כיצד לבקש תקציב מההנהלה לאבטחת מידע ולצאת בחיים?

חשוב כי התפקיד של הגורמים המקצועיים הוא לעלות כל סיכון שעשוי להביא לפגיעה במידע , במוניטין ונזק כספי.
ההנהלה היא זו שתחליט האם היא מקבלת את הסיכון או מטפלת בו.
באבטחת מידע אין שחור לבן , ניתן במקרים מסוימים ליישם בקרות מפצות שיצמצמו את הסיכון בעלויות סבירות.

הנה כמה שלבים שיכולים לעזור לך לרתום את ההנהלה להשקעה באבטחת מידע:

הסבירו בבירור את הסיכונים : וודאו שההנהלה מבינה את הסיכונים וההשלכות הפוטנציאליים של פרצת אבטחה.
הסבירו כיצד מתקפה יכולה לגרום לאובדן נתונים, נזק למוניטין, חבות משפטית ונזק כספי.

הציגו יתרונות: הדגש את היתרונות של השקעה באבטחת מידע, כגון שיפור הגנת מידע, צמצום זמן השבתה, שיפור אמון הלקוחות ועמידה ברגולציה.

הציגו תרחיש אותנטי: תבנו תרחיש מקיף שיספק להנהלה הבנה מוחשית למקרה והארגון יחווה אירוע .
ציינו את העלויות של פרצת אבטחה מול עלות ההשקעה באמצעי אבטחה.
השתמש בנתונים רלוונטיים, כגון מדדים בתעשייה, כדי לתמוך בטיעון שלך.

הציגו החזר השקעה : הצג את ההחזר על ההשקעה (ROI) של השקעה באבטחת מידע.
הסבירו כיצד גישת אבטחה פרואקטיבית יכולה לעזור לארגון לחסוך כסף בטווח הארוך.
דוגמא אחת מיני רבים : ארגונים מעוניינים לעבוד עם ספקים שמודעים לנושא אבטחת מידע. מספיק שבהצעה יהיה צילום של עמידה בתקן ISO 27001, זה כבר יביא יתרון על מתחרים.

התאם ליעדים העסקיים: הפתרונות חייבים לתת מענה לדרישות העסקיות.
חשוב להדגיש כיצד אבטחת מידע תומכת ביעדים העסקיים של הארגון, כגון הגדלת הכנסות, הפחתת עלויות ושיפור שביעות רצון הלקוחות.

התמדה : גם במידה וההנהלה תדחה את ההשקעה באותה נקודת זמן, חשוב להמשיך ולהציף את הסיכון ודרכי הטיפול.
אסור לנו לאמר לעצמנו , "אני את שלי עשיתי". החובה שלנו להמשיך ולהתריע על הסיכונים.

כותב : צברי עידן , סמנכ"ל שירותי מומחה ואבטחת מידע ב-Genie