Esistono buone risorse o buone pratiche su come stimare i costi per l'implementazione delle misure di sicurezza in un'azienda? Il mio scopo è quello di giustificare al management la necessità di spendere questo importo per rafforzare la sicurezza della nostra azienda nel nostro settore. Credo che una sorta di strumento di gestione del rischio standardizzato possa aiutare. O ci sono rapporti di ricerca sul mercato che illustrano già una cifra stimata per ogni settore nel mercato? grazie
Penso che il modo più accurato sia di effettuare una valutazione del rischio.
Ad esempio, calcola il valore di ciascuna risorsa che desideri proteggere all'interno della tua azienda. Il valore è il valore per la tua azienda, non solo il prezzo per acquistarlo in primo luogo. Ad esempio, il costo di implementazione, il costo dei dati, il valore per i proprietari e gli utenti e il valore che ha per gli aggressori.
Calcola il SLE (Exploancy Single Loss) per ogni asset:
SLE = value of asset * exposure factor
Il fattore di esposizione è la percentuale di perdita che una minaccia realizzata avrebbe.
Quindi elaborare l'ALE (Annualized Loss Expectancy):
ALE = SLE * annual rate of occurrence (ARO)
ARO è il numero di volte in cui una minaccia si verifica ogni anno (1 per una volta all'anno, 0,5 per una volta ogni due anni, 2 per due volte).
Aggiungendoli insieme dovresti darti il budget annuale che dovresti spendere per la sicurezza. Non ha senso pagare di più per prevenire che i costi per la tua azienda se accadono.
Vedi articolo di Wikipedia sulla gestione del rischio IT per i metodi e il software formali che possono aiutare con questo.
La sicurezza riguarda la prevenzione della perdita, non il profitto .
Ci sono un sacco di report su come calcolare il ROI (Return On Investment) per un'azienda (ho persino visto un dottorato su questo) ma questo di solito finisce con un pomo d'ondeggiamento e sto ancora aspettando, dopo aver eseguito i budget di $ MM, per una formula magica che direbbe alla direzione che l'investimento vale il prezzo.
Mi dispiace non avere una risposta che abbia quella formula pulita, ma non è probabile che tu ne trovi una. Le aziende che hanno un percorso breve tra IT e profitti possono tuttavia trovare alcuni collegamenti ragionevoli. Potresti obiettare che se rendi x $ / s, un tempo di inattività di N secondi significa N*x $ perdita. Una soluzione di protezione DDos ti costerà questo e quello quindi se ti aspetti di essere DDoSed (questo non costa molto), allora l'investimento vale forse la pena.
Troverai rapporti che affermano che un'intrusione costa a un'azienda qualsiasi somma di dollari. Questo è vero per i costi diretti (cioè devi pagare multe legali) ma non tiene conto (o, dall'altra parte dello spettro - esagerato grossolanamente) dei costi collaterali. Anche mettere un valore in dollari vicino alla perdita di fiducia non è facile.
Questo vuol dire che puoi consultare alcuni rapporti su Google ( ENISA ha un buon introduction ), ma le discussioni sul budget in materia di sicurezza sono solitamente di danza del ventre.
Leggi altre domande sui tag risk-management