Jedes Unternehmen muss seinen eigenen fortlaufenden Prozess zur Bedarfsanalyse und Rechtfertigung der Sicherheitsausgaben entwickeln. Hier erfahren Sie, wie zwei CISOs es machen. [...]
Wie viel sollte ein Unternehmen für die Sicherheit ausgeben? Die einfache Antwort: Das kommt ganz darauf an.
Faktoren wie die Art des Business, in dem das Unternehmen tätig ist, die Art der persönlichen oder sensiblen Daten oder des geistigen Eigentums, mit denen es umzugehen hat, die regulatorischen Anforderungen, denen es ausgesetzt ist, die Komplexität seiner IT-Infrastruktur, die Wahrscheinlichkeit, dass es ein Angriffsziel ist, und andere Elemente kommen zum Tragen.
Die wichtigere Frage könnte also lauten: „Wie kann ein Unternehmen bestimmen, wie viel es für Sicherheit ausgeben soll?“ Der Prozess, den Unternehmen durchlaufen, um herauszufinden, welches Ausgabenniveau für die IT-Sicherheit für einen effektiven Schutz von Systemen und Daten entscheidend sein kann.
Viele Faktoren beeinflussen die Sicherheitsausgaben
Neuere Forschungsberichte liefern einen Überblick darüber, wie viel Unternehmen in puncto Sicherheit ausgeben. In der im November 2018 durchgeführten CIO-Umfrage State of the CIO 2019 wurden 683 IT-Führungskräfte weltweit dazu befragt, wie viel Prozent des gesamten IT-Budgets ihres Unternehmens auf die IT-Sicherheit entfallen. Die durchschnittliche Antwort war 15%. Fast ein Viertel der Unternehmen (23%) widmen mindestens 20% ihres IT-Budgets der Sicherheit.
Die Unternehmensgröße scheint kein wesentlicher Faktor zu sein, da kleine Unternehmen im Durchschnitt einen ähnlichen Anteil des IT-Budgets für Sicherheit ausgeben wie die größten Unternehmen. Was die Branchen betrifft, so sind die Sektoren, die den größten Teil des Haushalts für Sicherheit aufwenden, professionelle Dienstleistungen, Finanzdienstleistungen und High-Tech.
Auf die Frage, welche Geschäftsinitiativen bei der Förderung von IT-Investitionen in ihrem Unternehmen im Jahr 2019 am wichtigsten sind, gaben 40% der IT-Führungskräfte an, dass der Cybersicherheitsschutz erhöht werden müsse. Dies war mit einer höheren betrieblichen Effizienz als die häufigste Antwort verbunden und wurde vor der Verbesserung der Kundenzufriedenheit, dem Wachstum des Unternehmens, der Transformation bestehender Geschäftsprozesse und der Verbesserung der Rentabilität umgesetzt.
Eine weitere Studie, die auf einer Umfrage von IDG Communications unter 664 sicherheitsorientierten Fachleuten weltweit beruht, zeigt, dass fast zwei Drittel der Unternehmen (60%) planen, die Sicherheitsbudgets im nächsten Jahr um durchschnittlich 13% zu erhöhen.
Zu den Faktoren, die die Priorität der Sicherheitsausgaben bestimmten, gehören Best Practices (74%), Compliance-Mandate (69%), die Reaktion auf einen Sicherheitsvorfall, der sich im Unternehmen ereignet hat (35%), Mandate des Vorstands (33%) und die Reaktion auf einen Sicherheitsvorfall, der sich in einem anderen Unternehmen ereignet hat (29%).
Als Faustregel gilt, dass ein Unternehmen zwischen 7% und 10% seines IT-Budgets für Sicherheit ausgeben sollte, so Frank Dickson, Program Vice President, Cybersecurity-Produkte, bei International Data Corp. (IDC).
