7/9/2023

Vinkkejä kyberturvallisuuden budjetointiin

Toinen vuosipuolisko on organisaatioissa tyypillisesti aikaa jolloin suunnitellaan seuraavan vuoden budjettia. Koska emme elä loputtomien resurssien maailmassa, on investoinnit kyettävä perustelemaan ja priorisoimaan. Tässä blogissa esittelen neljä eri tapaa. joilla kyberturvallisuuteen käytetyn budjettirahan vaikuttavuutta voidaan lisätä, ja siten parantaa organisaation turvallisuutta tavoilla, joilla käytetyn euron hyöty on mahdollisimman suuri.

Joonatan Kauppi
CO-FOUNDER,
HEAD OF TALENT
joonatan@cyberdo.fi
Fokusoi ja priorisoi

Rajallisten resurssien maailmassa budjetin käyttöä on kyettävä kohdistamaan oikein. Liian useaan hankkeeseen ja toimintoon jaettuna budjetti jää herkästi liian ohueksi useimpien tai kaikkien kohteiden osalta. Tällaisessa tilanteessa todellinen turvallisuudessa tapahtuva kehitys jää usein marginaaliseksi tai jopa hukkuu kokonaan normaalin arjen operoinnin jalkoihin. Sen sijaan yhden tai kahden avainhankkeen tunnistaminen ja priorisointi voi kohdistaa vähäiset investoitavissa olevat varat paikkaan, jossa niillä voidaan todella parantaa turvallisuutta. Yhden tai kahden kärkihankkeen vaikuttavuutta ja merkitysta on myös helpompi perustella ja mitata  kuin esimerkiksi viiden. Oli tarpeena sitten identiteetin- ja pääsynhallinnan uudistaminen, SOC-ulkoistus tai vaikkapa pilvimigraation turvallisuuden varmistaminen, tulisi tärkein tekeminen kyetä tunnistamaan ja nostamaan kärkeen. Apuna voi käyttää myös tiekarttasuunnittelua jota voi tehdä myös useamman vuoden eteenpäin, jaksottaen hankkeita tuleville vuosille.

Panosta kunnolla avainhankkeisiin

Kun avainhankkeet on tunnistettu, tulisi ne budjetoida realistisesti siten, että organisaatiolla on varmasti kyvykkyys viedä ne kunnolla läpi. Esimerkiksi SOC-ulkoistusta toteuttaessa kannattaa varmistaa, että organisaatiolla on kilpailutukseen käytetyn budjetin jälkeen varaa esimerkiksi lisätä SIEM:n uusia lokilähteitä tai investoida omaan kyvykkyyteensä ulkoisen SOC:n vastinparina. Tosielämästä löytyy myös tilanteita joissa organisaatiolla ei ole ollut SOC-hankinnan jälkeen budjetissa varaa tuoda riittävästi lokeja SIEM:n toteuttaakseen oikeasti kattavaa valvontaa. Tällaisessa tapauksessa kallis SIEM-ratkaisu (ja siihen käytetyt eurot!) ovat hyvin epäoptimaalisessa käytössä. Puolivillaisesti toteutetut hankkeet eivät lisää turvallisuutta kuin puolivillaisesti, ja voivat pahimmillaan tuottaa valheellisen turvallisuuden tunteen. Suorituskyky ei myöskään synny pelkän teknisen kyvykkyyden hankinnasta, vaan lisäksi on tarve budjetoida tarvittava henkilötyö sekä prosessien ja toimintatapojen kehittäminen.

Kerää matalalla roikkuvia hedelmiä

Eräänlaiseksi kärkihankkeeksi kelpaa myös teknisen velan pienentäminen ja pienten, mutta vaikuttavien toimenpiteiden tekeminen. Mitkä ovat niitä asioita jotka ovat roikkuneet pitkään tehtävälistalla, mutta siirtyneet aina muiden tieltä? Mikäli isompiin hankkeisiin ei ole riittävää budjettia, voi tulevalla budjettikaudella olla hyvä tilkitä prosesseihin ja teknologiaan jääneitä aukkoja sekä kouluttaa henkilöstöä. Olisiko nyt esimerkiksi vihdoinkin aika penetraatiotestata kriittisin tuotantojärjestelmä tai ottaa monivaiheinen tunnistaminen kattavasti käyttöön?

Kulujen tarkastelu ja kilpailutus

Budjetoinnin toinen puoli on rahan säästäminen – joka näkyy tarpeen mukaan tulosrivillä tai uusina budjetointimahdollisuuksina. Onko käytössä jatkuvia palveluita joiden kustannukset vievät liian ison osan budjetista? Kerätäänkö SIEM-järjestelmään kenties turhia lokeja, ja voisiko informaatioarvoltaan pienet, mutta lokimäärältään suuret lokilähteet rajata pois? Onko markkinoilla halvempi tuote, joka kuitenkin tarjoaa riittävästi kyvykkyyksiä tai jopa tekee samat asiat halvemmalla? Joissain tilanteissa herää myös kysymys konsulttien tarpeesta ja pitäisikö heitä karsia ja kyberturvarooleja sisäistää. Toisaalta tarvittavaa osaamista on yhä vaikeampi saada rekrytoitua palkkatöihin. Konsulttia käyttämällä voi myös helpommin säädellä kuluja todellisen tarpeen mukaan, toisin kuin palkkaamalla henkilöitä pysyvään työsuhteeseen. Määräaikaisiin tai osa-aikaisiin työsuhteisiin ei kyberturva-ammattilaisia löydy.

Mikäli konsulttien osalta haluaa enemmän vastinetta euroilleen ja mahdollisia säästöjäkin, voi myös pohtia, millaisia konsultteja käyttää. Kannattaako esimerkiksi käyttää juniorikonsulttia, jos samalla kustannuksella voi saada kokeneen seniorin? Perinteisistä konsulttitaloista poiketen agentuurimalli mahdollistaa seniorien kilpailukykyisen hinnoittelun, ja osaava tekijä on usein kustannustehokkaampi ja työn tulokset laadukkaampia.

Yhteenveto: tiukat budjetit – turvallisuudesta tinkien?

Yleinen taloudellinen tilanne näkyy useimpien toimialojen budjetoinnissa lisääntyvänä kulukurina. Uusien hankkeiden sisällyttäminen budjettiin on hankalaa ja jo hyväksyttyä budjettiakin saatetaan karsia. On kuitenkin muistettava, että kyberturvallisuus on asia, jossa tehdyt liialliset säästöt näkyvät pitkässä juoksussa teknologisena ja hallinnollisena velkana, jota voi olla vaikea kuroa umpeen pitkässä juoksussa. Turvallisuudesta tinkiminen voi kasvattaa organisaation riskitasoa, ja kyberriskit realisoituvat usein myös negatiivisina taloudellisina vaikutuksina.

Keskeistä onkin ottaa huomioon organisaation kyky kantaa riskejä epävarmoina taloudellisina aikoina: onko kyberturvallisuuden kulu todella isompi ongelma kuin sillä ehkäistävä riski, joka realisoituessaan voi aiheuttaa vakavia seurauksia koko organisaation toiminnalle?

Mikäli kyberturvallisuuden budjetointi on osana syksyn budjettikierrosta, me CyberDo:lla voimme auttaa löytämään rajalliselle budjetille fiksuja käyttötapoja joilla organisaatiosi kyberturvallisuus paranee myös tässä taloustilanteessa. Autamme mielellämme myös laajemmassa strategia- ja tiekarttatyössä, jolla kyberturvallisuuden kehitykseen saadaan pitkäjänteisyyttä ja aitoa kehitystä.