Blogi | Cinia

Mistä tietoturvan kustannukset kertyvät ja onko tietoturvabudjettisi uskottava?

Kirjoittanut Cinia Oy | 21.1.2022 11:49

Nopeasti verkottuvassa taloudessa yritykset tarvitsevat riittävät tietoturvaresurssit liiketoiminnan jatkuvuuden turvaamiseen.

Datan suojaamisen lisäksi korostuu kyky valvoa digitaalista infrastruktuuria ja tietoverkkoja sekä kyky tunnistaa uhkia ajoissa. Tietomurron kohdatessa on kyettävä reagoimaan ja palautumaan. Tietoturvan keskiössä ovat luonnollisesti liiketoimintakriittiset järjestelmät, prosessit ja palvelut. Budjetoinnilla varmistetaan, että rahat käytetään tietoturvaan fiksusti.

Tietoturvan budjetointi sisältää kolme keskeistä kokonaisuutta, eli henkilöstökulut, teknologiaratkaisut sekä toimintamenot.

Henkilöstömenoihin lasketaan tietoturva-ammattilaisten työ, eli palkkamenot ja kumppanilta ostettava asiantuntijatyö.

Tietoturvatuotteet ja teknologiat kehittyvät niin nopeasti, että optimaalisten valintojen tekeminen on vaikeaa ilman erikoisosaamista. Tietoturvan ’hopealuotia’ ei ole keksitty, ja lähtisin budjetoinnissa liikkeelle perusasioiden kautta.

Tietoturvaa voidaan vahvistaa lokituksella ja valvomalla digitaalista infrastruktuuria sekä verkkoympäristöä. Monitoroinnilla havaitaan uhkista indikoivia poikkeamia.

Toimintamenot kattavat tietoturvan kokonaisvaltaisen hallinnan, kuten tietoturvan prosessien ja pelikirjan ylläpidon, käytäntöjen ja kontrollien suunnittelun sekä toipumisharjoitusien toteuttamisen.

Organisaation toiminnan, toimintaympäristön ja teknologian muutokset vaativat tietoturvaprosessien jatkuvaa kehittämistä. Käytäntöjä ja niitä tukevia työkaluja tulee uudistaa jatkuvasti. Harjoitteluun ja koulutuksiin kannattaa investoida euroja, sillä ihmisten oikealla toiminnalla voidaan voittaa paljon aikaa ja vaivaa häiriön poistamisessa. Häiriötilanteissa on tiedettävä, kuka tekee mitäkin, eli työnjako pitää olla etukäteen mietitty ja harjoiteltu.

Tietoturvan toimintamenot pähkinänkuoressa:

  • Toimintatavat ja hallinta
  • Pelikirja ja työnjako
  • Käytännöt ja kontrollit
  • Harjoittelu ja koulutukset

 

Lue myös: Tietomurron torjunta – mitä jokaisen yrityksen olisi hyvä tietää?

 

Kyberturvan hinta voi yllättää

Nyrkkisääntönä voisi sanoa, että 500-1.000 henkilöä työllistävän yrityksen pitää käyttää tietoturvaan 100.000-400.000 euroa vuodessa. Rahoituksen jäädessä tämän alle jokin modernin kerroksellisen tietoturvan osa-alue jää silloin tekemättä.

Pch Technologiesin mukaan keskisuuret yritykset käyttävät tietoturvaan 0,5-2 miljoonaa dollaria ja suuret yritykset kahdesta viiteen miljoonaa dollaria vuodessa.

Vakituisen tietoturva-ammattilaisen palkkaaminen maksaa karkeasti noin 100.000 euroa vuodessa. Päätelaite- ja palvelinsuojaukseen sekä palomuureihin menee joitakin tuhansia tai kymmeniä tuhansia euroja. ISO 27001 -standardin pohjalta sertifioitu tietoturvan hallintajärjestelmä maksaa sekin, ja tietoturvakartoitukset kustantavat noin 5.000 eurosta ylöspäin.

Kustannuksia kertyy myös ICT-ympäristön peruskomponenteista, kuten pääsynhallinnasta, SIEM-järjestelmästä ja digiarkkitehtuurin valvonnasta.

