Jagar det svårfångade godkännandet för en IT-säkerhetsbudget

Riskhantering är något vi gör. Varje vakande minut utvärderar vi risk och fattar beslut utifrån vår bedömning. Processen är så automatiserad, man måste verkligen sakta ner för att förstå vad som händer.

Gå till exempel genom hur du avgör om det är säkert att korsa gatan.

Kan inte eliminera risken

Den smutsiga delen är att risken inte kan elimineras - inte på något sätt, inte hur - bara minskas. För att förstå hur risken kan minskas delar experter upp den i följande klassificeringar:

  • Inherent Risk: Risken för ditt företag i avsaknad av några åtgärder du kan vidta för att ändra antingen sannolikheten eller påverkan.
  • Restrisk: Risken (även känd som "sårbarhet" eller "exponering") som kvarstår efter att du har försökt mildra alla inneboende risker.

Restrisk är den vi behöver oroa oss för. Vi vet att vi ska titta båda vägarna innan vi passerar gatan, men sällan slå upp - återstående risk - saknar meteoriten som är på väg rakt mot oss.

Restrisk är den som driver säkerhetsexperter och övre ledningsnötter. Varför det kanske inte är uppenbart. Ursprungligen tänkte jag - naturligtvis felaktigt - att det var baserat på att försöka fastställa alla möjliga risker. Nej, det är inte det.

Balansgång

Vi håller med om att risken inte kan elimineras; så hur hårt försöker man minska risken? När uppstår kostnaderna för att minska risken mer än kostnaderna för att få risken? Det är den svåra biten och vad som håller riskbedömare uppe på natten.

För att försöka förstå, slet jag igenom flera artiklar som publicerats på webbplatsen Risky Thinking. Du vet hur det gick. Sedan hittade jag uppsatsen, "Kvantifiera risk och kostnad för IT-säkerhetsöverensstämmelse" av Ron Lepofsky, CISSP, CISM och ordförande för ERE Informationssäkerhets- och efterlevnadsrevisorer - ett informationssäkerhets-, revisions- och efterlevnadsföretag.

IT-riskhantering

Jag hade fingrarna korsade; Rons artikel tycktes fokusera på IT-säkerhet. Och det är viktigt. Jag har tappat reda på alla läsare som har kommenterat hur högre ledning är ledtrådig när det gäller IT-säkerhet: "Allt de vill veta är hur mycket det kostar."

Efter min första läsning visste jag att Rons artikel var den riktiga affären. Den förklarade vad som talar till den övre ledningen och hur IT-personal ska presentera den. Problemet är att jag inte talar riskhantering. Så jag ville inte röra mig, jag kontaktade Ron.

Ron kom tillbaka till mig och nämnde att han var på semester. Jag hade en sjunkande känsla och en tidsfrist som blev stor. Han tilllade tack och lov: "Om internetåtkomst var tillgänglig skulle jag gärna svara på dina frågor." Ja.

Kassner : De flesta IT-chefer känner till begreppet riskhantering, men det är det. Vilka är dina förslag? Lepofsky: Chefer bör ta del av sin beslutsprocess vad som anses vara acceptabelt av övre ledningen. Jag skulle betrakta följande som potentiella återstående risker:
  • Förlust av intäkter eller produktion på grund av att produktionsresursen inte är tillgänglig
  • Tid och ansträngning för att återhämta sig från en säkerhetsrelaterad produktionsförlust
  • Rättslig
  • Skada på märket
  • Överträdelser av reglerna
  • Brott mot integritetsöverensstämmelse
  • Skada på kundrelationer
  • Förlust av intellektuell, konkurrenskraftig eller proprietär information
  • Oupptagna vinster till följd av oförmåga att visa kunder en stark säkerhetsprocess
Kassner : I artikeln nämner du behovet av att tala språket för den övre ledningen - ROI, i huvudsak. Är det möjligt att tilldela ett monetärt värde till en risk? Lepofsky: Kostnad är den resulterande påverkan på verksamheten om en risk skulle bli verklighet. För att fastställa potentiella kostnader föreslår jag följande:
  • Uppmana råd från ekonomihantering, advokater och riskhanteringskonsulter
  • Genomföra en halmundersökning av intressenter, var och en uppskattar nackdelskostnaden för en händelse
  • Deltagande i fakta-insamling undersökningar av liknande företag, var och en ger en kostnadsanalys av en säkerhetshändelse
  • Köpa statistisk information från branschexperter eller branschorganisationer
Kassner : När du har tagit hand om potentiella risker hävdar du att det är viktigt att fastställa sannolikheten för att en händelse ska hända med hjälp av Annualized Loss Expectancy (ALE); kan du förklara hur det fungerar? Lepofsky: ALE är den monetära förlusten till följd av att en tillgång komprometteras under ett helt år och beräknas genom att multiplicera SLE med ARO. Var:
  • Single Loss Expectancy (SLE) är den förväntade monetära förlusten till följd av en instans från en tillgång som äventyras
  • Årlig förekomstfrekvens (ARO) är det förväntade antalet händelser per år
Kassner : Vi förstår nu hur man tilldelar ett monetärt värde till enskilda risker. Nästa affärsordning skulle vara att ta reda på vad det kostar att förhindra varje risk. Du nämner:

