Kako što bolje iskoristiti proračun za informacijsku sigurnost

Istraživanje koje je u travnju provela tvrtka IDG pokazalo je da 35% IT menadžera očekuje smanjenje proračuna kojim raspolažu zbog pandemije bolesti Covid-19 i popratnih ekonomskih posljedica, a upravljanje troškovima je za 45% njih postalo glavni izazov

69
informacijsku sigurnost
[Image by Gerd Altmann from Pixabay]

Godinama se činilo da proračuni za informacijsku sigurnost samo rastu. Još u veljači ove godine oko 62 posto poduzeća planiralo je povećati ulaganja u kibernetičku sigurnost u ovoj godini, pokazalo je istraživanje analitičarske tvrtke ESG.

No, situacija se naglo promijenila.

Kao i njihovih kolega u drugim odjelima, od menadžera za informacijsku sigurnost danas se traži da učine više s manje novaca. I takva situacija će vjerojatno potrajati s obzirom na to da svijet zbog pandemije ulazi u ekonomski vrlo nesigurno razdoblje.

Istraživanje koje je u travnju provela tvrtka IDG pokazalo je da 35 posto IT menadžera očekuje smanjenje proračuna kojim raspolažu zbog pandemije bolesti Covid-19 i popratnih ekonomskih posljedica, a upravljanje troškovima je za 45 posto njih postalo glavni izazov.

Novaca nikad nema dovoljno. I nikada nemate dovoljno ljudi da biste obavili posao koji morate obaviti. Ali posao direktora za informacijsku sigurnost (CISO) jest da svakog dana smanji rizik, tako da morate biti jako mudri kako biste u tome uspjeli.

Portal csoonline.com donosi prijedloge nekoliko stručnjaka za informacijsku sigurnost o tome kako menadžeri zaduženi za taj segment mogu ‘izvući’ više iz svojih sada ograničenih proračuna.

Pojačajte automatizaciju

Izvršni menadžeri širom svijeta okreću se robotizaciji procesa i drugim tehnologijama automatizacije kako bi ubrzali procese i povećali učinkovitost. I menadžeri za informacijsku sigurnost trebaju razmotriti mogućnosti automatizacije, jer automatizacija smanjuje potrebu za ljudima koji se bave ponavljajućim zadacima te omogućuje prebacivanje postojećeg osoblja na zadatke veće vrijednosti. Automatizacija također olakšava pronalazak i zapošljavanje kvalificiranih stručnjaka za informacijsku sigurnost, što dodatno povećava uštede.

Automatizacija dijelova procesa identifikacije i upravljanja pristupom, što su vrlo zahtjevni zadaci, može donijeti značajne uštede, kao i automatizacija reakcije na incidente.

Ciscovo izvješće o informacijskoj sigurnosti 2020 CISO Benchmark Report pokazalo je da 77 posto od ispitanih 2800 stručnjaka za informacijsku sigurnost planira povećati automatizaciju u svojim sigurnosnim ekosustavima.

Presložite postojeće timove

Ponekad su timovi nejednako opterećeni. Dalton navodi primjer poduzeća u kojem je petnaesteročlani krizni tim koji se bavio izravnim odgovaranjem na kibernetičke izazove bio zatrpan poslom. Često su dodatno radili noću i vikendima. S druge strane, tim zadužen za procjenu rizika imao je nekoliko intenzivnih razdoblja tijekom godine, ali većinom je imao ležerniji raspored.

Kako bi ravnomjernije rasporedio opterećenje, Dalton je obučio ljude iz tima za procjenu riziku kako bi u razdoblju kada su manje opterećeni mogli preuzeti dio posla kriznog tima.

Mnoge menadžere bi upravo takve preraspodjele postojećih timova mogle spasiti od zapošljavanja novih ljudi, što je jedna od najskupljih stavki u svakom poduzeću. Istovremeno se poboljšava otpornost tima i jača moral putem unakrsnog usavršavanja i usavršavanja.

Preispitajte i uskladite rizike

Menadžeri za informacijsku sigurnost provode dosta vremena baveći se taktikom, ali takvi projekti neće donijeti mnogo koristi kada je riječ o zaštiti njihovih poduzeća od najvećih rizika s kojima se suočavaju. Stoga bi morali povremeno preispitati potencijalne rizike, identificiraju one najveće i uskladiti investicije s tim rizicima.

Ako nam proračun omogućava da samo tri stvari učinimo doista dobro, jesu li naši prioriteti usklađeni s našim rizicima? Novac treba uložiti u ono što donosi najveći vrijednost, a ne u ono što dobro izgleda.

Razgovarajte s dobavljačima

U razdoblju usporavanja gospodarstva moguće je pronaći povoljnije ponude za proizvode kojima se koristite. Ali takve ponude treba pronaći.

Menadžeri za informacijsku sigurnost trebali bi s dobavljačima procijeniti opremu i aplikacije kojima raspolažu u svojim poduzećima, utvrditi koji su proizvodi ključni, koji pružaju najbolju vrijednost te što se može nabaviti po povoljnijim uvjetima.

Razdvojite proračune za sigurnost i IT

U mnogim poduzećima proračun namijenjen kibernetičkoj sigurnosti je samo dio ukupnog proračuna IT odjela. Time financiranje sigurnosti postaje manje važno u odnosu na ukupne potrebe IT odjela, a u takvim okolnostima menadžer zadužen za informacijsku sigurnost ne može učinkovito upravljati svojim proračunom jer zapravo nije jasno s čime raspolaže. Osim toga, takav nedefiniran odnos otvara mnoge ranjivosti.