„Sie können allerdings 15% Ihres IT-Budgets für Sicherheit ausgeben und trotzdem nicht das Maß an Sicherheit erreichen, das Sie sich wünschen, wenn Ihre Architektur hinreichend komplex ist oder die zu schützenden Assets besonders wertvoll sind“, so Dickson weiter. „Ebenso können Ausgaben von 5% angemessen sein.“
Wie ein Sicherheitsunternehmen seine Sicherheitsausgaben bestimmt
Bei HITRUST, einem Unternehmen, das Risikomanagement und Sicherheitsdienstleistungen anbietet, ist das Sicherheitsbudget im Laufe der Jahre stabil geblieben, erklärt Jason Taule, Vice President of Standards and CISO. „Dies spiegelt das anhaltende Engagement unseres Führungsteams wider, Sicherheit und Datenschutz ernst zu nehmen und ein Programm von ausreichender Strenge aufrechtzuerhalten“, um die eigenen Risikopositionen des Unternehmens, seiner Partner und der Kunden, die HITRUST mit ihren Daten betrauen, anzugehen, so Taule.
Die Verbesserung der betrieblichen Effizienz hält die Sicherheitsausgaben stabil
Die Tatsache, dass die Ausgaben unverändert geblieben sind, ist etwas irreführend, meint Taule. „Wie die meisten Unternehmen haben wir weiterhin die Verpflichtung, ein größeres und breiteres Spektrum an Bedrohungen und Risikopositionen abzudecken, realisieren aber gleichzeitig eine höhere betriebliche Effizienz“, sagt er. Also, die Dinge haben sich aufgelöst, um budgetneutral zu bleiben. Ohne verbesserte Effizienz würden die Ausgaben von Jahr zu Jahr steigen, sagt er.
Das Controls Framework definiert Richtlinien und Bedürfnisse
Um festzustellen, wie viel das Unternehmen für die Sicherheit ausgeben sollte, hat HITRUST einen Kontrollrahmen eingeführt, um die technischen, administrativen und physischen Richtlinien, Verfahren und Einzelprodukte zu definieren, die es implementieren muss.
„Wir tun außerdem, was wir unseren Kunden im Hinblick auf eine kontinuierliche Überwachung empfehlen, und haben Maßnahmen und Metriken zur Verwaltung unseres [Sicherheits-]Programms implementiert“, sagt Taule. „Dies betrifft die Unternehmensführung, da jede Entscheidung, Geld für Sicherheit auszugeben, von einem Feedback begleitet werden muss, das es dem Unternehmen ermöglicht, zu überprüfen, ob es die beabsichtigten Ergebnisse erzielt, und bei Bedarf eine Kurskorrektur vorzunehmen.“
Ermitteln Sie den Zeitpunkt, an dem die Gewinne abnehmen
Um das angemessene Ausgabenniveau zu ermitteln, müssen Unternehmen den Punkt identifizieren, an dem zusätzliche Ausgaben eine marginale Rentabilität in Bezug auf die Risikominderung erbringen. „Dies ist der Punkt, an dem Unternehmen ihre Sorgfaltspflicht unter Beweis stellen können, denn diese Stufe ist sorgfältig begründet und vertretbar“, erklärt Taule.
Einige Sicherheitsausgaben sind obligatorisch
Allerdings haben nur wenige Unternehmen den Luxus, selbst zu entscheiden, was sie ganz allein ausgeben wollen, bemerkt Taule. Die meisten Unternehmen sind mit regulatorischen Anforderungen, Kundenerwartungen oder Partneranforderungen konfrontiert, die ein zusätzliches Ausgabenniveau erfordern.
„In einigen Fällen, zumindest anfänglich, kann das Unternehmen in der Lage sein, einen Teil dieser Kosten in seinen Preisen zu berücksichtigen“, sagt Taule. „Aber letztendlich werden alle bis auf die strengsten Anforderungen zu Dingen werden, von denen Kunden erwarten, dass sie von Unternehmen als Kosten der Betriebsführung betrachtet werden.“
Einige Unternehmen könnten einen höheren Wert auf Sicherheit und Datenschutz legen als andere und dies vielleicht sogar als Strategie zur Abgrenzung von Konkurrenten nutzen, so Taule. Infolgedessen könnten sie sich dafür entscheiden, mehr für Sicherheit auszugeben.