Uusi teknologia maksaa, ja investoinnit ovat välttämättömiä riskien kasvaessa. IBM Securityn Ponemon-tutkimusyhtiöltä tilaaman selvityksen mukaan yksittäinen tietomurto aiheutti pohjoismaisille yrityksille keskimäärin 2,3 miljoonan dollarin tappion. Tietomurron havaitsemiseen meni yrityksissä yli puoli vuotta. Mainehaitta heikentää lisäksi luottamusta yrityksen asiakkaiden ja kumppaneiden keskuudessa.

Yrityksen budjetointiprosessiin myös kyberturvan kustannukset

Tietoturvabudjetointia hoitaa tyypillisesti tietoturvapäällikkö, joka vie ehdotuksen it-johtajan, talousjohtajan ja toimitusjohtajan työpöydälle. On hienoa, että tietoturvabudjetointi kiinnostaa yritysjohtoa ja jopa hallituksia yhä enemmän.

Tietoturvan budjetoinnissa on yrityksissä usein paljon parannettavaa, ja sen pitäisi olla luonteva osa muuta budjetointiprosessia. Yrityksissä budjetoidaan rahaa tietoturvatuotteisiin, mutta harjoitteluun ja koulutuksiin tarvittavat eurot tuntuvat usein unohtuvan. Teknisempiä hakkerointiharjoituksia kannattaa tehdä pätevän kumppanin kanssa.

Kartoitus tarjoaa rakentamiselle ja budjetoinnille hyvän perustan. Kartoituksissa tunnistetaan erityisesti liiketoiminnan kannalta kriittisten järjestelmiin liittyvät kehityskohteet. Mitä heikkouksia yrityksessäsi on? Ovatko riskit hallinnassa ja tarvitseeko lokidata kerätä talteen? Olisiko syytä hankkia tietoverkkoihin liittyvää havainnointikykyä?

 

Lue myös: Tietoturvakartoitus paljastaa organisaatiosi vahvuudet ja heikkoudet

 

Tietoturvaan investoiminen on keskeinen osa jokaisen yrityksen riskinhallintaa ja ikään kuin vakuutus, joka vaatii merkittäviä investointeja. On hyvä muistaa, ettei suurinkaan budjetti tuo sataprosenttista turvaa. Asiakkaat ja kumppanit arvostavat yhteistyötä tietoturvastaan huolehtivien yritysten kanssa.

 

4 neuvoa budjetointiin - tietoturvan kustannukset

 

  • Tee budjetointi ammattimaisesti. Kattava budjetointi sisältää henkilöstökulut, teknologiaratkaisut ja tietoturvaprosessit sekä toimintatavat. Voit paremmin ennakoida myös valmiuden rakentamiseen tarvittavia investointeja. Harjoitteluunkin tarvitaan riittävästi euroja.
  • Pohdi mitä tehdään talon sisällä ja mitä ostat kumppaniltasi. Löytyykö yrityksesi sisältä henkilö, jolla on varmasti tarpeeksi aikaa ja kokemusta hoitaa tietoturvavastaavan tehtäviä? Olisiko fiksumpaa ostaa palvelua ja tietoturvavastaavan osaaminen pätevältä kumppanilta?
  • Ota tietoturvakumppanisi mukaan jo suunnitteluun. Hyödynnä tietoturvaan erikoistuneiden asiantuntijoiden osaamista jo suunnitteluvaiheessa. Saat hyödyllisiä neuvoja, joita noudattamalla voit välttää virheitä ja säästää euroja. It-arkkitehtuurin suunnittelussa pitää huomioida tietoturva, jotta yhden palvelun saastuminen ei esimerkiksi pysäytä koko liiketoimintaa.
  • Kartoita ympäristösi tietoturvataso. Ammattilaisten toteuttamalla kartoituksella selvitetään yrityksesi tietoturvan nykytilanne, ja tunnistetaan tärkeimmät kehityskohteet. Kartoitukset voidaan toteuttaa ketterästi ja kustannustehokkaasti. Työtä on enemmän, mikäli tietoturvatekniikkaan syvennytään tarkemmin. Tarvitset tiekarttaa ja konkreettisia toimenpide-ehdotuksia tietoturvan vahvistamiseen.