Dit it-sikkerhedsbudget siger intet om din sikkerhed

En rapport fra Gartner Research viser, at virksomheder i gennemsnit bruger 5,6 % af deres it-budget på sikkerhed – mere end nogensinde før. Men flere kroner og øre er ikke nødvendigvis lig med et højere sikkerhedsniveau.

Dit it-sikkerhedsbudget siger intet om din sikkerhed

Stigningen i cyber-angreb på virksomheder med ransomware, ondsindede virus- og DDoS-angreb i løbet af de seneste år har højnet opmærksomheden omkring it-sikkerhed hos virksomheder verden over. Det betyder ifølge en undersøgelse fra analysefirmaet Gartner, at virksomheder på tværs af industrier i 2016 investerede 7,9 % mere på it-sikkerhed, end de gjorde sidste år.

Dermed bruger virksomheder nu i gennemsnit 5,6 % af deres it-budget på sikkerhed, dækkende over udsving fra cirka 1 % og op til 13 %. Men du skal passe på med at sætte lighedstegn mellem budgetallokering og reel sikkerhed, forklarer Sten Grønning, seniorrådgiver hos EG:

"Uden kontekst i form af forretningens it-kompleksitet, it-modenhed, brugeradfærd og accepteret risikoniveau giver måling af it-sikkerhed i form af en procentsats af budgettet ikke mening i sig selv. En virksomhed, der har investeret i den nyeste software, lægger sin it-infrastruktur i skyen og har uddannede og sikkerhedsbevidste brugere, vil i langt de fleste tilfælde være bedre sikret end virksomheden, der bruger dobbelt så meget på it-sikkerhed, men har 5-10 år gamle softwareinstallationer på ikke-patchede servere i kælderen."

Sammenligninger med konkurrenter er ofte misvisende
Ifølge Gartner Research har de fleste virksomheder en uheldig tendens til at undersøge standarden på deres eget marked og så lægge deres eget sikkerhedsbudget fast i forhold til en given norm uden at tænke yderligere over detaljerne.

"At sammenligne sig med generiske industrigennemsnit fortæller dig ikke meget om dit sikkerhedsniveau. Du kan bruge den samme mængde penge som andre i din branche, men du kan bruge dem på de forkerte ting og være ekstremt udsat. Alternativt kan du bruge pengene korrekt, men have en hel anden tilgang til, hvilket risikoniveau du finder acceptabelt," udtaler Rob McMillian, Research Director hos Gartner, i deres pressemeddelelse.

Især risikoniveauet kan være en svær pille at sluge – for som udgangspunkt ønsker de fleste topledere, at risikoen skal være lig med 0 – men det er et urealistisk scenarie, forklarer Sten Grønning:

"Kombinationen af menneskelige brugere, der laver fejl, og en forbindelse til hele verden igennem internettet gør, at der altid vil være en risiko. Spørgsmålet er i højere grad, hvor stor en risiko du er villig til at acceptere i bytte for et mere fleksibelt it-setup, og hvilke foranstaltninger du har implementeret, som opdager og stopper angreb i opløbet, når det på et tidspunkt sker."

Medarbejderne udgør ofte den største trussel
I mange virksomheder er investeringer i sikkerhed lig med opdateringer af hardware og software, som skal stoppe angrebet, før det sker. Men hvis ikke medarbejderne også er sikkerhedsbevidste, opstår der huller i selv de bedste sikkerhedssystemer.

En undersøgelse lavet af PwC i 2015 viser, at 75 % af større organisationer i Storbritannien har oplevet, at medarbejdere har forårsaget et brud på sikkerheden. Og 50 % af de værste brud på sikkerheden er forårsaget af uopmærksomme medarbejdere.

"Det svageste led i sikkerheden opstår, når man slipper de almindelige brugere løs på data. Det er vigtigt at sige, at de for det meste ikke handler i ond tro. Men der sker uheld, når du involverer mennesker, for mennesker laver fejl," forklarer Ole Kjeldsen, teknologidirektør hos Microsoft Danmark.

Anden forsvarslinje: Opdag og stop angrebet
En sikkerhedsforanstaltning, som ofte heller ikke er en del af virksomhedernes beredskab, er de værktøjer, som bruges til at opdage angreb, når de er succesfulde:

"Ingen har i virkeligheden lyst til at investere i værktøjer til at opdage angreb, som allerede er sket. For det betyder også, at man anerkender, at det rent faktisk kan ske. Men tallene viser bare, at 7 ud af 10 virksomheder allerede har oplevet at blive ramt af angreb. Og evnen til hurtigt at opdage og lukke ned for angreb bliver mere og mere påtrængende, i takt med at it-systemet udbredes i virksomheden. For jo flere processer, der er koblet op på it-systemet, jo større er den potentielle risiko i et angreb," forklarer Sten Grønning.

En af de mest succesfulde måder at stoppe angreb udefra på er ved at monitorere trafik og brugeradfærd i systemet med avancerede analyseværktøjer. På den måde kan man hurtigt spotte og stoppe processer og adfærd, som kan være en del af et angreb.

It-sikkerhed skal prioriteres i hele virksomheden
At det handler om at investere sit budget de rigtige steder frem for at sammenligne sig med konkurrenterne, fremgår også tydeligt af Gartners rapport. Her ses det, at de 20 % af organisationer, der ligger i den laveste ende, når det kommer til investeringer i it-sikkerhed, kan deles op i 2 lejre:

  1. Organisationer med dårlig it-sikkerhed.
  2. Organisationer med høj it-sikkerhed, der:

- har implementeret best practices for brug og drift af it.
- har nedbragt kompleksiteten af deres it-infrastruktur.
- arbejder kontinuerligt og systematisk med at nedbringe antallet af sikkerhedshuller.

Det betyder dog ikke, at man ikke skal investere i sikkerhed:
"It-afdelingen får aldrig ros for de angreb, som ikke lykkes. Og det er bare sådan, at det at patche en server eller implementere nye sikkerhedsforanstaltninger ikke tilføjer særlig meget værdi til forretningen – og derfor bliver det ofte underprioriteret af it-afdelinger, som hele tiden presses for at skulle levere mere og mere værdi i samspil med organisationen. Men den dag, det går galt, falder hammeren – både over virksomheden og it-afdelingen. Og derfor er det vigtigt i virksomheden at skabe en forståelse for, at it-sikkerhed skal prioriteres – både blandt it-afdelingens opgaver og blandt de almindelige brugere af systemet," siger Sten Grønning.

Annonce
Annonce
Relateret