24.09.2019

Diagnoza kosztów bezpieczeństwa

O tym jak mądrze zarządzać budżetem na bezpieczeństwo

Zarządzanie bezpieczeństwem można w uproszczeniu porównać do zarządzania opieką zdrowotną. Jej stan każdy zna, chociaż mógłbym się pokusić o stwierdzenie, że z cyberbezpeczeństwem i tak jest nieco lepiej. Zarówno na opiekę zdrowotną jak i na cyberbezpieczeństwo budżety zawsze będą za małe a potrzeby coraz większe. Beznadziejna sytuacja? Nie do końca. Popatrzmy więc na cykl życia „pacjenta” i przyjrzyjmy się, które z etapów są kluczowe dla końcowego rachunku do zapłacenia.

Profilaktyka – Prewencja

Od niej zależą mocno późniejsze koszty leczenia. Każda złotówka zainwestowana w profilaktykę zwraca się pięciokrotnie, tylko później, w niższych kosztach leczenia. Niestety nie wiedzieć czemu, jest to najbardziej zaniedbana część całego procesu. Większość sił i środków skupia się na leczeniu, kiedy już dojdzie do choroby (incydentu) i to często na dość późnym etapie. Nie jest to ani racjonalne, ani optymalne kosztowo.

Diagnoza – Wykrywanie

Jeżeli już coś się wydarzy, aby stwierdzić przyczynę, stan i możliwe skutki choroby (incydentu) potrzebujemy wyrafinowanych, drogich narzędzi oraz wysokiej klasy specjalistów (a tych już na rynku już brakuje). Czas odgrywa tutaj kluczową rolę, gdyż za późno postawiona diagnoza może doprowadzić do epidemii i…zgonu pacjenta.

Leczenie – Reagowanie

Wykryliśmy chorobę, postawiliśmy diagnozę i zaczynamy leczenie. Im liczniejsza grupa chorych, bardziej zaawansowany stan choroby, tym więcej sił i środków musimy poświęcić na cały proces. W przypadku późnej diagnozy ryzyko wyleczenia bez poważnych powikłań maleje.

Zgon? Epidemia?

Późna diagnoza, zbyt duża liczba pacjentów przy ograniczonych możliwościach „opieki zdrowotnej” przyczynia się do wzrostu liczby zgonów i wzrasta ryzyko epidemii. W przypadku przedsiębiorstwa może to oznaczać wysokie kary z UODO a co za tym idzie utratę płynności finansowej, utratę zaufania klientów i dostawców, drastyczne obniżenie wartości akcji. Skutki można by mnożyć. Incydenty i naruszenia bezpieczeństwa nie znikną, ale ich ilość, rodzaj i czas wykrycia jest kluczowy w kosztach obsługi i skutkach.

Wnioski:

Bądźmy mądrzejsi i zainwestujmy w profilaktykę. Już Hipokrates postawił wieki temu słuszną tezę, że „lepiej zapobiegać niż leczyć”. To proces, który chwilę potrwa, ale na koniec przyniesie wymierne efekty. W długoterminowej perspektywie jest to jedyny, sensowny kierunek.

Kultura Bezpieczeństwa w organizacji to właśnie taka profilaktyka. Pozwala zmniejszyć o 90% ilość incydentów bezpieczeństwa zwalniając w ten sposób zasoby IT, które można wykorzystać do rozwoju a nie tylko do „gaszenia pożarów”. Bezpieczeństwo to proces, na który składają się procedury, technologia i ludzie. Nie można pominąć żadnego z tych elementów, lecz czynnik ludzki w aktualnej sytuacji jest najbardziej zaniedbanym obszarem, który daje jednak największe szanse i możliwości podniesienia poziomu bezpieczeństwa stosunkowo niewielkim budżetem porównywalnym do kosztów utrzymania dobrego systemu endpoint security.

Czy stać Cię na marnotrawstwo budżetu na coraz droższe „leczenie” skutków incydentów bezpieczeństwa? Czy nie łatwiej zmniejszyć ich ilość poprzez podniesienie Kultury Bezpieczeństwa w Twojej organizacji? Pamiętaj, czas mija i brak decyzji dzisiaj może oznaczać znacznie wyższe koszty poniesione w przyszłości.