Az IT biztonság negatív összegű játszmája - 2014.01.24

Megosztom:
Írjon nekünk:  

Az amerikai Nemzetbiztonsági Ügynökség (NSA) kémbotrányának hatására a német cégek 40 százaléka erősíti IT biztonságát, 60 százaléka viszont nem. Utóbbiaknál visszatérő érv, hogy nem éri meg; a ROI túl alacsony a költségekhez képest - írta a cfo-insight.com a CFO-knak szóló német FINANCE magazin felmérése alapján. De hogyan is számíthatjuk ki ezt a ROI-t, és mi következik belőle?

Többnyire a játékelméletből ismert „negatív összegű játszma" modell alapján gondolkodik az informatikai menedzsment az információbiztonság költségeiről. Esetünkben ez azt jelenti, hogy csak veszteségeink lehetnek, így ROI-ról - klasszikus értelmezésében - nem is beszélhetünk. A veszteségek két részből tevődnek össze: egyrészt a károk okozta veszteségekből (bizalmassági, sértetlenségi, rendelkezésre állási problémák), másrészt a védelmi intézkedésekre fordított költségekből. Egyértelmű, hogy az optimum eléréséhez a két tétel összegének minimalizálására kell törekednünk, méghozzá hosszútávon gondolkodva. A védelmi költségek minimalizálása esetén nagyok lesznek a veszteségek, ha pedig eltúloznánk a védelemre fordított költségeket, akkor veszteségre ugyan alig számíthatunk, de elfogadhatatlanul magasak lennének a kiadások.

Célszerű tehát megkeresni az optimális pontot, azt, amelynél elfogadható költségek mellett alacsony veszteségekre számíthatunk. Ez sajnos a gyakorlatban nem egyszerű, nem tudunk olyan egyenletet felírni, amelynek deriválásával ez a szélső érték probléma megoldható lenne. A helyzetet tovább bonyolítja, hogy a védelmi intézkedések (pl. eszközbeszerzések) költsége pontosan meghatározható, a veszteségek pedig csak becsülhetők, főképpen a bekövetkezési valószínűségük és bekövetkezésük esetén fellépő kár alapján.

A megoldást a minden részletre kiterjedő és folyamatosan aktualizált kockázatelemzésre való építkezés és költség-haszon elemzés jelentheti. Ezek alapján határozható meg, melyek azok a feltételezett események, amelyek ellen védelmi intézkedések szükségesek, és melyek azok, amelyeket maradék kockázatként elfogadunk.

Az összkép azonban a fentieknél kicsit kedvezőbb: Egy szabályozott működésű és megbízható IT infrastruktúrával, esetleg erre vonatkozóan független tanúsítással rendelkező szervezet az ügyfelek, üzleti partnerek szemében sokkal vonzóbb, mint ezek hiányában.

Beinschróth József
(IFUA Horváth & Partners, senior expert)

Kapcsolódó bejegyzések:
Csatlakoztasd és imádkozz!

Címkék: IT biztonság

« vissza

 RSS Bejegyzések
  Horváth Gergő

tovább »
  Kovács László

tovább »
  Vrannai Katalin

tovább »

További szerzők »

Mindennapi vezetés – egy blog arról, ami szakmai szót érdemel

Blogunk a vállalatvezetés, a menedzsment legújabb trendjeiről, módszereiről szól. Egyperces posztok az IFUA Horváth & Partners szakembereitől.

Címkék:

autógyártás(3), közlekedés(2), cloud(4), felhő(3), e-kereskedelem(3), Malév(1), fizetőképesség(1), IT biztonság(13), mobilbiztonság(4), okostelefon(5), bank(9), Balanced Scorecard(1), BSC(1), stratégiai térkép(1), mutatószám(2), stratégia(5), Kék Óceán(2), Blue Ocean(2), tablet(3), iPad(2), mobil(1), mobilfizetés(2), oktatás(1), légitársaság(2), fapados(1), iBooks Author(1), interaktív könyv(1), telekom(1), pénzmosás(1), adócsalás(1), hacker(4), posta(1), mobileszköz(1), mobiloptimalizálás (1), pénzforgalom(2), zöld energia(2), szélerőmű(1), napelem(1), napkollektor(1), biogáz-erőmű(1), (11), controlling(8), operatív controlling(1), stratégiai controlling(1), folyamatköltség-számítás(1), értékesítés(7), beszerzés(6), banktitok(1), egészségügy(5), kötelező nyugdíjazás(1), hatékonyság(7), hatékonyságjavítás(3), költségmegtakarítás(1), mobilpénztárca(1), private cloud(1), hitel(3), kötvény(1), kockázat(2), termelésmenedzsment(1), shopfloor management(1), IT(3), technológiai platformok egységesítése(1), zöldenergia(1), megújuló energia(2), zöldbizonyítvány(1), bónusz(1), bónuszbank(1), prémium(1), légiközlekedés(1), repülés(1), Drucker(1), előrejelzés(1), árfolyam(2), árfolyamkockázat(1), management tanácsadás(1), teljesítménymenedzsment(1), marketing(1), üzleti intelligencia(9), business intelligence(5), BI(8), kereskedelem(3), termékinnováció(1), gyártásszervezés(1), kockázatkezelés(4), javadalmazás(2), controller(1), olimpiai aranyérem(1), csalásdetektálás(1), adatbányászat,(1), hálózatkutatás(3), SIXTEP(1), biztosítás(3), információbiztonság(1), nyugdíjbiztosítás(1), életbiztosítás(1), vezetői információs rendszer(1), könyvelés(1), omnichannel(1), multichannel értékesítés (1), vállalati értékteremtés(2), képzés(2), játékosítás(1), számítógép(1), informatika(1), kormányzati informatika(1), informatikai infrastruktúra(2), informatikai szolgáltatások(1), kkv(1), kockázatmenedzsment (1), adózás(1), adóoptimalizálás (1), lean(5), adattudomány(2), adattudós(2), data science(1), data scientist(1), kkv(1), DDoS(1), visszahívás(1), hűségprogram(1), beszámolás(2), adatvizualizáció(1), Emirates(1), orvosok(1), Kazahsztán(1), mezőgazdaság(1), élelmiszeripar(1), Disclosure Management(1), termelékenység(1), tőkehatékonyság(1), Lean Six Sigma(1), készletgazdálkodás(1), nonprofit menedzsment(1), innováció(3), adattárház(2), overprocessing(2), BI as a service(1), projektcontrolling(2), önköltségszámítás(1), felelős vállalatirányítás(1), ártárgyalás(1), hitelkiváltás(2), jelzáloghitelezés(1), portfolioblogger(39), jelzáloghitelezés(1), BYOD(1), controller szerep(2), HR(2), elemzés(2), tervezés(1), toborzás(1), vezetőképzés(1), vezetői képzés(1), digitalizáció(2), prediktív elemzés(2), prediktív analitika(2), kórházak(1), gyógyszeripar(1), terrorizmus(1), szabályzat(1), analytics(1), közösségi szervezetek(1), verseny(1), együttműködés(1), kooperáció(1), Excel(1), adat(1), dashboard(1), vizualizáció(1), fizetés(1), jövedelem(1), CapacityInsight(1), kapacitásmodellezés(1)