När jag arbetade som CIO tyckte jag en av de svåraste utmaningarna var att räkna hem investeringar i IT-säkerhet. Att mäta nytta är inte enkelt, helt enkelt. Men metoderna som används har blivit bättre och idag är det möjligt att väga fördelar mot kostnader och få fram en summa. Därmed kan vi förutspå hur kostnadseffektivt en insats kan förhindra intrång.

En bra början är att sätta siffror på vad ett intrång skulle kosta. Dessa kan sedan användas för att avgöra hur mycket en viss investering får kosta. När vi har de siffrorna på plats blir det mycket enklare för en säkerhetsansvarig att övertyga ledningen om att satsningen behövs.

Digitaliseringen har gjort att IT-säkerheten blivit ännu viktigare än tidigare, eftersom det nu finns mer data som är viktiga för företagen att spara. Ett intrång kan förutom kostnader även leda till ett skadat varumärke och problem med affärsrelationer. Samtidigt är hoten idag allt mer sofistikerade, bland annat beroende på att grupperna som ligger bakom intrången har gott om resurser i ryggen och är mer välorganiserade än tidigare.

För en lyckad investering krävs det enligt min erfarenhet två steg:

  • Steg ett är att göra en ordentlig genomgång av riskerna i fråga om IT-säkerhet. Att inte bedöma riskerna är i sig den största risken, vill jag påstå. Genomgången kan gärna utgå från de branschstandarder som finns på området, som till exempel den jag själv använt, ISO 27001 Security Framework. Denna går igenom 14 områden som var och en påverkar risken, bland annat säkerhetspolicy, regelefterlevnad, asset management samt leverantörskontakter. Med hjälp av standarden går det att bedöma var verksamheten behöver bli bättre. Andra bra utgångspunkter är National Institute of Standards Cybersecurity Framework och COBIT 5 For Information Security. Vilken som helst går bra så länge som standarden är begriplig för ledningen och den kan användas för att mäta våra framsteg.
  • Steg två är att utveckla och implementera en strategi och taktik för att minska riskerna. Strategin ska ha att göra med verksamhetens mål, till exempel undersöka kostnaderna för ett intrång och hur mycket risk verksamheten är beredd att tolerera, identifiera ”kronjuvelerna” och så vidare. Det här kan göras med ett öga på standarden, för att inte glömma bort riskabla områden som till exempel ofullständig kontroll eller brist på personal.

Säkerhetsansvariga kan med fördel tänka kreativt kring de verktyg och den teknik som finns tillgänglig. Det finns många i branschen som kan hjälpa till. Genom att använda de ovan nämnda standarderna går det att mäta var, när och hur förändringar i policy, investeringar, personal och så vidare kan ge förbättringar. Nästa steg är att gå igenom kostnaderna, målsättningar och tidsperspektiv för att minska riskerna på ett systematiskt sätt.

Den svåraste delen av beräkningen är att slå fast hur mycket riskerna minskat i kronor och ören. Här menar jag att det är mest värdefullt att utgå från erkänd branschresearch och best practice.

Att sätta siffror på riskerna

Ett verktyg jag kan rekommendera är rapporten Cost of a Data Breach från Ponemon Institute, beställd av IBM. Rapporten är offentlig och ger mycket information om vinster med investeringar i ökad säkerhet.

I 2019 års rapport sägs det bland annat att den genomsnittliga kostnaden för ett intrång var 3,92 miljoner dollar och den genomsnittliga kostnaden för en förlorad uppgift var 150 dollar. Rapporten ger extremt detaljerad information, till exempel:

  • Verksamheter som genomgick en större molnmigration under tiden för intrånget drabbades av ökade kostnader på ca 300 000 dollar
  • Systemkomplexitet ökade kostnaden för ett intrång med ca 290 000 dollar
  • Kryptering reducerade intrångets kostnader med i genomsnitt runt 360 000 dollar
  • Att genomföra omfattande tester av planen för att hantera incidenter kunde reducera kostnaden för ett intrång med ett genomsnitt av 1,23 miljoner dollar
  • Verksamheter som inte använder automation hade 95 % högre kostnader för intrång än verksamheter som fullt ut implementerat automatiserad säkerhet

Hur kan den här informationen användas? Som ett exempel så kan en verksamhet enligt beräkningen välja att investera 200 000 dollar för att införa kryptering av data, och reducerar då kostnaden för ett intrång med 360 000 dollar.

Rapporten från Ponemon ger också insikter för olika regioner och branscher, vilket gör det enklare att få relevant information för den specifika verksamheten. Siffrorna kan sedan användas för att skapa presentationer och diskutera med ledningen på ett sätt som de förstår. Genom att kunna ange totalkostnader och roi.

Det här är något som alla beslutsfattare i företag och andra verksamheter borde kräva som beslutsunderlag. Varför nöja sig med mindre?

Fred Streefland är chief security officer för norra och östra Europa på Palo Alto Networks

 

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

Sponsrat innehåll från Skövde kommun
ANNONS

Ready to take the lead? I Noden expanderar framtidens ledande branscher

I Noden expanderar framtidens ledande branscher Skaraborgsregionen växer snabbt och fokuserat. Nya satsningar inom digitalisering, smart industri, spelutveckling [...]