Deja pentru securitatea informaţiilor (SI) cheltuielile ajung până la 30 la sută din suma tuturor cheltuielilor pentru IT. Proprietarii resurselor informatice manifestă o atitudine rezonabilă faţă de aspectele economice ale asigurării SI. Chiar şi în acele sisteme informaţionale, în care nivelul SI este evident insuficient, specialiştii tehnici se confruntă cu problema motivării la nivelul conducerii (proprietarilor resurselor informaţionale) a cheltuielilor în legătură cu sporirea acestui nivel.

Pentru motivarea cheltuielilor în legătură cu asigurarea SI există două abordări de bază.

Prima abordare, aşa-numita abordare ştiinţifică, presupune însuşirea şi, ulterior, aplicarea în practică a instrumentelor pentru măsurarea nivelului SI. În acest scop, se impune implicarea conducerii companiei în evaluarea costului resurselor informaţionale, determinarea aprecierii costurilor în urma problemelor în domeniul SI. De rezultatele acestor evaluări va depinde în mare măsură viitoarea activitate a managementului în sfera SI.

Dacă informaţia este lipsită de valoare, activele informaţionale ale companiei nu sunt expuse unui pericol prea mare, impactul potenţial este minim, apoi problema asigurării SI nu merită atenţie deosebită.

Dacă informaţia este una de valoare, pericolul şi prejudiciul potenţial sunt evidente, atunci este evidentă operarea modificărilor în buget la capitolul cheltuieli pentru subsistemul SI. În acest caz este necesar susţinerea conducerii companiei, urmând ca aceasta să conştientizeze problematica SI şi oportunitatea creării unui sistem corporativ de protecţie a informaţiei.

A doua abordare este una practică: nu este exclusă căutarea unui raport de cost rezonabil pentru un sistem corporativ de protecţie a informaţiei. Există analogie în alte domenii, în care evenimentele importante pentru business poartă un caracter de probabilitate. De exemplu, pe piaţa asigurărilor auto costului serviciului respectiv constituie 5-15 la sută din preţul de piaţă al automobilului, în funcţie de condiţiile exploatării locale, stagiul şoferului, intensitatea circulaţiei rutiere, starea drumurilor etc.

Prin analogie, SI în companie pot fi ignorate complet şi nu este exclusă probabilitatea că acest risc conştient va fi justificat. Pe de altă parte, investiţiile pentru crearea sistemului de protecţie corporativă a informaţiei costă mult şi, concomitent, nu este exclus să rămână puncte vulnerabile, iar aceasta odată şi odată se va solda cu scurgerea ori furtul informaţiei confidenţiale.

Experţii/practicienii în domeniul SI au găsit o soluţie optimă ce ar asigură o relativă siguranţă – costul sistemului SI trebuie să constituie 10-20 la sută din costul sistemelor IT, în funcţie de exigenţele concrete faţă de regimul SI. Este o evaluare în baza experienţei practice („best practice”) ce poate fi aplicată cu uşurinţă, cu excepţia cazurilor când se impun calcule detailate.

Această abordare, evident, nu este lipsită de neajunsuri. De regulă, în asemenea cazuri conducerea preferă să se detaşeze de problemele SI. Rămâne, însă, posibilitatea de a justifica volumul bugetului pentru SI prin referinţă la cerinţele general recunoscute faţă de asigurarea regimului confidenţialităţii, bine ştiute şi de majoritatea proprietarilor de resurse informaţionale „best practice”, formalizate într-o serie de standarde, spre exemplu, ISO 17799.

Realizarea acestor procedee (metode concrete de evaluare a eficienţei sistemului SI) în practică depinde de o serie de factori, dintre care cei de bază sunt gradul de maturitate al organizării şi specificul activităţii sale.

Comments are closed.