Roya

حالة العمل لأمن المعلومات: الموافقة على ميزانية الأمان الخاصة بك

أمن نظم المعلومات أمر حيوي للغاية في المؤسسات اليوم ، من أجل الحد من التهديدات السيبرانية العديدة ضد أصول المعلومات. على الرغم من الحجج الجيدة التي يطرحها مديرو أمن المعلومات ، فإن مجلس الإدارة والإدارة العليا في المنظمات ، قد لا يزالون يجرون أقدامهم ، للموافقة على ميزانيات أمن المعلومات ، وتأشيرة vi العناصر الأخرى ، مثل التسويق والترويج ، والتي يعتقدون أن لها عائدًا أكبر الاستثمار (ROI). كيف يمكنك إذن ، بصفتك رئيسًا لأمن المعلومات O fficer (CISO) / IT / مدير أنظمة المعلومات ، إقناع الإدارة أو مجلس الإدارة بالحاجة إلى الاستثمار في أمن المعلومات؟

أجريت محادثة ذات مرة مع مدير تكنولوجيا المعلومات في إحدى المؤسسات المالية الإقليمية الكبرى ، حيث شاركنا خبرته في الحصول على ميزانية لأمن المعلومات المعتمدة. كان قسم تكنولوجيا المعلومات يناضل مع التسويق للحصول على بعض الأموال التي تم توفيرها من المدخرات في الميزانية السنوية. “كما ترى ، إذا استثمرنا في هذه الحملة التسويقية ، فلن تساعدنا شريحة السوق المستهدفة في تكوين الأرقام وتجاوزها فحسب ، بل ستظهر التقديرات أيضًا أنه يمكننا مضاعفة محفظة قروضنا.” جادل الناس في مجال التسويق. من ناحية أخرى ، كانت حجة IT هي ذلك “من خلال كوننا استباقيًا في شراء نظام منع التطفل (IPS) أكثر قوة ، فسيقلل من الحوادث الأمنية”. قررت الإدارة تخصيص الأموال الإضافية للتسويق. تساءل العاملون في مجال تكنولوجيا المعلومات بعد ذلك ، ما الخطأ الذي ارتكبوه ، وأن الأشخاص الذين يقومون بالتسويق على صواب! إذن كيف يمكنك التأكد من حصولك على الموافقة على الميزانية لمشروع أمن المعلومات الخاص بك؟

من الأهمية بمكان أن تقدر الإدارة عواقب عدم اتخاذ أي إجراء فيما يتعلق بتأمين المؤسسة ، إذا حدث خرق فلن تتحمل المنظمة فقط فقدان السمعة والعملاء ، بسبب انخفاض الثقة في العلامة التجارية ، ولكن أيضًا الخرق يمكن أن يؤدي إلى خسارة الإيرادات وحتى اتخاذ إجراءات قانونية ضد المنظمة ، وهي مواقف قد تفشل فيها الحملات التسويقية الجيدة في استرداد مؤسستك.

نحاول معالجة النقاط الرئيسية التي يمكن أن تثيرها الإدارة مقابل الاستثمار في أمن المعلومات.

1. حلول أمن المعلومات تميل إلى أن تكون مكلفة ، أين العوائد الملموسة؟

الهدف العام لأي منظمة هو خلق / إضافة قيمة للمساهمين أو أصحاب المصلحة. هل يمكنك تحديد الفوائد المترتبة على الإجراء المضاد الذي تريد الحصول عليه؟ ما هي المؤشرات التي تستخدمها لتبرير هذا الاستثمار في أمن المعلومات؟ هل تتوافق حجتك الخاصة بالتدبير المضاد مع الأهداف العامة للمنظمة ، وكيف تبرر أن عملك سيساعد المنظمة على تحقيق أهدافها وزيادة قيمة المساهمين / أصحاب المصلحة. على سبيل المثال ، إذا كانت المؤسسة قد أعطت الأولوية لاكتساب العملاء والاحتفاظ بهم ، فكيف يساعد شراء حل أمن المعلومات الذي تقترحه في تحقيق هذا الهدف؟

2. أليس الإجراء المضاد هو رد فعل ذعر / منعزل لمتطلبات تنظيمية أو استعلام تدقيق حديث؟

