Montag , Oktober 12 2020

Das Budget für Cybersicherheit hängt von Planung und Verhandlung ab

Etablierte Geschäftspläne können aus vielen Gründen schief gehen – einer Änderung der Unternehmensstrategie oder des Wettbewerbs, einer Änderung der Vorschriften oder einer Änderung des globalen Workflows aufgrund einer Pandemie. Unabhängig von unkontrollierbaren Faktoren sagten Analysten von Gartner und Forrester, es sei möglich, erfolgreiche Budgets für Cybersicherheit zu erstellen.

Die Pandemie hat sich auf die Fristen für Pläne für Cybersicherheitsausgaben ausgewirkt, nachdem sie zu vermehrten Angriffen, Änderungen von Regierungsmandaten, Störungen der Lieferkette und gesellschaftliche Auswirkungen wie die zunehmende Verlagerung auf Fernarbeit, so Sam Olyaei, Principal Research Analyst bei Gartner, der auf dem Gartner Security & Risk Management Summit 2020 sprach.

"Bei der Kostenoptimierung geht es nicht nur um Kostensenkung. Kosten Optimierung kann Vertragsverhandlung, Optimierung des Geschäftswerts, Steigerung der Effizienz bedeuten … oder es kann durchaus bedeuten, dass Sie Ressourcen neu zuweisen oder alternative Wege finden müssen, um dasselbe Ziel zu erreichen ", sagte Olyaei.

IT-Manager müssen zunächst den besten Weg verstehen um ein Budget zu optimieren, und dies hängt in erster Linie von der Situation des Unternehmens ab – ob die Organisation Ausgaben senken will, s tay das gleiche oder wachsen. Kostenoptimierung in verschiedenen Szenarien kann bedeuten, die besten Angebote mit Anbietern zu finden, Ausgaben neu zuzuweisen oder sicherzustellen, dass Budgets für die richtigen Ressourcen ausgegeben werden.

Auswirkungen von Störungen

Änderungen an einem Budget für Cybersicherheit können durch eine unvorhergesehene Krise oder eine Pandemie ausgelöst werden , aber die Reaktion folgt laut Olyaei oft einem typischen Muster. Erstens kommt die Reaktionsphase, in der der Schwerpunkt darauf liegt, sicherzustellen, dass wichtige Dienste – einschließlich Fernzugriffs- und Steuerungsdienste – weiterhin ausgeführt werden, und erforderlichenfalls Kostensenkungen vorgenommen werden.

Zweitens ist die Wiederherstellungsphase, die sich hauptsächlich konzentriert zur Entwicklung von Strategien zur Kostenoptimierung und zum Management aktueller Risiken im Vergleich zu Kosten.

Zuletzt folgt die Erneuerungsphase, die sich auf zukünftige Produkte und Dienstleistungen konzentriert, die einem Unternehmen helfen können, effizienter und optimierter zu werden.

Während dies für Unternehmen üblich ist Um nach Möglichkeiten zu suchen, um Kosten in extremen Szenarien wie einer Pandemie zu senken, fallen Unternehmen in drei Kategorien, die bestimmen, wie viel, wenn überhaupt, gesenkt werden muss, sagte Paul McKay, Senior Analyst bei Forrester, auf der Forrester Security & 2020 Risikokonferenz.

Unternehmen in Branchen, die am stärksten von der Pandemie betroffen sind – wie die Reise- und Freizeitbranche – befinden sich möglicherweise im Überlebensmodus und müssen alles tun, um dies zu minimieren Kosten, sagte McKay.

Unternehmen, die im "adaptiven Modus" arbeiten, hatten einige Störungen. Die Situation ist jedoch nicht so schlimm, und der Fokus liegt darauf, flexibel auf Kundenbedürfnisse und -anforderungen zu reagieren. Geschwindigkeit und Flexibilität sind für diese Unternehmen von entscheidender Bedeutung. Daher kann die Einführung neuer Software oder Dienste erforderlich sein, um die neue Norm zu erfüllen.

In einigen Fällen befinden sich Unternehmen im Wachstumsmodus. Hier sieht ein Unternehmen eine steigende Nachfrage nach Dienstleistungen oder Produkten und muss skalieren, um diese Nachfrage zu befriedigen. In diesem Fall können die Sicherheitsausgaben steigen.

Erstellen flexibler Budgetpläne

Während die Auswirkungen von Störungen nicht immer im Voraus bekannt sind, können Manager dennoch Pläne für alle Eventualitäten erstellen, während Cybersicherheit zu einer Budgetpriorität wird.

Unabhängig davon, ob es sich um eine externe Krise handelt, die sich auf ein Budget für Cybersicherheit auswirkt, oder um Entscheidungen von Führungskräften, müssen IT-Verantwortliche bereit sein, sagte Thomas Scholtz, Vizepräsident für Forschung bei Gartner, auf dem Gartner Security & Risk Management Summit.

" Wir müssen Wege finden, um zu verstehen, wie die Unternehmensleiter Investitionsentscheidungen treffen oder Entscheidungen in der Organisation ändern ", sagte Scholtz. "Dann können wir so effektiv wie möglich darauf reagieren, wenn diese Änderungen in unserer Organisation oder in unserem Geschäftsumfeld auftreten."

