De cyberhot som organisationer i alla storlekar står inför idag är mer allvarliga och mångfacetterade än någonsin tidigare. Utpressningsattacker, överbelastningsattacker, nätfiske- och social engineering-attacker samt attacker mot leverantörskedjan är bara några exempel på hot.
Även om ledningsgrupper i någon mån kan ta till sig dessa koncept, visar studier på att 42% av ledningsgrupper inte tycker att informationssäkerhetsfrågor hör hemma på deras agenda. 4 av 10 verkar alltså inte tycka att det här är en tillräckligt affärskritisk fråga.
Varför har vi så svårt att enas om att det här är en fråga som förtjänar ledningens uppmärksamhet och gehör?
Vår bild på DirSys är att många ofta kämpar med att kommunicera till ledningen varför de ska investera i informationssäkerhet/cybersäkerhet. Informationssäkerhetsarbete har inget egenvärde i sig utan ska finnas där som en möjliggörare för organisationen i fråga. Detta behöver förklaras för ledningen, detta behöver alla förstå. Därmed är det avgörande att förmedla på vilket sätt säkerhetsinvesteringar kan bidra till att nå organisationens övergripande affärsmål.
Prata ledningens språk
Och hur ska vi då förmedla det? Jo, genom att prata ledningens språk och därmed sänka tröskeln för att lyfta upp dessa frågor på ledningens agenda.
Att prata ledningens språk handlar i det här läget om att lyfta ROI (return on investment), eller mer specifikt ROSI (return on security investment).
Det handlar dels om att ge förslag på säkerhetsinvesteringar, dels om att visa på hur organisationen kan räkna hem dessa investeringar. Det handlar om att göra en kostnadsnyttoanalys.
Det är först när du pratar ledningens språk (ekonomi) som du får en ärlig chans att lyfta säkerhet till en affärs- och verksamhetskritisk fråga.
Return on Security Investment (ROSI) – ett räkneexempel
För att få fram ROSI används formeln: Nytta av investering – Kostnad av säkerhetsinvestering / Kostnad av investering.
Säg att en organisation investerar 50 000 kr i säkerhetsåtgärder och förväntar sig att detta kommer att spara dem 130 000 kr per år i förhindrade cyberattacker. Då skulle ROSI beräknas som:
ROSI = (Kostnad för risk – Kostnad för åtgärd) / Kostnad för åtgärd
ROSI = (130 000 − 50 000) / 50 000 = 1.6 eller 160%.
Detta innebär att för varje krona som investeras i säkerhetsåtgärder, får organisationen tillbaka 1,60 kr i besparingar.
I tabellen nedan presenteras fler exempel på de vanligaste säkerhetsinvesteringarna. Kostnader som är specificerade i tabellen är uppskattade utifrån en 3-årsperiod.
Vad kostar ett avbrott för en kommun?
För att exemplifiera ytterligare hur du kan motivera ledningen att investeringa i informationssäkerhet tar vi ett konkret exempel.
Vi har den senaste tiden sett vilka effekter otillgängliga system kan få för en organisation.
Vi vet att enstaka individer eller samhället i stort kan påverkas negativt. Den egna organisationen kan dessutom lida skada i form av försämrat varumärke och/eller produktionsstopp.
I det här exemplet tittar vi på ett driftsstopp av trygghetslarm i en medelstor kommun.
Här är en uppskattning av vad kostnaderna blir om det blir otillgängligt under ett dygn. Vad totalkostnaden blir är baserad på olika faktorer:
- Direkta kostnader: Kostnader för att anlita tekniker och utrustning för att åtgärda problemet kan uppgå till 50 000–100 000 kronor, beroende på problemets omfattning och hur snabbt det löses.
- Personalkostnader: För att säkerställa tryggheten för brukare kan extra personal behövas. Om tio personer arbetar extra och varje person kostar cirka 2 000 kronor per dag, blir totalkostnaden 20 000 kronor.
- Indirekta kostnader: Dessa kan inkludera ökade sjukvårdskostnader vid olyckor, juridiska kostnader eller skadestånd, vilket kan leda till betydande belopp.
Totalt kan kostnaden för ett dygns driftstopp av ett trygghetslarm i en medelstor kommun uppskattas till 70 000–150 000 kronor, beroende på situationens specifika förutsättningar.
Information av det här slaget, det vill säga redovisning av (ekonomiska) kostnader för organisationen vid ett systembortfall, kan du använda för att motivera ledningen att investera i säkerhetsåtgärder (planera för kontinuitet).
Att motivera informationssäkerhetsinvesteringar – en summering
Tabellen och tillhörande räkneexempel är tänkta att förenkla beslutsfattandet för ledningsgrupper när det kommer till säkerhetsinvesteringar (ROSI). Detta har tagits fram då ledningsgrupper ofta vill veta hur de kan ”räkna hem” säkerhetsinvesteringar.
Med förståelse för exempelvis de ekonomiska konsekvenserna av ett systembortfall kan en ledningsgrupp ha närmare till att fatta beslut om att prioritera åtgärder inom området kontinuitetsplanering.
För att lyckas nå fram till ledningen är det viktigt att prata deras språk. Lyft informationssäkerhet till en verksamhets- och affärskritisk fråga. Och gör det gärna genom att visa på ROI.
Har du frågor, funderingar eller vill prata vidare kring hur du kan motivera säkerhetsinvesteringar? Välkommen att kontakta mig, Filip Gårdelöv.
Författare Filip Gårdelöv,
Konsult informationssäkerhet på DirSys AB
Du når mig på [email protected] eller via LinkedIn.