يمكن أن تكون الغالبية العظمى من مشاريع أمن المعلومات مدفوعة باللوائح الخارجية أو متطلبات الامتثال ، أو يمكن أن تكون كرد فعل على استفسار حديث من قبل المدققين الخارجيين أو حتى نتيجة لخرق أنظمة حديث. على سبيل المثال ، يمكن للجهة التنظيمية المالية أن تطلب من جميع المؤسسات المالية تنفيذ أداة تقييم ضعف تكنولوجيا المعلومات. وبالتالي ، يتعين على المنظمة الامتثال بأي تكلفة أو مواجهة عقوبات. في حين أن الاستجابة لهذه المتطلبات التنظيمية ضرورية ، ما عليك سوى سد الثقوب و “مكافحة الحرائق” نهج غير مستدام. يمكن أن يؤدي تنفيذ تغيير العملية في عزلة إلى بيئة من العمل في صوامع ، وتضارب المعلومات والمصطلحات ، والتكنولوجيا المتباينة ، وعدم الارتباط باستراتيجية العمل. [1]

ردود الفعل غير المنسقة لمتطلبات تنظيمية محددة ، قد تؤدي إلى تنفيذ الحلول التي لا تتماشى مع استراتيجية العمل للمؤسسة. لذلك للتغلب على هذه المشكلة والحصول على الموافقة على التمويل والدعم الإداري ، يجب أن توضح حجتك وحالتك التجارية كيف تتناسب الحلول التي تنوي الحصول عليها مع الصورة الأكبر ، وكيف يتماشى ذلك مع الهدف العام لتأمين الأصول في المؤسسة.

ما هي التكاليف والتداعيات وتأثير عدم القيام بأي شيء؟

سوف تحتاج إلى التواصل مع الإدارة ، القيمة التجارية الأساسية للحل الذي تريد الحصول عليه. ستبدأ بإظهار / حساب التكلفة الحالية والآثار المترتبة على عدم القيام بأي شيء ؛ إذا لم يكن الإجراء المضاد الذي تريد اتخاذه موجودًا. يمكنك تصنيف هذه على النحو التالي:

التكلفة المباشرة – التكلفة التي تتكبدها المنظمة لعدم وجود الحل.

التكاليف غير المباشرة – مقدار الوقت والجهد والموارد التنظيمية الأخرى التي يمكن إهدارها.

تكلفة الفرصة – التكلفة الناتجة عن ضياع فرص العمل ، إذا لم يكن الحل الأمني ​​أو الخدمة التي تقترحها موجودة وكيف يمكن أن يؤثر ذلك على سمعة المنظمة وحسن نيتها.

يمكنك استخدام المؤشرات التالية وشرحها بشكل أكبر:

• ما الغرامات التنظيمية بسبب عدم الامتثال ، هل تواجه المنظمة؟

• ما هو تأثير انقطاع الأعمال وخسائر الإنتاجية؟

• كيف ستتأثر المنظمة ، علامتها التجارية أو سمعتها التي يمكن أن تؤدي إلى خسائر مالية ضخمة؟

• ما هي الخسائر التي يتم تكبدها بسبب سوء إدارة مخاطر الأعمال؟

• ما هي الخسائر التي نواجهها بسبب الاحتيال: خارجي أم داخلي؟

• ما هي التكاليف التي يتم إنفاقها على الأشخاص المشاركين في التخفيف من المخاطر والتي يمكن لولا ذلك تقليلها من خلال نشر الإجراء المضاد؟

• كيف سيؤثر فقدان البيانات ، وهو أحد الأصول التجارية الكبيرة ، على عملياتنا وما هي التكلفة الفعلية للتعافي من مثل هذه الكارثة ؟.

• ما هو المعنى القانوني لأي خرق ناتج عن عدم قيامنا بعمل؟

كيف يقلل الحل المقترح من التكلفة ويزيد من قيمة الأعمال.

ستحتاج بعد ذلك إلى إظهار كيف سيؤدي الإجراء المضاد الذي تقترحه إلى تقليل التكلفة وزيادة قيمة العمل. مرة أخرى يمكنك شرح المزيد عن المجالات التالية:

• أظهر كيف أن زيادة الكفاءة والإنتاجية ، لنشر الإجراء المضاد ستفيد المنظمة.

