Slecht risicobeheer niet goed voor securitybudget
Business en IT moeten de verantwoordelijkheden rond risico’s delen, overleggen over de implicaties, maatregelen nemen en… budgetten verdedigen.
Business en IT moeten de verantwoordelijkheden rond risico’s delen, overleggen over de implicaties, maatregelen nemen en… budgetten verdedigen.
Crisis of niet, risico’s blijven zich vermenigvuldigen. Ze veranderen en worden complexer. Maar de crisis zadelt securityverantwoordelijken wel op met serieuze problemen. Ze moeten veelal werken met kleinere equipes en lagere budgetten.
“Opdat bedrijven hun investeringen in security kunnen rechtvaardigen en optimaliseren”, meent Gartner, “moeten ze enerzijds verzekeren dat de controlemaatregelen rond risico en security beantwoorden aan de businessdoelstellingen. Anderzijds moeten ze er de business van overtuigen verantwoordelijkheid te nemen rond risico.” Die raad heeft enkel zin als de verantwoordelijken niet één van de vier volgende fundamentele fouten maken:
– Een globale, dus niet gedifferentieerde, benadering hanteren voor alle afdelingen van het bedrijf of alle onderdelen van een business. Er moeten, aldus Gartner, diverse ‘profielen’ voor risicobeheer worden gebruikt bij diverse types en graden van risico en gevoeligheid van data.
– Zich baseren op de wensen van de business, veeleer dan op de reële noden. Gartner stelt dat het aan de businessverantwoordelijken is om duidelijk de risico-implicaties te bepalen van hun processen. Die informatie moeten ze doorspelen aan de securityspecialisten zodat die aangepaste budgetten kunnen berekenen en verdedigen.
– Een te complex discours hanteren over hoe kritiek een probleem al dan niet is, waardoor de business het risiconiveau niet goed begrijpt waaraan de systemen, processen en informatie zijn blootgesteld.
– De verantwoordelijkheid rond businessrisico’s naar IT doorspelen. De businessverantwoordelijken moeten volgens Gartner de verantwoordelijkheid dragen van mislukkingen en gebreken rond security of continuïteit van systemen en informatie die onder hun hoede staan.
In het volgende nummer van Data News gaan we dieper in op risicobeheer bij banken.
Fout opgemerkt of meer nieuws? Meld het hier