Nopeasti verkottuvassa taloudessa yritykset tarvitsevat riittävät tietoturvaresurssit liiketoiminnan jatkuvuuden turvaamiseen.
Datan suojaamisen lisäksi korostuu kyky valvoa digitaalista infrastruktuuria ja tietoverkkoja sekä kyky tunnistaa uhkia ajoissa. Tietomurron kohdatessa on kyettävä reagoimaan ja palautumaan. Tietoturvan keskiössä ovat luonnollisesti liiketoimintakriittiset järjestelmät, prosessit ja palvelut. Budjetoinnilla varmistetaan, että rahat käytetään tietoturvaan fiksusti.
Tietoturvan budjetointi sisältää kolme keskeistä kokonaisuutta, eli henkilöstökulut, teknologiaratkaisut sekä toimintamenot.
Henkilöstömenoihin lasketaan tietoturva-ammattilaisten työ, eli palkkamenot ja kumppanilta ostettava asiantuntijatyö.
Tietoturvatuotteet ja teknologiat kehittyvät niin nopeasti, että optimaalisten valintojen tekeminen on vaikeaa ilman erikoisosaamista. Tietoturvan ’hopealuotia’ ei ole keksitty, ja lähtisin budjetoinnissa liikkeelle perusasioiden kautta.
Tietoturvaa voidaan vahvistaa lokituksella ja valvomalla digitaalista infrastruktuuria sekä verkkoympäristöä. Monitoroinnilla havaitaan uhkista indikoivia poikkeamia.
Toimintamenot kattavat tietoturvan kokonaisvaltaisen hallinnan, kuten tietoturvan prosessien ja pelikirjan ylläpidon, käytäntöjen ja kontrollien suunnittelun sekä toipumisharjoitusien toteuttamisen.
Organisaation toiminnan, toimintaympäristön ja teknologian muutokset vaativat tietoturvaprosessien jatkuvaa kehittämistä. Käytäntöjä ja niitä tukevia työkaluja tulee uudistaa jatkuvasti. Harjoitteluun ja koulutuksiin kannattaa investoida euroja, sillä ihmisten oikealla toiminnalla voidaan voittaa paljon aikaa ja vaivaa häiriön poistamisessa. Häiriötilanteissa on tiedettävä, kuka tekee mitäkin, eli työnjako pitää olla etukäteen mietitty ja harjoiteltu.
Tietoturvan toimintamenot pähkinänkuoressa:
Lue myös: Tietomurron torjunta – mitä jokaisen yrityksen olisi hyvä tietää?
Nyrkkisääntönä voisi sanoa, että 500-1.000 henkilöä työllistävän yrityksen pitää käyttää tietoturvaan 100.000-400.000 euroa vuodessa. Rahoituksen jäädessä tämän alle jokin modernin kerroksellisen tietoturvan osa-alue jää silloin tekemättä.
Vakituisen tietoturva-ammattilaisen palkkaaminen maksaa karkeasti noin 100.000 euroa vuodessa. Päätelaite- ja palvelinsuojaukseen sekä palomuureihin menee joitakin tuhansia tai kymmeniä tuhansia euroja. ISO 27001 -standardin pohjalta sertifioitu tietoturvan hallintajärjestelmä maksaa sekin, ja tietoturvakartoitukset kustantavat noin 5.000 eurosta ylöspäin.
Kustannuksia kertyy myös ICT-ympäristön peruskomponenteista, kuten pääsynhallinnasta, SIEM-järjestelmästä ja digiarkkitehtuurin valvonnasta.
Uusi teknologia maksaa, ja investoinnit ovat välttämättömiä riskien kasvaessa. IBM Securityn Ponemon-tutkimusyhtiöltä tilaaman selvityksen mukaan yksittäinen tietomurto aiheutti pohjoismaisille yrityksille keskimäärin 2,3 miljoonan dollarin tappion. Tietomurron havaitsemiseen meni yrityksissä yli puoli vuotta. Mainehaitta heikentää lisäksi luottamusta yrityksen asiakkaiden ja kumppaneiden keskuudessa.
Tietoturvabudjetointia hoitaa tyypillisesti tietoturvapäällikkö, joka vie ehdotuksen it-johtajan, talousjohtajan ja toimitusjohtajan työpöydälle. On hienoa, että tietoturvabudjetointi kiinnostaa yritysjohtoa ja jopa hallituksia yhä enemmän.
Tietoturvan budjetoinnissa on yrityksissä usein paljon parannettavaa, ja sen pitäisi olla luonteva osa muuta budjetointiprosessia. Yrityksissä budjetoidaan rahaa tietoturvatuotteisiin, mutta harjoitteluun ja koulutuksiin tarvittavat eurot tuntuvat usein unohtuvan. Teknisempiä hakkerointiharjoituksia kannattaa tehdä pätevän kumppanin kanssa.
Kartoitus tarjoaa rakentamiselle ja budjetoinnille hyvän perustan. Kartoituksissa tunnistetaan erityisesti liiketoiminnan kannalta kriittisten järjestelmiin liittyvät kehityskohteet. Mitä heikkouksia yrityksessäsi on? Ovatko riskit hallinnassa ja tarvitseeko lokidata kerätä talteen? Olisiko syytä hankkia tietoverkkoihin liittyvää havainnointikykyä?
Lue myös: Tietoturvakartoitus paljastaa organisaatiosi vahvuudet ja heikkoudet
Tietoturvaan investoiminen on keskeinen osa jokaisen yrityksen riskinhallintaa ja ikään kuin vakuutus, joka vaatii merkittäviä investointeja. On hyvä muistaa, ettei suurinkaan budjetti tuo sataprosenttista turvaa. Asiakkaat ja kumppanit arvostavat yhteistyötä tietoturvastaan huolehtivien yritysten kanssa.