"Säkerhetspersonal är väl bekanta med att bestämma kostnaderna för att minska. Ledande befattningshavare tror ibland att de också är bekanta med dessa kostnader, baserat på annonser de läser om antivirus- och brandväggsteknologi.

Faran här är att det är för lätt för alla berörda att fokusera på teknik som den främsta begränsningen för säkerhet och efterlevnad. "

Du ber då ansvariga parter att överväga följande åtgärder för att minska:

  • Re-engineering processer, både tekniska och människor processer
  • Politik - människor och teknik
  • Teknisk säkerhet
  • Fysisk säkerhet
  • Människor bearbetar
  • Träning och medvetenhet
  • Tredjepartsrevision för att verifiera effektiviteten

Du har rätt, inget nytt där. Men din nästa kommentar var ett "oh-duh" ögonblick för mig, och ärligt talat, anledningen till att jag skrev den här artikeln:

"IT-säkerhetstyper är bra på att skydda, men inte så bra på att övertyga de befogenheterna därför det är nödvändigt."

Följande graf verkar vara något som ledningen skulle uppskatta. Skulle du förklara vad vi tittar på?

Lepofsky: Grafen ovan visar förhållandet mellan två faktorer:
  • Potentiell förlust kontra risk (procent chans att en händelse inträffar)
  • Begränsningskostnad kontra risk (procent chans att en händelse inträffar)

Den optimala kostnaden för att spendera på säkerhet är det belopp som bestäms av korsningen mellan de två linjerna. Och den gröna kurvan ovan är den totala riskkostnaden där:

Totalkostnad = kostnad förluster + kostnad för mildring

När man planerar en säkerhetsbudget är målet att minimera utgifterna, så ett företag skulle helst inte spendera mer på mildring än de förväntade potentiella förlusterna. Som en sanitetskontroll bör de totala kostnaderna i samband med risk definitivt vara större än mildringskostnaderna, eller något är väldigt fel med den ekonomiska planeringen av riskreducering.

Kassner : Jag ser ett litet problem - ja, kanske inte så litet. Jag tänker på den lilla butiken, harry IT-personen. Vilka råd kan du ge dem? Lepofsky: Detta är ett enormt problem. Det är osannolikt att IT-säkerhetstekniker har tid eller resurser att utföra riskanalys när en budget skapas.

Det första steget är att avgöra om ledningen har någon dokumentation som tilldelar företagets tillgångar riskprioriteringar. Om inte, skulle jag föreslå att övre ledningen ska vara medveten om fördelarna med riskanalys. Åtminstone då kan de fatta ett informerat beslut om säkerhetsbudgetar. Oavsett beslut skulle jag rekommendera IT-avdelningen att begära ledningens resolution skriftligen.

Cybersecurity Insider Nyhetsbrev

Stärk organisationens IT-säkerhetsförsvar genom att hålla dig uppdaterad om de senaste cybersecurity-nyheterna, lösningarna och bästa praxis. Levereras tisdagar och torsdagar

Registrera dig idag

Slutgiltiga tankar

Att tala språket för riskhantering och optimala kostnadspunkter bör göra övertygande övre ledning mycket enklare. Jag är angelägen om att prova det; Jag låter dig veta hur det går.

Jag skulle vilja tacka Ron för att han kastat ljus på ett mycket komplext ämne och hjälpt oss att IT-typer bättre förstå översta ledningen.

© Copyright 2020 | mobilegn.com