Wydatki na cyberbezpieczeństwo zaplanowane w budżecie firmy. Koszt czy inwestycja?

Fot.: Pexels, Pixabay - programowanie, cyberbezpieczeństwo, komputer

Cyberataki przybierają na sile. W ubiegłym roku doświadczyło ich 68% firm. Raport "RODO i cyberbezpieczeństwo 2019" donosi z kolei, że ponad 30% przedsiębiorstw zostało dotkniętych jednym, dwoma lub trzema cyberatakami w roku. Są też firmy, które przeżyły ich nawet 30 lub więcej. Z tego względu warto ująć kwestie związane z cyberbezpieczeństwem w budżecie IT firmy na 2020 roku. O ten aspekt powinni zadbać wszyscy - od rynkowych gigantów, przez małe i średnie przedsiębiorstwa, po rodzinne firmy.

Najnowsze dane pokazują, że są firmy, w których dochodziło nawet do kilku skutecznych cyberataków w miesiącu (6% firm doświadczyło ich co najmniej 30 w skali roku). A ile było prób? W drugiej połowie 2018 roku ich ilość wzrosła czterokrotnie - do 813 mln. Dodano również, że aż 60% firm, które doświadczają cyberataku, upada w ciągu kolejnych 6 miesięcy.

Wysokość nakładów na cyberbezpieczeństwo

Według badania Xopero Software w tym roku ponad 48% przedsiębiorców planowało zwiększenie wydatków na bezpieczeństwo IT. Środki te miały zostać zainwestowane głównie w backup, disaster recovery i business continuity, rozwiązania typu anty-malware oraz szkolenia i kontrolę pracowników.

Ile powinien wynieść budżet na cyberbezpieczeństwo? Najłatwiej przyjąć, że jego wartość nigdy nie powinna spaść poniżej 3% całkowitych nakładów inwestycyjnych firmy. We wzorcowym scenariuszu powinien oscylować od 9 do 14% budżetu IT na kolejny rok. Niestety wielu firmom wciąż daleko do ideału - zdarza się, że przeznaczają na ten cel jedynie 6% budżetu IT narażając się tym samym na ogromne ryzyko.

Koszt czy inwestycja?

Bezpieczeństwo IT powinno być traktowane jak inwestycja, która przynosi realny zwrot. Z badań przeprowadzonych przez kadrę Uniwersytetu w Oregonie wynika bowiem, że każdy 1 dolar zainwestowany w cyberbezpieczeństwo przynosi 4 dolary oszczędności w momencie wystąpienia awarii.

Jakie kroki należy zatem poczynić, aby budżet był oparty o konkretny plan? Przede wszystkim sporządzić analizę ryzyka, rozważyć produkty, których potrzebuje firma (np. antywirus, Backup, Disaster recovery czy DLP), przeanalizować dostawców i wybrać najkorzystniejsze oferty.

Na co wydać pieniądze?

Budżet na bezpieczeństwo IT powinien w zależności od celów i wyzwań uwzględniać takie aspekty jak: stworzenie kompletnej polityki bezpieczeństwa IT w firmie, edukację pracowników, inwestycje w odpowiednie oprogramowanie zabezpieczające i jego utrzymanie, rozwój działu bezpieczeństwa oraz monitoring działań.

Dziś zapobieganie to za mało, firmy muszą przygotować się na każdą ewentualność - awarię, kradzież sprzętu czy atak hakerski. Dobrym planem “B” jest disaster recovery, czyli system odtwarzania awaryjnego, który pozwala na niemalże natychmiastowe przywrócenie danych z kopii zapasowej i zachowanie ciągłości działań.

- Jednym z największych kosztów jakie ponoszą niemal wszystkie przedsiębiorstwa, które dotknęła awaria krytycznych serwerów, to brak dostępu do świadczonych przez nie usług. Dlatego dziś rozwiązania zapewniające ciągłość działania biznesu to absolutna podstawa, której nie może zabraknąć w budżecie na IT. Statystyki są tutaj dość brutalne - 93% firm bez odpowiednich rozwiązań disaster recovery upada w rok po utracie danych - mówi Grzegorz Bąk, Presales Engineer z Xopero Software.

Bezpieczeństwo danych w Polsce

Z danych GUS-u wynika, że ponad 80% przedsiębiorstw stara się zabezpieczać swoje dane. Zaskakuje jednak, że wciąż 40% firm nie posiada oprogramowania do backupu danych, które podobnie jak antywirus, powinno być podstawowym środkiem ochrony w każdej firmie. To co cieszy, to nastawienie na edukację - według badań co drugie przedsiębiorstwo zamierza szkolić swoich pracowników z bezpieczeństwa IT. Ważne jest jednak, aby te działania nie były przeprowadzone "na hurra", a dokładnie zaplanowane i uwzględnione w budżecie.