September 27, 2021 By helicebikestyle.com 0

Kasus Bisnis untuk Keamanan Informasi: Mendapatkan Anggaran Keamanan Anda Disetujui

Keamanan sistem informasi sangat penting di perusahaan saat ini, untuk mengekang berbagai ancaman dunia maya terhadap aset informasi. Terlepas dari argumen bagus yang diajukan oleh manajer keamanan informasi, Dewan dan Manajemen Senior dalam Organisasi, mungkin masih ragu-ragu, untuk menyetujui anggaran keamanan informasi, visa vi item lain, seperti pemasaran dan promosi, yang mereka yakini memiliki Return on yang lebih besar Investasi (ROI). Lalu, bagaimana Anda, sebagai Chief Information Security Officer (CISO)/IT/Manajer Sistem Informasi, meyakinkan Manajemen atau Dewan tentang perlunya berinvestasi dalam keamanan Informasi?

Saya pernah berbicara dengan Manajer TI untuk salah satu Jasa Pendirian Koperasi ?lembaga keuangan regional besar, yang berbagi pengalamannya dalam mendapatkan anggaran keamanan informasi yang disetujui. Departemen TI sedang bergumul dengan Pemasaran untuk mendapatkan sejumlah dana yang telah tersedia dari penghematan anggaran tahunan. ” Anda lihat, jika kami berinvestasi dalam kampanye pemasaran ini, tidak hanya segmen pasar yang ditargetkan membantu kami membuat dan melampaui angka, tetapi juga perkiraan menunjukkan bahwa kami dapat melipatgandakan portofolio pinjaman kami.” bantah orang-orang pemasaran. Di sisi lain, argumen TI adalah bahwa “Dengan menjadi proaktif dalam pengadaan Sistem Pencegahan Intrusi (IPS) yang lebih kuat, mereka akan mengurangi insiden keamanan”.Manajemen memutuskan untuk mengalokasikan dana ekstra untuk Pemasaran. Orang-orang IT bertanya-tanya kemudian, apa yang telah mereka lakukan salah, bahwa orang-orang pemasaran benar! Jadi bagaimana Anda memastikan bahwa Anda mendapatkan persetujuan anggaran untuk proyek keamanan informasi Anda?

Sangat penting bagi manajemen untuk menghargai konsekuensi dari kelambanan tindakan sejauh menyangkut mengamankan Perusahaan, jika pelanggaran terjadi tidak hanya organisasi akan menderita kehilangan reputasi dan pelanggan, karena berkurangnya kepercayaan pada merek, tetapi juga pelanggaran dapat menyebabkan hilangnya pendapatan dan bahkan tindakan hukum yang diambil terhadap organisasi, situasi di mana kampanye pemasaran yang baik mungkin gagal untuk menebus organisasi Anda.

Kami mencoba membahas poin-poin utama yang dapat diajukan manajemen terhadap investasi dalam keamanan informasi.

1. Solusi keamanan informasi cenderung mahal, di mana hasil nyatanya?

Tujuan keseluruhan dari setiap organisasi adalah untuk menciptakan / menambah nilai bagi pemegang saham atau pemangku kepentingan. Dapatkah Anda menghitung keuntungan? Kesesuaian dengan tindakan pencegahan yang ingin Anda dapatkan? Indikator apa yang Anda gunakan untuk membenarkan investasi itu dalam keamanan informasi? Apakah argumen Anda untuk tindakan balasan sejalan dengan tujuan keseluruhan Organisasi, bagaimana Anda membenarkan bahwa tindakan Anda akan membantu organisasi mencapai tujuannya dan meningkatkan nilai pemegang saham/pemangku kepentingan. Misalnya, jika organisasi telah memprioritaskan akuisisi pelanggan dan retensi pelanggan, bagaimana pengadaan solusi keamanan informasi yang Anda usulkan, membantu mencapai tujuan itu?

2. Bukankah tindakan balasan tersebut merupakan reaksi panik/terisolasi terhadap persyaratan peraturan atau permintaan audit baru-baru ini?

Sebagian besar proyek keamanan informasi dapat didorong oleh peraturan eksternal atau persyaratan kepatuhan, atau dapat berupa reaksi terhadap permintaan terbaru oleh auditor eksternal atau bahkan sebagai akibat dari pelanggaran sistem baru-baru ini. Misalnya, ?regulator keuangan dapat mewajibkan semua ??lembaga keuangan menerapkan alat penilaian Kerentanan TI. Dengan demikian, organisasi diharuskan untuk mematuhi dengan biaya berapa pun atau menghadapi hukuman. Sementara tanggapan terhadap persyaratan peraturan ini diperlukan, hanya menutup lubang dan pendekatan “?melawan ?kebakaran” tidak berkelanjutan. Pelaksanaan perubahan proses dalam isolasi dapat mengakibatkan lingkungan bekerja dalam silo, ?informasi dan terminologi yang saling bertentangan, teknologi yang berbeda, dan kurangnya koneksi ke strategi bisnis. [1]
Reaksi yang tidak terkoordinasi terhadap persyaratan peraturan tertentu, dapat menyebabkan penerapan solusi yang tidak selaras dengan strategi bisnis organisasi. Oleh karena itu untuk mengatasi masalah ini dan mendapatkan persetujuan pendanaan dan dukungan manajemen, argumen dan kasus bisnis Anda harus menunjukkan bagaimana solusi yang ingin Anda dapatkan ?sesuai dengan gambaran yang lebih besar, dan bagaimana hal ini sejalan dengan tujuan keseluruhan mengamankan aset dalam organisasi.

Apa biaya, implikasi, dan dampak dari tidak melakukan apa-apa?