Wiederkehrende Risikobeurteilungen durchführen
Auf einer grundlegenden Ebene beantwortet HITRUST die Frage, wie viel für Sicherheit ausgegeben werden soll, basierend auf einer routinemäßigen, regelmäßigen und wiederkehrenden Risikobewertung. „Wenn sich das Risiko nicht ändert, dann müssen wir die Ausgaben nicht anpassen“, erklärt Taule. „Wenn wir zu dem Schluss kommen, dass wir höheren Belastungen ausgesetzt sind, als wir für akzeptabel gehalten haben, dann müssen wir etwas dagegen unternehmen. Wichtig ist zu betonen, dass diese Antwort nicht statisch ist.“
Wie Colorado die Erhöhung der Sicherheitsausgaben rechtfertigt
Der US-Bundesstaat Colorado gibt in diesem Jahr 21,5 Millionen Dollar (oder etwa 6% der gesamten IT-Ausgaben) für Sicherheit aus, gegenüber 12,7 Millionen Dollar (etwa 4% der gesamten IT-Ausgaben) im Jahr 2018. Es handelt sich um die größte Erhöhung des Sicherheitsbudgets, die je für die Staatsregierung stattgefunden hat, so Deborah Blyth, CISO des Colorado Governor’s Office.
Schaffung eines Rahmens zur Messung der Sicherheitsreife
„Es ist sehr schwierig festzustellen, wie viel Geld ausreicht und wie hoch die Ausgaben sein sollten“, sagt Blyth. Der Staat hat einen Rahmen, die 20 Critical Security Controls, verabschiedet und misst die Sicherheitsreife an diesem Rahmen.
„Diese laufende Reifegradbewertung wird dann verwendet, um bei Bedarf zusätzliche Mittel zu rechtfertigen, um zusätzliche Kontrollen und Subkontrollen durchzuführen“, sagt Blythe. „Wenn die Finanzierung uns daran hindert, die Teilkontrollen vollständig durchzuführen, könnten wir das zu unserem Budgetantrag hinzufügen. Andere Faktoren wie die Entwicklung der Agenturanforderungen und die aktuellen Bedrohungen fließen ebenfalls in unsere Budgetanforderungen ein.“
Rechtfertigung des Ausgabenbedarfs aufgrund aktueller Bedrohungen
So hat beispielsweise ein Sicherheitsvorfall, den das Colorado Department of Transportation im Februar 2018 erlebt hat, stark in die Budgetanforderung eingewirkt, die zum diesjährigen Budget führte. „Der Mangel an ausreichenden Mitteln verzögerte die Umsetzung der notwendigen Sicherheitsverbesserungen, die die Auswirkungen des Sicherheitsvorfalls verhindert oder gemildert hätten, obwohl diese Bemühungen bereits seit mehreren Jahren im Gange waren“, erklärt Blyth. „Wir waren erfolgreich bei der Erstellung des Business Case und der Erhöhung unseres Finanzierungsniveaus, um die identifizierten Sicherheitsverbesserungen in diesem Jahr abzuschließen.“
Vergleich der Ausgaben mit denen anderer Unternehmen
Der Staat verwendet auch eine Studie der National Association of State Chief Information Officers (NASCIO), die alle zwei Jahre veröffentlicht wird, um zu ermitteln, wie sich seine Sicherheitsinvestitionen im Vergleich zu anderen Staaten unterscheiden. Diese Studie zeigt, dass Staaten zwischen 6% und 10% ihrer IT-Budgets in Sicherheit investieren, so Blyth.
*Bob Violino ist ein beitragender Autor für Computerworld, CIO, CSO, InfoWorld und Network World mit Sitz in New York.
Be the first to comment