Şirketinizin BT Güvenliği Bütçesine Nasıl Karar Vermelisiniz?

Şirketinizin BT Güvenliği Bütçesine Nasıl Karar Vermelisiniz?

Alexander Moiseev, Kaspersky Ticari Faaliyetler Yöneticisi (CBO)

Bilgi güvenliği ürünleri ve servisleri için yapılan harcamalar yıllardır tüm dünyada artıyor. Gartner’a göre, 2018’de 114 milyar ABD doları (2017’ye göre %12,4 artış) olan tutarın 2019’da 124 milyar ABD doları seviyesini aşacağı tahmin ediliyor.  Kurumsal şirketlerde BT güvenliğini yönetenlerin de yüksek beklentileri bulunuyor. Bunların %72’si bütçelerinin 2020’de artacağını söylüyor . Bilgi güvenliğine daha fazla para aktarılmasıyla birlikte, bu yatırımların nasıl şekil aldığını görmek de ilginç bir hal alıyor.

Kendi deneyimlerime göre, işle ilgili veya kişisel konularda geleceğe yönelik kararlar vermek için iki temel yol bulunuyor. İlki, kendi sezgilerine ve benzer durumlardaki tecrübelerine güvenmek veya başkalarının tercihlerini izlemek. Bu geleneksel bir yaklaşım. İkinci yol ise kendi özel durumunu analiz etmek, küçük ayrıntıları incelemek ve bu ayrıntıların yakın gelecekte değişme olasılığını hesaplamak. Bu da risk tabanlı bir yaklaşım.

Gelin şimdi farklı şirketlerin BT güvenliği harcamalarını nasıl planladığını ve bu iki yaklaşımdan neler öğrenebileceğimizi görelim.

Bütçe için geleneksel yaklaşım

Güvenlik bütçesini belirlemede en sık kullanılan yaklaşım, genellikle şu ana dair acil ihtiyaçları veya geçmiş deneyimleri temel alıyor. Bu yaklaşım özellikle, gerekli minimum siber güvenlik önlemlerini hızla alıp büyümeye odaklanmak isteyen şirketler için geçerli.

Bu aşamadaki kurumlarda bütçe planlaması, mevcut bütçenin minimum değişiklikle birkaç sefer kullanılması yoluyla gerçekleşiyor. Stratejik BT güvenliği hedefleri belirlenmiyor veya özel risk değerlendirmeleri yapılmıyor. Para, ortaya çıkan ihtiyaçlara yönelik geçici destek için harcanıyor.

Bu yaklaşım, hesapta olmayan ani ihtiyaçlar ortaya çıkmadığı sürece iş görüyor. Ancak, işin dijital tarafını büyütmek, CRM veya muhasebe için bulut tabanlı bir hizmet kullanmak ya da yeni bir şube açmak gibi kararlar alındığında bu yaklaşım yeterli olmayabiliyor. Tüm bu kararlar BT güvenliği bütçesi ve personelinin en yakın güvenlik açığını kapatmaya yönlendirilmesini gerektiriyor. Bu durumda, daha önceden planlanan işler ve kurulumlar yığılıp gecikebiliyor.

Bunun sonucunda ne yazık ki, güvenliğe harcanan gerçek miktar beklenmedik bir durumla karşılaşıldığında dramatik bir oranda artıyor. Kurumlar bu sorunları ne pahasına olursa olsun mümkün olduğunca çabuk bir şekilde çözmek zorunda kalıyor. Aynı zamanda, risk yönetimi için daha olgun bir yaklaşıma sahip daha büyük kurumların bilgi güvenliğine harcaması gereken para daha az olabiliyor.

Risk tabanlı yaklaşım

2019’da bilgi güvenliği yöneticilerinde aranan en önemli üç beceriden birinin risk yönetimi uzmanlığı olması şaşırtıcı değil. Köklü kurumsal şirketlerde risk değerlendirmeleri, temel iş süreçlerinin bir parçası. BT güvenliği için de durum aynı.

Daha olgun kurumlar aynı anda olabildiğince çok açığı kapatmaya çalışmıyor. Öncelikle iş için kritik risklere bakıyorlar. Bunlar arasında çalışmaların aksaması, hizmetlerin sunulabilmesi, itibar kaybı, iş fırsatlarının kaybedilmesi veya her türlü maddi zarar yer alıyor. Bu düşüncedeki şirketler için siber güvenlik bir alışkanlık veya korkutucu haberler nedeniyle yapılan mecburi bir yatırım değil. Siber güvenlik, risk hesabına (vaka olasılığı ile maliyetin çarpımı) göre yapılan mantıklı bir yatırım olarak görülüyor.