Når din organisasjon investerer i å utbedre IT-sikkerhet, hva er da prioriteringene? Er det å implementere teknologiske løsninger for å etterleve regulativer, eller er det fokus på å skape langsiktig verdi ved å utbedre sikkerheten? I følge en ny global studie som vi i Accenture har gjennomført blant senior IT-ansatte og personer på styrevervsnivå, er svaret sannsynligvis det første. Dette indikerer at sikkerhetsspesialister feiler i å overbevise styret og toppledelsen om de forretningsverdiene man oppnår med sikkerhetsinvesteringer - og at en for stor fokus på compliance flytter midler vekk fra viktige strategiske prioriteringer. Tallene taler for seg selv. Totalt 53 prosent av respondentene i vår undersøkelse svarer at compliance er den viktigste drivkraften for sikkerhetsinvesteringer. På spørsmål om hovedfokus for sikkerhetsprioriteringer, svarer imidlertid nær halvparten "vurdering og håndtering av risiko", fulgt av "identitets- og tilgangshåndtering" og "forretningskontinuitet". Å oppnå compliance kommer langt ned på lista, med kun 22 prosent. Fokuset på compliance kommer til tross for en voksende sikkerhetsrisiko fra hackere og phishing-angrep, til innsidejobber og personvernsbrudd. Vår studie viser et sprik mellom hva IT-spesialister vet selskapene burde gjøre av sikkerhetstiltak og de investeringene som faktisk blir gjort. Det er ikke vanskelig å se for seg hvorfor dette spriket har oppstått. En årsak er oppfatningen på styre- og ledelsesnivå om at sikkerhet dreier seg om beskyttelse og blokkering av tilgang - og ikke en bidragsyter til å skape verdi for organisasjonen. En annen årsak er at sikkerhet primært blir sett på som en teknologiutfordring og blir oppfattet som en kostnad tilknyttet forretningsdrift. Disse faktorene har smeltet sammen i selskapers respons på en rekke nye regulativer. Behovet for å oppnå compliance har forsterket synet på at sikkerhet er en ekstra, men uunngåelig administrasjonskostnad. Resultatet er at investeringer for å oppnå compliance er en sentral drivkraft bak sikkerhetsinvesteringene i mange organisasjoner. I denne tilnærmingen mangler det en risikoorientert analyse som fokuserer på å møte selskapets behov. Resultatet er at midlene som er tilgjengelig for sikkerhetsinvesteringer blir tilknyttet compliance og ikke sikkerhet i seg selv. Når alle compliance-mål er nådd, føler styret at sikkerhetsjobben er gjort. Sikkerhetsspesialister vet at en slik oppfatning ikke samsvarer med virkeligheten. Som vår studie bekrefter, vet de sikkerhetsansvarlige at det er mye mer å ta fatt i for å gjøre organisasjonen sikker, men de evner ikke å overbevise beslutningstakerne til å iverksette disse tiltakene. Denne kommunikasjonsutfordringen gjør mange organisasjoner mer sårbare enn det toppledelsen forstår. Dette er ikke ledelsens eller styrets skyld alene. Faktum er at få sikkerhetsansvarlige har god nok forretningsforståelse til at de makter å kommunisere de forretningsfordelene man vil oppnå ved å investere i sikkerhetstiltak. Undersøkelsen viser at høytpresterende selskaper ofte ikke legger ansvaret for sikkerhet under selskapets IT-sjef, men direkte under selskapets administrerende direktør. Dette gjør at sikkerhetsspørsmål kommer høyere opp på agendaen og forankres på toppen. Selv om gode sikkerhetsløsninger i seg selv ikke gjør et selskap høytpresterende, representerer sikkerhet en sentral byggestein. Det er derfor viktig at selskapers beslutningstakere har et forretningsmessig syn på sikkerhet og ikke går i fellen med å fokusere blindt på compliance - og med dette kan skape en sikkerhetsrisiko. Til Toppen |