Bisnis

Kasus Bisnis untuk Keamanan Informasi: Setujui Anggaran Keamanan Anda

ARiotInAJamJar

Keamanan Sistem Informasi Ini sangat penting dalam organisasi saat ini, untuk mengurangi berbagai ancaman dunia maya terhadap aset informasi. Meskipun argumen yang baik dibuat oleh manajer keamanan informasi, dewan direksi dan manajemen senior dalam organisasi, mungkin masih menyeret kaki mereka, untuk menyetujui anggaran keamanan informasi, dan elemen lainnya, seperti pemasaran dan promosi, yang mereka yakini memiliki keuntungan yang lebih besar. atas investasi (ROI). Jadi bagaimana Anda, sebagai Chief Information Security Officer (CISO)/IT/Information Systems Director, meyakinkan manajemen atau dewan tentang perlunya berinvestasi dalam keamanan informasi?

Saya pernah berbicara dengan seorang direktur TI di sebuah lembaga keuangan regional besar, di mana dia berbagi pengalamannya mendapatkan anggaran keamanan informasi yang disetujui. Departemen TI berjuang dengan pemasaran untuk mendapatkan sebagian uang yang dihemat dari penghematan anggaran tahunan. “Anda lihat, jika kami berinvestasi dalam kampanye pemasaran ini, segmen pasar sasaran kami tidak hanya akan membantu kami membangun dan mengalahkan angka, tetapi perkiraan juga akan menunjukkan bahwa kami dapat menggandakan portofolio pinjaman kami.” Orang-orang berdebat dalam pemasaran. Di sisi lain, argumen IT adalah bahwa “Dengan bersikap proaktif dalam membeli sistem pencegahan intrusi (IPS) yang lebih kuat, ini akan mengurangi insiden keamanan.” Manajemen memutuskan untuk mengalokasikan dana tambahan untuk pemasaran. Orang-orang IT kemudian bertanya-tanya, apa yang mereka lakukan salah, dan orang-orang pemasaran benar! Jadi bagaimana Anda memastikan Anda mendapatkan persetujuan anggaran untuk proyek keamanan informasi Anda?

Sangat penting bagi manajemen untuk menghargai konsekuensi dari tidak mengambil tindakan apapun sehubungan dengan asuransi organisasi, jika terjadi pelanggaran, organisasi tidak hanya akan menanggung kerugian reputasi dan pelanggan, karena rendahnya kepercayaan terhadap organisasi. merek, tetapi juga pelanggaran dapat menyebabkan hilangnya pendapatan dan bahkan tindakan hukum terhadap organisasi. Ini adalah situasi di mana kampanye pemasaran yang baik mungkin gagal untuk memenangkan kembali organisasi Anda.

Kami mencoba membahas poin-poin utama yang dapat diajukan manajemen terhadap investasi dalam keamanan informasi.

1. Solusi keamanan informasi cenderung mahal, di mana pengembalian yang nyata?

Tujuan keseluruhan dari setiap organisasi adalah untuk menciptakan/menambah nilai bagi pemegang saham atau pemangku kepentingan. Dapatkah Anda mengidentifikasi manfaat dari tindakan pencegahan yang ingin Anda peroleh? Indikator apa yang Anda gunakan untuk membenarkan investasi ini dalam keamanan informasi? Apakah argumen penanggulangan Anda selaras dengan tujuan keseluruhan organisasi, dan bagaimana Anda membenarkan bahwa pekerjaan Anda akan membantu organisasi mencapai tujuannya dan meningkatkan nilai pemegang saham/pemangku kepentingan. Misalnya, jika organisasi memprioritaskan akuisisi dan retensi pelanggan, bagaimana pembelian solusi keamanan informasi yang Anda usulkan membantu mencapai tujuan tersebut?

2. Bukankah tindakan balasan tersebut merupakan reaksi panik/terisolasi terhadap persyaratan peraturan atau permintaan audit baru-baru ini?

Sebagian besar proyek keamanan informasi dapat didorong oleh peraturan eksternal atau persyaratan kepatuhan, atau dapat menjadi tanggapan atas penyelidikan terbaru oleh auditor eksternal atau bahkan sebagai akibat dari pelanggaran sistem baru-baru ini. Misalnya, regulator keuangan dapat meminta semua lembaga keuangan untuk menerapkan alat penilaian kerentanan TI. Dengan demikian, organisasi harus mematuhi dengan biaya berapa pun atau menghadapi hukuman. Sementara menanggapi persyaratan peraturan ini sangat penting, cukup pasang lubang dan “Pemadam Kebakaran” Pendekatan yang tidak berkelanjutan. Menerapkan perubahan proses dalam isolasi dapat menyebabkan lingkungan bekerja dalam silo, informasi dan terminologi yang saling bertentangan, teknologi yang berbeda, dan kurangnya koneksi ke strategi bisnis. [1]

Reaksi yang tidak terkoordinasi terhadap persyaratan organisasi tertentu, dapat menyebabkan penerapan solusi yang tidak sejalan dengan strategi bisnis organisasi. Jadi untuk mengatasi masalah ini dan mendapatkan persetujuan untuk pendanaan dan dukungan manajemen, argumen dan kasus bisnis Anda harus menunjukkan bagaimana solusi yang Anda inginkan cocok dengan gambaran yang lebih besar, dan bagaimana hal itu sesuai dengan tujuan keseluruhan mengamankan aset dalam organisasi.

Apa biaya, implikasi, dan dampak dari tidak melakukan apa-apa?

Anda perlu berkomunikasi dengan manajemen, nilai bisnis inti dari solusi yang ingin Anda peroleh. Anda akan mulai dengan menunjukkan/menghitung biaya saat ini, dampak dan efek dari tidak melakukan apa-apa; Jika tindakan pencegahan yang ingin Anda ambil tidak ada. Anda dapat mengklasifikasikan ini sebagai:

biaya langsung Biaya bagi organisasi karena tidak memiliki solusi.

