Å måle verdien av investeringer i informasjonssikkerhet er ikke lett – og det er kanskje derfor de færreste prøver. Det er et udiskutabelt faktum at informasjonsteknologi får stadig større betydning for alle typer virksomheter. Så hvorfor gjøres det sjelden en kost-/risikovurdering i forhold til slike investeringer? For mange organisasjoner byr håndtering av et komplekst sikkerhetsbilde på store utfordringer - både i form av manglende kompetanse og ikke minst manglende ressurser. Informasjonssikkerhet har tradisjonelt vært et område hvor det har vært akseptert at det kuttes i budsjettene. Dette henger nok sammen med at nedskjæringer her ikke nødvendigvis gir umiddelbare konsekvenser etter at avgjørelsen om kutt har falt, Men resultatet kan bli en helt uakseptabel risiko for selskapet som sparer inn på bekostning av sikkerheten. Vi ser en generell tendens til at pengebruk på sikkerhet øker i de fleste regioner. I følge en studie som Accenture har gjennomført i samarbeid med Information Week i USA og Kina, kommer det fram at 39 prosent av de største selskapene i USA og 55 prosent de største av selskapene i Kina øker sitt pengebruk på informasjonssikkerhet i år i forhold til fjoråret. Erfaringsmessig ligger vi nok i Norge tettere opp mot USA enn Kina på dette området. Forretningsmessig tilnærming til informasjonssikkerhet
Regulatoriske krav, økt konkurranse og stadig flere medieoppslag om sikkerhetssvakheter har de siste årene bidratt til å løfte informasjonssikkerhet høyere på agendaen. I USA utgjør regulatoriske krav en svært viktig pådriver for økte sikkerhetsinvesteringer og regelmessige risikovurderinger. I Norge er det en tendens til at regulatoriske krav i forhold til informasjonssikkerhet blir stadig viktigere. Blant annet vil Eurosox-direktivene innføres i nasjonal lovgivning fra neste år. Disse omhandler regler for god virksomhetsstyring og vil sannsynligvis gjelde for alle selskaper på Oslo Børs. Direktivene stiller blant annet krav til internkontroll og risikostyring. I følge vår studie gjennomfører 80 prosent av amerikanske selskaper regelmessige vurderinger av IT-sikkerhet og trusselbildet, mens tilsvarende tall kun er 50 prosent for de kinesiske. Et besynderlig trekk her er at kinesiske virksomheter i større grad enn de amerikanske øker sine sikkerhetsinvesteringer. Blant de som gjør sikkerhetsutredninger er det under 40 prosent som bruker denne informasjonen til å legge strategiske planer og budsjetter. Det er vanskelig å bedømme årsaken til dette, men det er nærliggende å tro at det her vil komme en forandring etter hvert som IT og det forretningsmessige stadig smelter tettere sammen. IT-baserte sikkerhetsfarer utgjør en stadig viktigere del av det totale risikobildet i virksomheter. Interne trusler bør ha mer fokus
Mer sofistikerte og hyppigere angrep, samt nye måter å bruke teknologi til å angripe selskaper øker sårbarheten. De forespurte selskapene gir tradisjonelle trusler som virus og ormer topp prioritet. Over lengre tid har undersøkelser vist at disse trusseltypene er forventet å få mindre betydning, men det har ikke skjedd ennå. Vi i Accenture opplever økt oppmerksomhet mot interne trusler, og mener at selskaper også bør prioritere dem. Dette er ofte truslene med potensial til å gjøre aller størst skade. Fortsatt blir interne trusler som menneskelig feil og uærlige tjenere nedprioritert i forhold til eksterne angrep via Internett eller andre kanaler. Sosial manipulering kan forekomme både som en ekstern og intern angrepsmetode og går ut på at angriperen enten utgir seg til å være autorisert ansatt eller en godkjent person. Angriperen kan tilegne seg tilganger og rettigheter til ressurser eller informasjon om organisasjonen. Må det en større skandale til for å få et skifte i fokus fra eksterne til interne trusler? Hvem er ansvarlig for IT-sikkerhet?
Sikkerhetsansvarliges rapporteringsvei er interessant å belyse. I USA og Kina rapporterer de fleste sikkerhetssjefer direkte til administrerende direktør. I Norge og resten av Skandinavia er det nok betydelig mer vanlig at sikkerhetssjefer rapporterer til IT-direktøren. Direkte rapporteringslinje fra sikkerhetssjef til høyeste hold blir ofte beskrevet som god sikkerhetspraksis av analyseselskaper. Dette har man ikke i stor nok grad tatt til seg i Norge. En konsekvens av dette kan være at få selskaper har en forretningsmessig tilnærming til informasjonssikkerhet. Det kan være komplisert å gjennomføre en god kost-/risikovurdering og svært mange lar være å prøve. Dette betyr at en stor andel selskaper enten investerer eller lar være å investere i informasjonssikkerhet uten å være i stand til å argumentere godt nok for sitt valg. I en verden der virksomheter er helt avhengig av en stabil, sikker og velfungerende IT-løsning, mener vi at spørsmålet om bedre måling av informasjonssikkerhet er betimelig. Vi er ganske sikre på at de fleste medlemmer av selskapers toppledelse og styre ville imøtekommet en god kost-/risikovurdering fulgt av en tiltaksplan og forslag til justert sikkerhetsbudsjett. Norge er på ingen måte noen sikkerhetssinke, men kanskje vi likevel har noe å lære av Kina når det gjelder investeringsfokus, og USA når det gjelder å gjennomføre jevnlige kost-/risikovurderinger i tilknytning til informasjonssikkerhet? Dette fører til at vi oppnår et mer balansert forhold mellom investeringer som gjøres innen sikkerhet målt mot sikkerhetsrisikoen. Til toppen |