Auki logo ta Kontakt

10 tips för att förbättra din informationssäkerhets-budget.

7/2-2023, Elin Amberg

10 tips för att förbättra din IT-säkerhetsbudget.

Foto av Towfiqu Barbhuiyah. En burk med mynt som illustrerar en snålt tilltagen budget för informationssäkerhet.


Vi är en bit in på året och många har insett begränsningen av sina nya budgetar. Med lågkonjunkturen i tanke har de flesta antagligen fått känna på någon form av besparing. Budgetområden som vanligtvis är sparsamt tilltagna lär inte haft mer tur dem. Ett område jag ofta ser långt ner på priolistan är informationssäkerhet. Trots att informationssäkerhet är lika mycket en försäkring som någon annan och även om medvetenheten har ökat (i viss mån) är detta ett område som ofta är underfinansierat i tid, kunskap och medel. De lyckligaste är ofta de som haft oturen att redan drabbats och som dessutom har fler kostnader att täcka på grund av tidigare motgångar.

Du har förmodligen redan lagt ner ett enormt arbete på att presentera risker och säkerhetsåtgärder, men ändå kan du inte täcka dina kostnader. Men, det kan finnas mer saker du kan göra för att öka dina medel. Eftersom budgeten är fastställd måste du ut på en organisationsrunda för att hitta dina sponsorer på annat håll.

Om du är ansvarig för informationssäkerheten i din organisation hoppas jag att allt det här låter främmande, men om igenkänningen är för stor kommer nu några tips på hur du kan förbättra din budget före årets slut.

 

1. Börja inte med att gräva efter guld på ekonomiavdelningen.

Det är lätt att tro att du ska börja med ekonomiavdelningen, men det är ofta ett nybörjarmisstag. Även om det är här alla medel kommer ifrån, kom ihåg att ekonomiavdelningens huvuduppdrag är att hushålla med resurserna och leverera svarta siffror, intäkter över kostnader. De har antagigen inte heller mandat att omfördela organisationens budget. Du måste först bygga upp en affärsidé och få acceptans från andra håll. Ditt huvudmål är att ändra tankesättet i din organisation, så att informationssäkerheten inte längre ses som en kostnad, utan i stället som en investering.

 

2. Gör din organisationsläxa.

Se till att du är medveten om de huvudsakliga mål och målsättningar som din organisation har satt upp för det här året och de fyra påföljande. Vilka mål strävar din organisation efter och vilka prioriteringar är de villiga att investera i? Hur ser marknaden ut och vilka andra organisationer fungerar som förebilder.

3. Förstå de andra avdelningarna.

Vilka viktiga aktiviteter och mål har de andra avdelningarna planerat för? I det här skedet handlar allt om att lyssna.

Börja med säljavdelningen.

Det är den här avdelning som ansvarar för att få in pengarna, så de flesta organisationer investerar i försäljningen. Även i tider av behov biter man inte den hand som matar en. Vad anser de vara framgångsfaktorer och vilka hinder eller risker oroar de sig för? Vilken konkurrens möter de? Vilka är kunderna och vilka önskemål har de? Vad avgudar försäljningen? Typiskt sett tenderar idoliserade organisationer också att ha en bakgrund med en starkare informationssäkerhetsuppsättning. Minns du gamla ordspråk som "en MacBook kraschar aldrig eller får virus"? Oavsett om de är korrekta eller inte har dessa tankesätt byggt upp ett värde med tiden och fortsätter att bidra till den övergripande konkurrensfördelen. Glöm inte att ta hänsyn till eventuell skugg-IT, om de en gång var villiga att investera i IT, se till att inkludera beräkningar av de totala kostnaderna i din kommande affärsidé.

Gör nu samma sak med marknadsavdelningen.

Deras mål är att både leverera potentiella kunder till försäljningen (leads och prospekt), men de är också medvetna om värdet av varumärke och rykte. Om du inte redan har gjort det, kolla upp lågt hängande frukter som t.ex. dåligt konfigurerade DNS-poster på grund av martech (marknadsföringsteknik/applikationer) eller tecken på brute force på webbplatser osv.

Följ upp med fler avdelningar.

Ta med ekonomiavdelningen, men kom ihåg att detta fortfarande är en lyssnande och lärande fas. Om du arbetar i en organisation med en juridisk avdelning, se till att du även inkluderar dem. Juridisk och IT-säkerhet har försäkringsrollen gemensamt och båda strävar efter att göra rätt sak, lätt eller inte, för att undvika krishantering. Men juridiken är mycket mer etablerad på det här området och det finns en större acceptans för kostnader som är knutna till den juridiska avdelningen, så alla gemensamma grunder är bra för högre trovärdighet och för att utnyttja IT-säkerhetens behov.