Anda perlu berkomunikasi dengan manajemen, nilai bisnis dasar dari solusi yang ingin Anda dapatkan. Anda akan mulai dengan menunjukkan/menghitung biaya saat ini, implikasi, dan dampak dari tidak melakukan apa-apa; jika tindakan pencegahan yang ingin Anda lakukan tidak ada. Anda dapat mengklasifikasikan ini sebagai:

Biaya langsung – biaya yang dikeluarkan organisasi karena tidak memiliki solusi.
Biaya tidak langsung – jumlah waktu, tenaga, dan sumber daya organisasi lainnya yang dapat disia-siakan.
Biaya peluang – biaya yang dihasilkan dari peluang bisnis yang hilang, jika solusi keamanan atau layanan yang Anda usulkan tidak tersedia dan bagaimana hal itu dapat memengaruhi reputasi dan niat baik organisasi.

Anda dapat menggunakan petunjuk berikut dan menjelaskannya lebih lanjut:

• Denda peraturan apa karena ketidakpatuhan, yang dihadapi organisasi?
• Apa dampak dari gangguan bisnis dan kerugian produktivitas?
• Bagaimana organisasi akan terpengaruh, merek atau reputasinya yang dapat mengakibatkan kerugian finansial yang besar?
• Kerugian apa yang terjadi karena manajemen risiko bisnis yang buruk?
• Kerugian apa yang kita hadapi terkait dengan penipuan: eksternal atau internal?
• Berapa biaya yang dikeluarkan untuk orang-orang yang terlibat dalam mitigasi risiko yang seharusnya dapat dikurangi dengan menerapkan tindakan pencegahan?
• Bagaimana kehilangan Data, yang merupakan aset bisnis yang hebat, berdampak pada operasi kita dan berapa biaya sebenarnya untuk pemulihan dari bencana seperti itu?.
• Apa implikasi hukum dari setiap pelanggaran sebagai akibat dari tidak adanya tindakan kita?

Bagaimana solusi yang diusulkan mengurangi biaya dan meningkatkan nilai bisnis.

Anda kemudian perlu menunjukkan bagaimana tindakan balasan yang Anda usulkan akan mengurangi biaya dan meningkatkan nilai bisnis. Sekali lagi Anda dapat menguraikan lebih lanjut tentang bidang-bidang berikut:

• Tunjukkan bagaimana peningkatan efisiensi dan produktivitas, penerapan penanggulangan akan menguntungkan organisasi.
• Hitung bagaimana pengurangan waktu henti akan meningkatkan produktivitas bisnis.
• Tunjukkan bagaimana bersikap proaktif dapat mengurangi biaya Audit & Penilaian TI.
• Hitung pengurangan biaya yang seharusnya terkait dengan audit internal, audit pihak ketiga, dan teknologi.

Menurut penelitian tahun 2011 yang dilakukan oleh Ponemon Institute dan Tripwire, Inc. , ditemukan bahwa gangguan Bisnis dan kerugian produktivitas adalah konsekuensi paling mahal dari ketidakpatuhan. Rata-rata, biaya ketidakpatuhan adalah 2,65 kali biaya kepatuhan untuk 46 organisasi yang dijadikan sampel. Dengan pengecualian dua kasus, biaya ketidakpatuhan melebihi biaya kepatuhan.[2]. Artinya, berinvestasi adalah keamanan informasi untuk melindungi aset informasi dan mematuhi persyaratan peraturan, sebenarnya lebih murah dan mengurangi biaya, dibandingkan dengan tidak melakukan tindakan pencegahan.

Dapatkan dukungan dari berbagai unit bisnis dalam organisasi

Proposal anggaran yang baik harus mendapat dukungan dari unit bisnis lain dalam organisasi. Misalnya, saya menyarankan kepada manajer TI yang disebutkan sebelumnya, bahwa mungkin dia harus berdiskusi dengan Pemasaran dan menjelaskan kepada mereka tentang bagaimana jaringan yang andal dan aman, akan memudahkan mereka untuk memasarkan dengan ?percaya diri, mungkin TI akan memiliki tidak ada persaingan untuk anggaran. Saya tidak percaya orang-orang pemasaran ingin menghadapi pelanggan, ketika ada kemungkinan pertanyaan tentang layanan yang tidak dapat diandalkan, pelanggaran sistem, dan waktu henti. Oleh karena itu, Anda harus memastikan bahwa Anda mendapat dukungan dari semua unit bisnis lainnya, dan menjelaskan kepada mereka bagaimana solusi yang diusulkan dapat membuat hidup mereka lebih mudah.

Buat hubungan dengan Manajemen / Dewan, bahkan untuk persetujuan anggaran di masa mendatang, Anda perlu mempublikasikan dan memberikan laporan kepada manajemen tentang jumlah anomali jaringan sistem deteksi intrusi yang baru saja Anda beli misalnya, ditemukan dalam seminggu, siklus tambalan saat ini waktu dan berapa lama sistem berjalan tanpa gangguan. Pengurangan waktu henti berarti Anda telah menyelesaikan pekerjaan Anda. Pendekatan ini akan menunjukkan kepada manajemen bahwa misalnya ada pengurangan biaya asuransi secara tidak langsung berdasarkan nilai polis yang diperlukan untuk melindungi kelangsungan bisnis dan aset informasi.

Mendapatkan persetujuan anggaran proyek keamanan informasi Anda, seharusnya tidak terlalu menjadi tantangan, jika seseorang ingin memenuhi masalah utama penambahan nilai. Pertanyaan utama yang perlu Anda tanyakan pada diri sendiri adalah bagaimana solusi yang Anda usulkan meningkatkan laba? Apa yang diminta oleh Manajemen / Dewan adalah jaminan bahwa solusi yang Anda usulkan akan menghasilkan nilai bisnis jangka panjang yang nyata dan selaras dengan tujuan keseluruhan organisasi.