Budget sempre più contenuti e tagli all’ordine del giorno da un lato, sicurezza e business continuity dall’altro. Sul tavolo dei CISO il tema dei bilanci e delle razionalizzazione è ormai all’ordine del giorno, soprattutto all’inizio dell’anno in cui si fa il punto della situazione.
In una tavola rotonda che si è tenuta alla RSA Conference del 2015, CISO e amministratori di rete dedicati alla sicurezza concordano sul fatto che i prodotti destinati alla sicurezza devono essere molto meno di quelli attualmente vengono utilizzati in azienda. E questo non è un tema banale.
C’è infatti ancora molta confusione su quali siano le soluzioni veramente utili e quali invece dovrebbero essere tagliate, per poter risparmiare sul budget destinato a questo importante settore aziendale. Come è possibile determinare cosa serve e cosa invece sia superfluo? Quale processo dovrebbero attuare manager e amministratori di rete per avere in definitiva solo i prodotti che realmente servono per garantire la sicurezza della rete aziendale?
Come ridurre i budget e aumentare la sicurezza: 6 cose da sapere
Un’indagine condotta da ISACA e RSA per lo State of Cybersecurity: Implications del 2015 racconta come il 56% degli 845 manager intervistati affermi di aver avuto un budget per la sicurezza superiore nel 2015 rispetto al 2014. Questo, a fronte del fatto che molti CISO e amministratori di rete abbiano ammesso come la maggior parte dei prodotti per la protezione delle informazioni sensibili presenti in azienda precedentemente acquistati potrebbero anche essere ridotti senza che questo possa compromettere i servizi esistenti. Alla fine delle tavola rotonda, gli esperti, hanno individuato diversi modi di tagliare il bilancio destinato alla sicurezza delle informazioni sensa intaccare la qualità della sicurezza. Tra questi i principali sono:
- Ridurre lo shelfware, ovvero eliminare tutti quei prodotti acquistati, ma che non sono mai stati utilizzati
- Ridurre le spese per la gestione in outsourcing di alcuni servizi che possono essere gestiti internamente
- Eliminare gli strumenti di sicurezza che hanno caratteristiche rindondanti
- Eliminare gli strumenti dimenticati, predisponendo un inventario delle tecnologie e delle caratteristiche di tutti i prodotto presenti in azienda
- Personalizzare strumenti multifunzione, piuttosto che utilizzare più strumenti monofunzione
- Garantire che ogni strumento adibito alla sicurezza sia giustificato per il business dell’azienda, oltre che essere determinante per la sicurezza dei dati
Il taglio del budget destinato alla sicurezza non deve essere fatto a cuor leggero. Avere un piano ben preciso, dove vengono valutati tutti gli aspetti (pro e contro) di una diminuzione delle risorse da investire nella sicurezza è importante, così come è necessario esternare qualsiasi pensiero su come e perché strumenti, funzioni e personale possano essere eliminati.
Investimenti: le 4 best practice della razionalizzazione
Ecco ora alcuni consigli per aiutarvi a realizzare i vostri obiettivi di budget, mantenendo elevato il livello del vostro portafoglio di prodotti per la sicurezza:
- Individuare gli strumenti che possono essere eliminati, combinati o sostituiti, in base ai suggerimenti sopra descritti
- Eseguire un total cost of ownership (TCO) dei prodotti che forniranno funzionalità e produttività aggiuntive nel programma di sicurezza delle informazioni e del personale
- Fare un inventario delle competenze del personale e individuare quelle che possono essere eliminate e quali invece sono necessarie per supportare eventuali strumenti aggiuntivi che verranno acquistati
- Sviluppare e presentare al Consiglio di Amministrazione un bilancio completo, facile da capire, ma soprattutto realistico per il prossimo anno fiscale
Tutto questo consentirà di far capire all’executive management che, anche se un taglio sui prodotti destinati alla sicurezza è appropriato, nel caso, un aumento del budget per tenere al sicuro le informazioni, è altrettanto conveniente.