 

4. Tillbaka till ritbordet.

Vilka upptäckter fick du på din rundtur på avdelningen? Uppdatera din riskanalys och lägg till mer konkreta exempel, men viktigare är att se till att lägga till eventuella gemensamma intressen med var och en av avdelningarna. Det är här du omvandlar informationssäkerheten från kostnader till investeringar.

Försäljning.

Kan förändringar i informationssäkerheten ge några unika försäljningsargument gentemot konkurrenterna? Om så är fallet kan du utnyttja försäljningen, om inte är du inte tillräckligt konkurrenskraftig och kan potentiellt förlora försäljning.

Marknadsföring.

Kommer troligen att dra nytta av samma saker som försäljningen, men skulle också få fördelar om varumärkets trovärdighet ökar över tid. Spoofing eller andra attacker som drar nytta av din organisations trovärdighet är skadliga, så förebyggande åtgärder är avgörande.

Andra avdelningar.

Hitta gemensamma nämnare med de andra avdelningarna också. Hur kan de dra nytta av investeringar i informationssäkerhet? Vilka aktiviteter eller projekt skulle vara fördelaktiga?

 

5. Prioritera och bygg dina business cases.

Baserat på din kartläggning av nödvändiga förbättringar och gemensamma intressen, hur skulle dina mest prioriterade aktiviteter kunna gynna andra avdelningar? Vad skulle de kosta och vem vill du ska investera i det här? Bygg nya case på dessa win-win-insikter, men belys de fördelar som din valda avdelning och dina intressenter skulle få och/eller de risker de skulle förebygga. Se till att sikta på redan målinriktade KPI:er och åtgärder.

 

6. Förespåka och samla sponsorer.

Använd nu ditt/dina case på identifierade intressenter i syfte att få en eller flera sponsorer (en kollega som tror på ditt projekt och kan bidra med budget och/eller trovärdighet). Få dem att förstå hur den här aktiviteten är en nyckelfaktor för att de ska kunna nå sina uppsatta mål.

 

7. Spika budgeten.

Antingen genom att utöka budget direkt via din sponsor/sponsorer baserat på nya överenskomna aktiviteter och planerade kostnader, eller med hjälp av din sponsor, genom att utnyttja affärsidén och den nödvändiga budgeten till någon med rätt mandat.

 

8. Sätt igång med arbetet.

Kom ihåg att ingenting kan tas för givet. Om du lyckas öka din budget ska du se till att börja arbeta så snart som möjligt. Situationen kan alltid förändras, och det finns alltid en risk för att budgeten skärs ned, särskilt när det gäller en budget som behövde det extra arbetet till att börja med.

 

9. DU kan inte förlora.

Ja, det är tufft att inte ha uppmärksamheten och trovärdigheten till att börja med, men det är ännu svårare om du gör ett nytt försök utan att säkra dina välbehövliga resurser. Men att bygga relationer och förtroende är krävande. Även om du inte fick det önskade resultatet den här gången har du redan kommit ett steg längre när det gäller att öka medvetenheten inom organisationen och förbättra dina relationer inom organisationen. Fortsätt att lyssna och se till att visa stöd när du kan bidra med ditt expertområde. Fortsätt att synliggöra dina synergier och behov, nästa gång kan det vara en kollega som sträcker ut handen till dig med möjlighet att uppnå ett av dina mål. Och se förstås till att proaktivt vidta samma åtgärder innan du fastställer nästa års budget.

 

10. Glöm inte bort allt som är ”gratis”.

Oavsett om din budget är tjock eller tunn finns det alltid viktiga aktiviteter som kanske inte kostar mer än din tid. Några av dem är ännu viktigare om du upplever bristande förståelse från din organisation.

Utbilda ledningsgruppen.

Om du inte kan få dem att förstå informationssäkerhetens behov, vem ska då göra det? (Tja, förmodligen någon som orsakar en större incident, men du vill inte städa upp den röran, eller hur? Och din organisation vill definitivt inte betala för det...)

Utbilda användarna.

Många skulle hålla med om att användarna är en organisations största riskfaktor. Öka deras medvetenhet, förbättra användarnas allmänna beteende och säkerheten.

Policys och riskhantering.

Det finns alltid en brist på dokumentation eller en välbehövlig uppdatering. Glöm inte att öka medvetenheten, kommunicera och förespråka.

Om författareN.

Elin Amberg är konsult inom it- och digitalisering med erfarenhet från olika affärsområden och branscher. Hon brinner för att bygga broar mellan organisation och it, och göra allt it-relaterat enklare och lättare att förstå.

kontakt

Skicka ett mail.

Vill du och din organisationha hjälp med it och digitalisering eller är du mest nyfiken? Ta kontakt så hör vi av oss!
Namn E-post Meddelande Jag accepterar reglerna och villkoren och integritetspolicyn Skicka in

2 Sanningar och 1 lögn om AI

Det har siats mycket kring AI, men vad har gått i uppfyllelse och vad stämmer inte?