Biaya tidak langsung Jumlah waktu, tenaga, dan sumber daya organisasi lainnya yang dapat disia-siakan.

Kemungkinan biaya Biaya akibat hilangnya peluang bisnis, jika solusi keamanan atau layanan yang Anda usulkan tidak ada dan bagaimana hal ini dapat memengaruhi reputasi dan niat baik organisasi.

Anda dapat menggunakan petunjuk berikut dan menjelaskannya lebih lanjut:

• Denda peraturan apa untuk ketidakpatuhan yang dihadapi organisasi?

• Apa dampak dari gangguan bisnis dan kerugian produktivitas?

• Bagaimana organisasi, merek atau reputasinya akan terpengaruh yang dapat menyebabkan kerugian finansial yang besar?

• Kerugian apa saja yang timbul akibat salah urus risiko bisnis?

• Kerugian apa yang kita hadapi akibat penipuan: eksternal atau internal?

• Biaya apa yang dikeluarkan untuk orang-orang yang terlibat dalam mitigasi risiko yang dapat dikurangi melalui penerapan tindakan pencegahan?

• Bagaimana kehilangan data, aset bisnis utama, mempengaruhi operasi kita dan berapa biaya sebenarnya untuk pemulihan dari bencana seperti itu?

• Apa arti hukum dari setiap pelanggaran yang diakibatkan oleh kegagalan kita untuk bertindak?

Bagaimana solusi yang diusulkan mengurangi biaya dan meningkatkan nilai bisnis.

Anda kemudian perlu menunjukkan bagaimana tindakan balasan yang Anda usulkan akan mengurangi biaya dan meningkatkan nilai bisnis. Sekali lagi Anda dapat menjelaskan lebih lanjut tentang bidang-bidang berikut:

• Tunjukkan bagaimana peningkatan efisiensi dan produktivitas penerapan tindakan pencegahan akan menguntungkan organisasi.

• Tentukan bagaimana mengurangi waktu henti akan meningkatkan produktivitas bisnis.

• Tunjukkan bagaimana bersikap proaktif dapat mengurangi biaya audit dan evaluasi TI.

• Menentukan pengurangan biaya yang mungkin terkait dengan audit internal, tinjauan pihak ketiga, dan teknologi.

Menurut sebuah penelitian 2011 yang dilakukan oleh Institut Ponemon Dan Tripwire, Inc.Gangguan bisnis dan kerugian produktivitas ditemukan sebagai konsekuensi paling mahal dari ketidakpatuhan. Rata-rata, biaya ketidakpatuhan adalah 2,65 kali biaya kepatuhan untuk 46 organisasi yang dijadikan sampel. Dengan pengecualian dua kasus, biaya ketidakpatuhan melebihi biaya kepatuhan.[2]. Dalam arti bahwa investasi adalah keamanan informasi untuk melindungi aset informasi dan mematuhi persyaratan peraturan, sebenarnya lebih murah dan mengurangi biaya, dibandingkan dengan tidak menyiapkan tindakan pencegahan apa pun.

Dapatkan dukungan dari berbagai unit bisnis dalam organisasi

Proposal anggaran yang baik harus mendapat dukungan dari unit bisnis lain dalam organisasi. Misalnya, saya menyarankan kepada manajer TI yang disebutkan di atas, bahwa mungkin dia harus berdiskusi dengan departemen pemasaran dan menjelaskan kepada mereka bagaimana jaringan yang andal dan aman akan memudahkan mereka untuk memasarkan dengan percaya diri, dan mungkin TI tidak perlu melakukannya. bersaing dengan anggaran. Saya tidak berpikir orang pemasaran suka menghadapi pelanggan, ketika ada pertanyaan potensial mengenai layanan yang tidak dapat diandalkan, pelanggaran sistem, dan waktu henti. Jadi, Anda harus memastikan bahwa Anda mendapat dukungan dari semua unit bisnis lainnya, dan menjelaskan kepada mereka bagaimana solusi yang diusulkan dapat membuat hidup mereka lebih mudah.

Jalin hubungan dengan manajemen/dewan, bahkan untuk persetujuan anggaran di masa mendatang, Anda perlu mempublikasikan dan melaporkan kepada manajemen tentang jumlah anomali jaringan yang baru saja Anda beli, misalnya ditemukan dalam seminggu, waktu siklus patch saat ini, dan jumlah waktu sistem telah dihabiskan tanpa gangguan. Lebih sedikit waktu henti berarti Anda telah menyelesaikan pekerjaan Anda. Pendekatan ini akan menunjukkan kepada manajemen bahwa, misalnya, ada pengurangan tidak langsung dalam biaya asuransi berdasarkan nilai kebijakan yang diperlukan untuk melindungi kelangsungan bisnis dan aset informasi.

Mendapatkan anggaran proyek keamanan informasi yang disetujui seharusnya tidak menjadi tantangan besar, jika seseorang harus memenuhi masalah utama nilai tambah. Pertanyaan utama yang harus Anda tanyakan pada diri sendiri adalah bagaimana solusi yang diusulkan meningkatkan laba? Apa yang dibutuhkan manajemen/dewan adalah untuk memastikan bahwa solusi yang Anda usulkan akan menghasilkan nilai bisnis jangka panjang yang nyata dan selaras dengan tujuan keseluruhan organisasi.

Referensi:

1. Thomson Reuters Accelus, Membangun kasus bisnis untuk tata kelola, risiko dan kepatuhan, 2010.

2. Institut Ponemon, biaya kepatuhan yang sebenarnya, 2011.

Leave A Comment