Zbog toga bi menadžeri za informacijsku sigurnost trebali tražiti autonomne proračune koji bi im omogućili da kreiraju pouzdane višegodišnje planove potrošnje i projekcije kako bi mogli dugoročno investirati u odgovarajuće ljude i tehnologiju. Takvo planiranje osiguralo bi im da prilikom ugovaranja nabave mogu osigurati dobre uvjete, omogućilo bi stvaranje kvalificiranog tima te povećalo razinu kontrole kibernetičke sigurnosti.

Upotrijebite više vanjskih resursa

Izvješće o stanju kibernetičke sigurnosti za 2020. godinu koje je sastavila ISACA, međunarodna stručna udruge za reviziju i kontrolu informacijskih sustava, pokazalo je da se većina menadžera za informacijsku sigurnost i dalje suočava s nedostatkom radne snage. Prema izvješću 62 posto od više od dvije tisuće anketiranih stručnjaka za kibernetičku sigurnost smatra da njihov tim nema dovoljno radnika, a 57 posto ih ima otvorene pozicije.

Kvalificirane ljude nije samo teško pronaći. Skupo ih je zaposliti i zadržati. Prema ZipRecruiteru prosječna godišnja plaća stručnjaka za kibernetičku sigurnost u SAD-u u travnju 2020. iznosi 100.439 dolara.

Menadžeri bi trebali razmotriti potrebe za osobljem i utvrditi mogu li neke pozicije ili funkcije biti dodijeljene vanjskim suradnicima. Na primjer, za neke visoko specijalizirane vještine koje ne traže puno radno vrijeme. Ili se mogu angažirati stručnjaci i usluge dobavljača u sklopu postojećih ugovora.

Iskoristite postojeće interne obrazovne resurse

Stručnjaci za informacijsku sigurnost često misle kako netko tko se ne bavi sigurnošću nema ni što reći o tome. Međutim, angažiranje internih odjela za edukaciju može donijeti izuzetno dobre rezultate.

Preporuka je da se menadžeri za informacijsku sigurnost obrate odjelima za ljudske resurse i edukaciju kako bi organizirali obuku o kibernetičkoj sigurnosti unutar poduzeća, ali i obuku za članove svog tima.

Iskoristite postojeće resurse, primijenite alate koje i module koje vaš interni tim za edukaciju već posjeduje. Tako smanjujete troškove, a istovremeno zaposlenicima pružate brz i jednostavan pristup obrazovnom materijalu.

Maksimizirajte postojeće alate

Mnoga poduzeća uvode određene alate kako bi ispunili regulatorne ili revizijske zahtjeve, a da zapravo ne razumiju što ti alati sve mogu. Prvi izazov je primijeniti te alate tako da od njih dobijete maksimalnu vrijednost.

Jedno od rješenja je da implementirate softversku platformu koja će vam pomoći da identificirate slabosti svog sigurnosnog informacijskog sustava. S tim saznanjima imat ćete bolju poziciju u pregovorima s dobavljačima. To vam otvara mogućnost da ugovorite bolje uvjete ili pronađete dobavljača koji će bolje ispuniti vaše zahtjeve.

Ujednačite rješenja

Menadžeri za informacijsku sigurnost često traže najbolje alate za pojedine funkcije u njihovom sigurnosnom okruženju. No, odabir rješenja koje nudi više alata, iako neki od njih možda nisu najbolje rješenje za određenu funkciju, financijski je mnogo povoljnije. Osim niže nabavne cijene, takvim pristupom može se skratiti i vrijeme potrebno za edukaciju osoblja jer umjesto niza raznih alata koristite jedno rješenje. Također, možda ćete s jedinstvenim setom alata trebati manje ljudi za nadzor i upravljanje nego što ih je trebalo kada su se koristila najbolja pojedinačna rješenja.

U mnogim poduzećima, osobito onim većim, često se koriste interni resursi za razvoj vlastitih sigurnosni rješenja ili inicijativa. To može dovesti do dupliciranja sigurnosnih sustava unutar poduzeća te problema s usklađivanjem opreme nabavljene od raznih dobavljača. Sve to povećava troškove.

U velikim tvrtkama često razni odjeli imaju vlastite sigurnosne timove i svaki od njih koristi svoje alate. Kad bi koristili jedinstvene alate, direktor za informacijsku sigurnost mogao bi lakše pregovarati s dobavljačima i dogovoriti nižu cijenu.

Centralizacija nabave i upravljanja alatima za kibernetičku sigurnost izuzetno su važni za kontrolu troškova, ističu stručnjaci.

Slično je i s računarstvom u oblaku. Ako različiti odjeli individualno traže rješenja za svoje potrebe, ukupni će troškovi biti znatno veći nego u slučaju da svi korite jedinstveno rješenje, a posao timova zaduženih za kibernetičku sigurnost bit će složeniji.

U takvim slučajevima menadžeri za informacijsku sigurnost moraju analizirati pristup svakog pojedinog odjela te zatim ujednačiti i pojednostavniti pristup. Poželjno bi bilo postaviti standarde i smjernice kojima bi se poslovni lideri vodili kako bi u budućnosti izbjegli takve situacija i troškove koji iz njih proizlaze.