image

Bedrijven kennen risico's maar geen budget voor IT security

dinsdag 23 september 2003, 15:20 door Redactie, 4 reacties

Veel bedrijven zijn bekend met de gevaren van hackers en virussen, maar ondanks het risico is er een steeds kleiner budget voor IT security. Voor IT managers is het dan ook steeds moeilijker om de uitgaven voor IT security tegenover het bestuur te verdedigen. Zelfs al is er een dramatische groei in de door hackers veroorzaakte kosten te zien. Het bestuur neemt security voorstellen alleen serieus als ze geld opleveren of besparen, laat David Spinks van EDS weten. (ComputerWeekly)

Reacties (4)
23-09-2003, 15:29 door Anoniem
tja, het eindeloze verhaal van de IT budgetten
23-09-2003, 15:44 door Zon4jou
Ik heb geen verstand van zakelijke verzekeringen, maar volgens mij krijgt een bedrijf serieus problemen als de fysieke beveiliging van een pand niet op orde is. Denk aan goede sloten, een alarminstallatie etc.

Voor de verzekeringen van de ICT-middelen (en dus de voortgang van het bedrijf, denk aan de reclames een tijdje terug) geldt blijkbaar niet dat je een bepaald minimumlevel (volgens "best effort" ???) van beveiliging moet hebben voordat de verzekering e.e.a. accepteerd. Of bedrijven hechten er geen waarde aan om dit te verzekeren.

Als dat namelijk wel het geval is, zou er meer aandacht voor zijn: Kijk maar eens hoe snel er een timmerman wordt ingeschakeld als blijkt dat de sloten op de deuren niet in orde blijken te zijn.

Maar ja, dat laatste is natuurlijk tastbaar, maar IT-beveiliging is dat niet. Zelfs je gedefaced website is zichtbaar maar niet tastbaar. Laat staan de gevolgen voor (de naam van) je bedrijf.

Misschien moet er eens een pagina komen, zoiets als alldas.org, maar dan met het koersverloop van een bedrijf vlak voor en na de hack van een website / server. De waarde van aandelen is vaak "tastbaarder" voor een manager dan de IT-security.....
23-09-2003, 16:04 door Poele
Tja, het eeuwige probleem. De basis van het probleem ligt eigenlijk dat er op verkeerde wijze wordt gekeken naar continuiteit in het algemeen en beveiliging in het bijzonder. Organisaties zouden moeten kijken vanuit het oogpunt van risico en de acceptatie van risico. Zolang dat niet gebeurt wordt beveiliging bezien als kostenpost. Dit is natuurlijk bullshit van de zuiverste orde.

Want wat zal de directie antwoorden op de vraag:
Vindt je het acceptabel wanneer het netwerk, incl. kritische applicaties, gedurende twee dagen niet kan worden gebruikt door je werknemers, waardoor de onderneming twee dagen omzet en winst misloopt? Weet je Uberhaupt wat het kost wanneer het bedrijf 2 dagen stil ligt?

Zo lang dit besef er niet is of wordt gebagataliseerd blijft het zwemmen tegen de stroom in.
24-09-2003, 09:34 door Anoniem
Toevallig (?) staat op de site van MediaPlaza/SecurityPlaza een artikel wat met dit onderwerp te maken heeft: "Informatiebeveiliging als kwaliteitsaspect". De introductie van het artikel luidt:

Recente virussen als Sobig.F en het Blaster worm zorgen er onder andere voor dat er weer opnieuw over beveiliging gesproken wordt. Het onderwerp krijgt weer even de aandacht die het eigenlijk structureel verdient. Dit is positief voor managers die willen dat hun baas blijvend aandacht geeft aan informatiebeveiliging. Probeer uw baas echter niet te overtuigen met argumenten over de risico's en vele bedreigingen. Hij zal u afwimpelen met opmerkingen als 'wat kan er bij ons nu echt gebeuren' of 'geef mij nu eens een voorbeeld van een bedrijf dat failliet is gegaan door een inbraak of virus'. Overtuig uw baas wel met argumenten over kwaliteit en continuïteit. Dan zal hij of zij beter naar u luisteren.

Zie: http://www.mediaplaza.nl/mp.php/home/artikel?id=73
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.