• تحديد كيف سيؤدي تقليل وقت التوقف عن العمل إلى زيادة إنتاجية العمل.

• أظهر كيف يمكن للمبادرة الاستباقية أن تقلل من تكاليف تدقيق تكنولوجيا المعلومات وتقييمها.

• تحديد تخفيض التكلفة الذي قد يرتبط بخلاف ذلك بالتدقيق الداخلي ومراجعات الطرف الثالث والتكنولوجيا.

وفقًا لبحث عام 2011 أجراه معهد بونيمون و Tripwire، Inc.، فقد وجد أن تعطل الأعمال وخسائر الإنتاجية هي أكثر عواقب عدم الامتثال تكلفة. في المتوسط ​​، تبلغ تكلفة عدم الامتثال 2.65 ضعف تكلفة الامتثال للمنظمات الـ 46 التي تم أخذ عينات منها. باستثناء حالتين ، تجاوزت تكلفة عدم الامتثال تكلفة الامتثال.[2]. بمعنى أن الاستثمار هو أمن المعلومات من أجل حماية أصول المعلومات والامتثال للمتطلبات التنظيمية ، فهو في الواقع أرخص ويقلل من التكاليف ، مقارنة بعدم وضع أي تدابير مضادة.

احصل على الدعم من وحدات الأعمال المختلفة في المنظمة

يجب أن يحظى اقتراح الميزانية الجيد بدعم وحدات الأعمال الأخرى في المنظمة. على سبيل المثال ، اقترحت على مدير تكنولوجيا المعلومات المذكور سابقًا ، أنه ربما كان يجب أن يناقش مع قسم التسويق وأن يشرح لهم كيف ستجعل شبكة موثوقة وآمنة من السهل عليهم التسويق بثقة ، وربما لن يكون لدى تكنولوجيا المعلومات المنافسة على الميزانية. لا أعتقد أن الأشخاص التسويقيين يرغبون في مواجهة العملاء ، عندما تكون هناك أسئلة محتملة تتعلق بالخدمة غير الموثوق بها ، وانتهاكات النظام ، ووقت التوقف عن العمل. لذلك يجب أن تتأكد من حصولك على دعم من جميع وحدات الأعمال الأخرى ، وأن تشرح لهم كيف يمكن للحل المقترح أن يجعل الحياة أسهل بالنسبة لهم.

قم بإنشاء علاقة مع الإدارة / مجلس الإدارة ، حتى للحصول على موافقات الميزانية المستقبلية ، ستحتاج إلى نشر وتقديم تقارير إلى الإدارة حول عدد حالات الشذوذ في الشبكة التي قمت بشرائها مؤخرًا ، على سبيل المثال ، وجدت في أسبوع ، دورة التصحيح الحالية الوقت ومقدار الوقت الذي قضاه النظام بدون انقطاع. يعني تقليل وقت التوقف عن العمل أنك قد أنجزت عملك. سيوضح هذا النهج للإدارة أن هناك على سبيل المثال تخفيض غير مباشر في تكلفة التأمين بناءً على قيمة السياسات اللازمة لحماية استمرارية الأعمال وأصول المعلومات.

لا ينبغي أن يكون الحصول على الموافقة على ميزانية مشروع أمن المعلومات تحديًا كبيرًا ، إذا كان على المرء أن يلبي القضية الرئيسية المتمثلة في إضافة القيمة. السؤال الرئيسي الذي يجب أن تطرحه على نفسك هو كيف يعمل الحل المقترح على تحسين النتيجة النهائية؟ ما تطلبه الإدارة / مجلس الإدارة هو ضمان أن الحل الذي تقترحه سينتج قيمة عمل حقيقية طويلة الأجل ويتماشى مع الأهداف العامة للمؤسسة.

مراجع:

1. Thomson Reuters Accelus ، بناء حالة تجارية للحوكمة والمخاطر والامتثال ، 2010.

2. معهد بونيمون ، التكلفة الحقيقية للامتثال ، 2011.