Az IT biztonság negatív összegű játszmája

Beinschróth József
2014. január 24.

Az amerikai Nemzetbiztonsági Ügynökség (NSA) kémbotrányának hatására a német cégek 40 százaléka erősíti IT biztonságát, 60 százaléka viszont nem. Utóbbiaknál visszatérő érv, hogy nem éri meg; a ROI túl alacsony a költségekhez képest – írta a cfo-insight.com a CFO-knak szóló német FINANCE magazin felmérése alapján. De hogyan is számíthatjuk ki ezt a ROI-t, és mi következik belőle?

Az amerikai Nemzetbiztonsági Ügynökség (NSA) kémbotrányának hatására a német cégek 40 százaléka erősíti IT biztonságát, 60 százaléka viszont nem. Utóbbiaknál visszatérő érv, hogy nem éri meg; a ROI túl alacsony a költségekhez képest – írta a cfo-insight.com a CFO-knak szóló német FINANCE magazin felmérése alapján. De hogyan is számíthatjuk ki ezt a ROI-t, és mi következik belőle?

Többnyire a játékelméletből ismert „negatív összegű játszma” modell alapján gondolkodik az informatikai menedzsment az információbiztonság költségeiről. Esetünkben ez azt jelenti, hogy csak veszteségeink lehetnek, így ROI-ról – klasszikus értelmezésében – nem is beszélhetünk. A veszteségek két részből tevődnek össze: egyrészt a károk okozta veszteségekből (bizalmassági, sértetlenségi, rendelkezésre állási problémák), másrészt a védelmi intézkedésekre fordított költségekből. Egyértelmű, hogy az optimum eléréséhez a két tétel összegének minimalizálására kell törekednünk, méghozzá hosszútávon gondolkodva. A védelmi költségek minimalizálása esetén nagyok lesznek a veszteségek, ha pedig eltúloznánk a védelemre fordított költségeket, akkor veszteségre ugyan alig számíthatunk, de elfogadhatatlanul magasak lennének a kiadások.

Célszerű tehát megkeresni az optimális pontot, azt, amelynél elfogadható költségek mellett alacsony veszteségekre számíthatunk. Ez sajnos a gyakorlatban nem egyszerű, nem tudunk olyan egyenletet felírni, amelynek deriválásával ez a szélső érték probléma megoldható lenne. A helyzetet tovább bonyolítja, hogy a védelmi intézkedések (pl. eszközbeszerzések) költsége pontosan meghatározható, a veszteségek pedig csak becsülhetők, főképpen a bekövetkezési valószínűségük és bekövetkezésük esetén fellépő kár alapján.

A megoldást a minden részletre kiterjedő és folyamatosan aktualizált kockázatelemzésre való építkezés és költség-haszon elemzés jelentheti. Ezek alapján határozható meg, melyek azok a feltételezett események, amelyek ellen védelmi intézkedések szükségesek, és melyek azok, amelyeket maradék kockázatként elfogadunk.

Az összkép azonban a fentieknél kicsit kedvezőbb: Egy szabályozott működésű és megbízható IT infrastruktúrával, esetleg erre vonatkozóan független tanúsítással rendelkező szervezet az ügyfelek, üzleti partnerek szemében sokkal vonzóbb, mint ezek hiányában.

Kapcsolódó bejegyzések:
Csatlakoztasd és imádkozz!