Hvor mange Security Incidents?

Ingen, der arbejder med IT er i tvivl om, at truslen omkring IT sikkerheden er kraftigt stigende. På ’Advanced Threat Protection – How To’ eventet arrangeret af Computerworld tirsdag den 24. maj 2016 blev der for at understrege pointen fremvist en graf med et tal på 60 millioner security incidents worldwide i 2015 – en stigning på 38% fra 2014. Og trenden fortsætter kun opad.

Men hov – lad os lige stoppe op her! Hvad er disse tal egentlig baseret på? Tallene kommer i dette tilfælde fra et globalt anerkendt revisionsfirm, der har indhentet dem gennem spørgeskemaer til over 10.000 CEO’s, CFO’s, CIOs etc. blandt firmaer verden over. Men hvordan er det egentlig vi klassificerer et security incident? Og kan vi stole på, at alle er enige om den samme klassifikation og at det samlede tal dermed er troværdigt?

Antallet er muligvis angivet for højt, for hvem vil indrømme at de faktisk ikke ved det præcist når de besvarer et spørgeskema? Og Security er så hype, at der alene af den grund vil være en tendens til at overdrive for at fremme forståelsen ikke mindst for at opnå endnu større opmærksomhed på C-niveau. Andre store pengemæssige interesser trækker også uden tvivl i den retning.

Fra mine egne modenhedsanalyser udført i praksis på IT operations afdelinger har jeg erfaring for at kun 40% af alle incidents overhovedet blev logget og af de 40% var det blot 50%, der var korrekt klassificeret og kategoriseret. Altså noget, der kunne antyde at antallet angivet ovenfor er endnu større endda med en faktor 2-4.

Med andre ord så svæver sandheden i det uvisse og det er ikke ligegyldigt for det betyder at CIO’s bliver nødt til at sætte deres troværdighed på spil. Men de bliver også under alle omstændigheder nødt til at løse den kæmpe udfordring med at effektivisere sine sikkerhedsressourcer og deres arbejdsgange i fremtiden, uanset at det er temmelig usikkert, hvor meget der er brug for.

IT budgetter baserer sig typisk på investeringer i ny teknologi til gavn for forretningen mens IT drift herunder løbende håndtering af IT incidents typisk ses som en ren omkostning, som det forventes at holde indenfor budgettet og meget gerne spare på. En stigning i omkostningen på 38% eller mere flere år i træk vil næppe blive accepteret uden kommentarer fra kollegaer i salg og produktion.

At skulle balancere de to modsat rettede kræfter kan delvist løses med automatisering og avancerede nye teknologier indenfor overvågning, men også her er der en human factor, der bliver nødvendigt at adressere. Tiden til implementering af ny teknologi kan let blive estimeret men der må også fokuseres på indlæringskurven både i forretningen og IT. Lykkes det ikke at få arbejdsgange og et tværfagligt samarbejde primært omkring prioriteringer op at stå mellem forretning og IT, vil den reelle værdi af investering i nye avancerede overvågningsværktøjer være minimal.

Automatisering kan løse alt på skalaen med kendte sikkerhedstrusler men de sager, som må betegnes som ukendte trusler eller mulige trusler vil kræve en dybere analyse og vurderinger, der pt. kun kan foretages med ekspertviden. Det er som regel den kategori af trusler, der volder største skade, da det kan tage tid at finde ud af hvordan de skal bekæmpes. Ekspertviden bliver dermed let en knap ressource og skal bruges med omhu for at beskytte de kritiske aktiver. Igen kunne en mere granuleret klassifikation baseret på flere f.eks. tekniske parametre være gavnlig for risikovurderingen og dermed effektiviteten.

IT branchen og særligt CIO’s vil derfor gøre sig selv en kæmpe tjeneste ved at få standardiseret sine definitioner og arbejdsgange på hele sikkerhedsområdet samt dokumentere sit faktiske antal af security incidents, så beslutninger og investeringer baserer sig på mere håndfaste fakta og ikke flyvske Dark Forces og trusler om at endnu flere ulve, der er på vej.