Megtérülnek a biztonsági költések?

Nem könnyű olyan mérőszámokat találni, amelyekkel a cégek képesek egyértelműen kimutatni, hogy megtérülnek-e az informatikai biztonsági eszközökre fordított összegek. Néha még a legprofibb vállalatok is beleesnek abba a csapdába, hogy rossz kritériumok alapján értékelik a biztonsági eszközökre fordított összegek megtérülését – mutattak rá a NetIQ szakértői. Meglátásuk szerint a sikeresség pontos meghatározására, illetve az üzleti és a biztonsági célok összehangolására kell helyezni a hangsúlyt.

A biztonsági szoftverek maguk is óriási mennyiségű adatot képesek közölni a működésük eredményességéről: kimutatják, hogy a segítségükkel hány támadást hárítottunk el, hány rendszert tudtunk megerősíteni, vagy hogy mennyire felelnek meg a házirendek és biztonsági előírások az elvárásoknak. Egyszerűnek tűnik ezekre a mindig kéznél lévő adatokra hagyatkozni, de nem olyan könnyű közülük kiválasztani, hogy melyik mérőszám igazolja a biztonsági megoldások eredményességét a vállalat teljes körű üzleti célkitűzéseinek tükrében.

A biztonsági csapatok, minden más részleghez hasonlóan, szeretik maguk meghatározni, mi alapján mérjék az eredményességet. Mikor azonban a költségvetés jóváhagyásáról, illetve általános üzleti célkitűzések teljesítéséről van szó, nem kizárólag a cégen belüli érdekeltek döntenek az egyes faktorokról. E tényezőknek az üzleti igények szerint kell alakulniuk. A legtöbb esetben probléma, hogy a vállalatnál általában nem tudják annál pontosabban leírni, mit várnak a biztonsági részlegtől, mint hogy „ne hekkeljenek meg minket” és „legyenek elégedettek az auditorok”.

A biztonsági csapatok és az üzleti vezetők közötti szakadék viszonylag egyszerűen áthidalható, ha olyan tervezési eszközt használnak közösen, amely a beruházást lebontja főbb folyamataira: a nagyobb célkitűzésekre, kisebb célokra, stratégiákra, tervekre és konkrét lépésekre.

A stratégia és az egyes lépések gondoskodnak a sikeres működésről az általános üzleti területeken, ám a mérhető komponenseknek a célok számítanak, tehát ezeket kell a biztonsági és az üzleti vezetőknek együttesen meghatározniuk. Ebben a folyamatban fontos szerepet játszik a költségek ismertetése. Ha az üzleti döntéshozók sokallják az összegeket, akkor át lehet alakítani a célokat, mégpedig az alacsonyabb költségekhez igazítva.