik gösterebilir. Bu nedenlerden biri güvenliğin şirketlerde giderek daha çok önem kazanmasıysa, bir diğeri de bugün tehditlerle ilgilenmenin birkaç yıl öncesine göre bile çok daha fazla kaynak gerektirmesidir. Güvenlik giderleri ortalama BT bütçesinden daha hızlı artıyor ve güvenlik personelinin giderlerinde daha bile hızlı bir artış yaşanıyor. Bu eğilim belirsiz bir süre devam ederse, güvenlik BT bütçenizin tümünü tüketebilir.
Gelir artışı sağlayarak veya şirket satın alma yoluyla büyümek isteyen orta ölçekli şirketlerde, güvenlik konusu stratejik ve dinamik olarak ele alınmalıdır. Evrensel bir bütçe stratejisi anlamsızdır. Bunun yerine, hangi güvenlik araçlarını satın aldığınıza, bunları neden satın aldığınıza ve bu harcamanın çekirdek iş hedeflerinizle uyumlu olup olmadığına çok dikkat etmelisiniz.
Bütçe sorunu
Lobel, güvenlik bütçesi hazırlamanın en temel sorununun, risk hesaplaması için aktüaryal bir tablo bulunmayışı olarak belirtiyor. Santa Clara, California merkezli bir Microsoft Gold Sertifikalı İş Ortağı olan BT INS'in güvenlik yöneticisi Jim Tiller ise, "Bir bina inşa ediyorsanız, elinizde yangından korunma, kilitler ve diğer korumalar hakkında bilgi bulunur. Ancak geçmişten gelen doğru bilgiler temelinde anlamlı kararlar alabilirsiniz" diye açıklıyor. Ancak şirketlerin BT güvenliğiyle ilgilenmeleri uzun bir geçmişe dayanmadığından, ihlallerin ve sorunların maliyetini değerlendirirken kullanılabilecek, istatistiksel açıdan anlamlı örnekler yok. Güvenlik bütçenizin hem iç (yanlışlıkla veya bilerek) hem de dış tehditler için teknolojik çözümleri de kapsamasının gerekliliği, durumu iyice karmaşık hale getiriyor. Daha da kötüsü, güvenlik yatırımlarınızı iki katına çıkarmanız, güvenliğinizin iki kat arttığı anlamına gelmiyor.
Bunun anahtarı, BT'nin yakından tanıdığı ancak belki iyi uygulanamayan bir kavram: iş hedefleriyle uyumluluk. Lobel, "Sigorta acentelerinde verimliliği artırmak için kablosuz el bilgisayarlarına geçiyorsanız, BT bu girişimi güvenlik açısından destekleyebiliyor mu?" diye soruyor. "İyi güvenlik uygulamalarınız varsa ancak bunlar işletmenin girişimlerine uygun değilse, bir sorununuz var demektir."
Başlangıç olarak, güvenlik kavramını statik bir parametre olarak değerlendirmekten kaçının. Bunun yerine, BT bütçenizde güvenlik gereksinimlerini de diğer alanlar gibi değerlendirin: Genel sistem bakımına belirli bir yüzde ayırın ve sonra tek tek projeleri bütçelendirin. Başka bir deyişle, güvenlik bütçenizi her uygulamanın gerektirdiği güvenlik düzeyine uygun hale getirin. Güvenlik giderlerini saptamak için, genel bütçenin yüzdesi yerine her uygulamanın veya projenin bütçe yüzdesini kullanın.
Büyüme ve şirket alımlarında bütçeyle ilgili dikkat edilecek noktalar
Güvenlik yatırımlarınızın ayrıntılı planlamasını yapmaya başladığınızda, nokta çözümler satın almak yerine uzun vadeli ve kapsamlı düşünün. Örneğin, yalnızca e-postayı veya taşınabilir aygıtları hedefleyen bir şifreleme aracı yerine her ikisini de kapsayan bir araç arayın. Bu yolla, sigortacılara el bilgisayarları vermeyle ilgili önceki örneğimizde belirtilen şekilde bir büyümeyi hedeflerseniz, bu yeni iş stratejisini kapsayan bir çözüm zaten elinizin altında olacaktır.
Bir şirket satın aldığınızda da aynı durum geçerlidir. Dijital kimlikleri yöneten ve çalışanların veri kaynaklarına nasıl erişebileceğini belirleyen entegre bir erişim yönetimi sistemi, yalnızca kendi uygulamalarınızı değil, satın alınan şirketle gelebilecek uygulamaları da kapsamalıdır.
Böyle bir durum da olsa, Tiller "birleşmenin gerçekleştiği dönemde yapabileceğiniz belirli bütçe hesaplamaları vardır", diyor. "Birleşmeler karmaşa ve kesintileri beraberinde getirir ve bu da her zaman yeni güvenlik sorunları çıkarır" diye belirtiyor. En azından birleşmeyi izleyen altı ay boyunca şirketlerin geçerli genel güvenlik harcamalarının yüzdesini üç kat artırmalarını öneriyor. Tiller, "Bu aynı gerçek bir güvenlik vakasıyla ilgilenmeye benzer," diyor. "Kısa vadede artan harcamalarla karşı karşıya kalırsınız ama 12 ile 18 ay arasında giderler normale düzeyine döner."
 | Silikon Vadisi'nde serbest olarak çalışan Howard Baldwin Microsoft için düzenli olarak yazmaktadır. Çalışmaları AllBusiness.com'da ve CIO'da da yayınlanmıştır.
|
