Je to neustálý předmět diskusí a je to tak správně. Rozpočet na zabezpečení bude nepřímo ovlivňovat, jak dobře bude šéf zabezpečení chránit firmu a její vybavení. Upřímně řečeno se to bude chápat v tom smyslu, jak dobře dělá svou práci, a to zase určí, jak dlouho zůstane na své pozici.
Není to však myšlené jako zdroj zkázy a depresí. Inteligentní ředitel zabezpečení ví, že musí v současné ekonomicky náročné době nakládat s prostředky uvážlivě. Znamená to používat peníze efektivně a pro ochranu citlivých aktiv využívat především ta řešení, která jsou již koupená.
Může to ale také zahrnovat zvyšování kvalifikace personálu a pořádání ekonomických kampaní pro zvýšení povědomí o zabezpečení.
Velké černé díry
Rozpočty na zabezpečení IT činí cca 5 až 15 procent z celkového rozpočtu IT, v závislosti na tom, komu věříte a jak definujete zabezpečení.
Gartner ve zprávě vydané na začátku tohoto měsíce uvedla výši 5 procent a moudře k tomu poznamenala, že srovnávání s oborovými kolegy nemá smysl, protože byste „mohli utrácet peníze za špatné věci a být velmi zranitelní.“
Ukazuje to, jak je diskuse o rozpočtu pro zabezpečení složitou záležitostí. Tyto rozpočty se budou lišit podle organizací, v závislosti na struktuře podřízenosti (například při podřízenosti řediteli IT budou rozpočty nižší než při podřízenosti finančnímu řediteli), podle vztahů na ředitelské úrovni a podle již nakoupených technologických řešení.
Je také nutné zajistit, aby jakýkoli nový nákup byl v souladu s firemním řízením rizik a praxí pro dodržování předpisů.
Šéfové zabezpečení IT mohou klást řadu otázek: na co soustředit výdaje? Máme již řešení, která nás chrání? Tvrdí dodavatel nesmysly? Jakou změnu případná investice skutečně způsobí v naší schopnosti řídit rizika a zlepšit bezpečnost?
Znalost hrozeb, kterým vaše organizace čelí, je zásadní a pravděpodobně jen zřídka dostatečná. Ve zprávě High Performance Security Report 2016 od firmy Accenture jsou uvedené výsledky průzkumu mezi 2 tisíci řediteli zabezpečení z velkých podniků – více než polovina respondentů uvedlo, že hrozba od vlastních lidí měla největší vliv na jejich firmu, a přesto většina z těchto firem upřednostňuje výdaje na zabezpečení koncových bodů a cloudu.
V této době stále větších úniků dat a rostoucí důmyslnosti skupin kyberzločinu existuje nebezpečí překročení rozpočtu ... a také peněz tekoucích do kanálu.
Podívejme se například na banku BoA (Bank of America). V loňském roce uvedl Brian Moynihan, výkonný ředitel této finanční instituce, že utratili v roce 2015 za zabezpečení IT celkem 400 milionů dolarů.
Dodal také, že poprvé za 20 let firemní práce s rozpočty nebyl pro kybernetické zabezpečení stanovený rozpočet.
BoA není sama. JP Morgan poté, co v srpnu 2014 došlo k jejímu úspěšnému napadení, zvýšila na rok 2016 rozpočet pro kybernetické zabezpečení na 500 milionů dolarů, tedy na více než dvojnásobek předchozího roku.
Článek publikovaný vydavatelstvím Crain zase uvádí, že rozpočet na zabezpečení IT se v Citibank pohybuje kolem 300 milionů dolarů.
Yahoo Finance zase oznámilo, že firma Wells Fargo vynakládá za kybernetickou bezpečnost zhruba 250 milionů dolarů ročně, a analytická firma Cybersecurity Ventures předpovídá v nadcházejícím roce další růst, a to jak v státním segmentu, tak i v podnikatelské oblasti.
Větší množství peněz je z pochopitelných důvodů dobré, ale jejich chytré použití je ještě důležitější, zejména protože existuje přesvědčení, že více peněz neznamená lepší ochranu.
Žádost o více peněz
Kapela Rolling Stones jednou zpívala „Nemůžeš vždy dostat to, co chceš“, ale pravdou je, že to tak úplně neplatí ohledně rozpočtů na zabezpečení informací.
Pokud najdete vztah mezi zabezpečením a samotným předmětem podnikání, dokážete zanalyzovat a vyhodnotit výkon týmu a dobře a otevřeně s vedením společnosti vykomunikovat vše potřebné, bude vždy existovat příležitost pro další diskusi a přehodnocení rozpočtu.
Chris Gibson, někdejší šéf britského týmu CERT, prohlašuje, že ředitelé zabezpečení IT by měli mít dost odvahy požadovat více peněz.
„Jak ředitelé IT mohou získat další peníze? Tak, že budou mluvit jazykem, jakému rozumí podnikání -- a tím myslím riziko,“ vysvětluje Gibson.
Zabezpečení informací se podle něj tradičně považuje za podnikatelský náklad s tím, že ho provozuje personál, který nedokáže chápat řízení rizik. Technologie jsou binární arénou s častým založením na pravidlech. “U rizika je to jiné -- jeho měřítko se mění,“ vysvětluje Gibson.
„Musíte vysvětlit firmě a jejím šéfům úroveň rizika a důsledky rozhodnutí. Protože zvažují celková rizika pro projekt, tak je docela možné, že když dokážete minimalizovat riziko pro zabezpečení informací, budou moci akceptovat větší riziko v jiné oblasti projektu.
„Schopností to vyjádřit ředitelé zabezpečení ukážou hodnotu, kterou to firmě přináší, namísto zaměření na náklady. To výrazně zvýší viditelnost a umožní to vedení firmy pochopit, jaké jsou potřeby pro zabezpečení, takže výsledkem může být příznivější rozpočet.“
Andy Rose, šéf IT bezpečnosti v dopravní společnosti Nats dodává: „Budujte vztahy s vyšším vedením a zajistěte, aby chápali potenciální rizika a důsledky. Zkuste porovnat svou firmu s podobnými, abyste zjistili rozdíly v investicích, a používejte ‚osvědčené oborové postupy‘“.
„Integrujte také bezpečnostní projekty do dalších firemních iniciativ -- chcete vzdálený přístup? Dobře, ale nemůžeme ho zavést bez dvoufaktorové autentizace. Takto získáte.....
Tento příspěvek vyšel v Security Worldu 1/2017. Oproti tomuto příspěvku je podstatně obsáhlejší a přináší spoustu dalších tipů, jak vylepšit firemní IT.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.