Wenn es um Sicherheitsentscheidungen geht, sind die wichtigsten Faktoren in der Regel der Schutz des geistigen Eigentums oder der Datenressourcen sowie die Erhaltung Markenbekanntheit und Vertrauen, Einhaltung gesetzlicher Vorschriften, Wahrung der physischen Sicherheit oder Schutz umsatzgenerierender Vorgänge.

Olyaei von Gartner schlug IT-Verantwortlichen vor, einen datengesteuerten Entscheidungsprozess zu verwenden, um eine Prioritätenliste zu erstellen, die auf folgenden Kriterien basiert: [19659019] Abhören von Gewinnaufrufen, um ein Gefühl dafür zu bekommen, wohin Führungskräfte das Unternehmen führen;

  • Analysieren von IT-Daten, um sicherzustellen, dass für jede Umgebung die richtige Anzahl an Mitarbeitern vorhanden ist; und
  • Durchführung von Risikobewertungen, Kontrolle von Implementierungsbewertungen und Prozessreifebewertungen.
  • Mit einer datengesteuerten Sicherheitsstrategie legen IT-Verantwortliche dem Board Entscheidungen vor, die mit detaillierten Gründen dafür begründet sind, warum sie notwendig sind und warum sie die sind Die besten Schritte für das Unternehmen.

    Olyaei bemerkte auch, dass die Budgets "anpassungsfähig und realistisch" sein müssen, damit das IT-Team Budgetpläne für alle Eventualitäten erstellt.

    Ein Teil dieser Budgetplanung für Cybersicherheit besteht darin, die Risikoauswirkungen der einzelnen zu verstehen Sicherheitsinvestition. Wenn beispielsweise in einem Teil des Unternehmens mit geringem Risiko hohe Sicherheitsinvestitionen getätigt werden, kann dies eine Gelegenheit sein, einen Teil dieses Sicherheitsbudgets auf einen Teil des Unternehmens zu verlagern, der mehr Schutz benötigt.

    "Sobald Sie den Geschäftswert verstanden haben, können Sie die Kompromissentscheidungen treffen", sagte Scholtz. "Es gibt Opportunitätskosten, wenn zu viel in einem Gebiet mit geringem Wert ausgegeben wird."

    Aushandeln besserer Angebote

    Um ein erfolgreiches Budget für Cybersicherheit zu erstellen, müssen Anbieter auch keine unvorhergesehenen Kosten hinzufügen. Auch hier sind effektive Vorbereitungen und Nachforschungen erforderlich, bevor die Verhandlung aufgenommen wird.

    Laut McKay von Forrester ist der Verhandlungsprozess für Sicherheitssoftware im Allgemeinen in die Vorbereitungsphase, die eigentliche Verhandlung selbst und die laufende Leistungsbewertung des Anbieters nach Vertragsabschluss unterteilt unterzeichnet und das Produkt oder die Dienstleistung implementiert.

    McKay sprach sich dafür aus, mit Kollegen, Analysten und externen Beschaffungsspezialisten zu sprechen, um den Markt, die Preisdynamik und die Geschäftsanforderungen bei der Vorbereitung von Verhandlungen zu verstehen.

    "Gelegentlich sind Anbieter viel eher bereit zu geben Ein Rabatt auf Implementierungsservices gegenüber dem Kernprodukt ", sagte McKay. "In ähnlicher Weise können Channel-Partner zusätzliche Services hinzufügen und höhere Rabattsätze erhalten, und der Anbieter kann selbst liefern."

    Es ist auch am besten, die Vertragsbedingungen frühzeitig in Verhandlungen zu überprüfen, fügte McKay hinzu, da die Laufzeitbedingungen kann manchmal "so belastend sein, dass sie das Einkaufserlebnis ziemlich schwierig machen".

    Sobald IT-Manager selbst in der Verhandlung sind, müssen sie sich der Ausdrücke bewusst sein, die auf Chancen oder rote Fahnen für den Prozess hinweisen können. Wenn ein Anbieter den Ausdruck "Platin-Client" verwendet, könnte dies ein gutes Zeichen sein und zeigen, wie wichtig dieses Geschäft für den Anbieter ist, sagte McKay. Wenn andererseits ein Verkäufer ein Unternehmen auffordert, ein "Referenzkunde" oder ein "Festzeltkunde" zu sein, könnte dies darauf hinweisen, dass der Verkäufer noch keine anderen Kunden hat.

    McKay schlug vor, die Anbieter gegeneinander auszuspielen, um die Preise zu senken und Fragen nach der Einbeziehung oder Ermäßigung des Support-Service bei Vertragsverhandlungen.

    "Anbieter von Sicherheitssoftware können in Bezug auf Software-Baselines und Vertragsflexibilität ziemlich unflexibel sein", sagte McKay. "Wenn sie sich an nichts rühren wollen, seien Sie bereit, wegzugehen."

    About BusinessIntelligence

    Check Also

    Best Practices für den Verkauf Ihrer Analytic App

    Blog Zeit, damit Ihre Daten für Sie funktionieren. In Hacking the Analytic App Economy zeigen …

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.