Den enskilt tråkigaste aspekten med att ”sälja säkerhet” är att varje kund hellre skulle lägga pengarna på något annat. Någonting som ökar intäkter eller minskar kostnader. Det är sällan säkerhet gör någon märkbar skillnad (i positiv riktning) på någon av dem.

Wendy Nather på 451 Research författade i våras rapporten The Real Cost of Security (paywall) som undersöker hur mycket pengar ett antal säkerhetsproffs skulle spendera, och på vad, om de plötsligt fick ta över säkerhetsrodret på ett företag med 1 000 anställda som inte har ägnat en tanke åt säkerhet tidigare.

The Real Cost of Security front page

This report examines what ’conventional wisdom’ prescribes in terms of security product types, and prices them for a 1,000-person organization. It incorporates data from a survey of security professionals in roles ranging from CISO to consultant, a survey of numerous security vendors, and informational briefings from technology and service providers.

Frågan som ställdes var:  ”I’m a new CISO in a 1,000-employee enterprise that has never ‘done security’ before. I have a blank check. I’m asking you, as a consultant, to tell me what to buy.” Frågan är medvetet luddig, enligt utsago. Jag vet inte varför man skulle vilja göra den luddig med avsikt men så är det tydligen. Föga förvånande så var svaren också all over the place.

Avseende produkter så verkar det som att brandväggar och antivirus-produkter, trots sitt rykte, är något som alla föreslår. Även om endast det absolut nödvändigaste efterfrågas. På tredje plats kommer vulnerability/patch management; det är oklart om deltagarna menar olika saker eller bara har olika ord för samma sak. Efteråt kommer nästan varje säkerhetsteknologiförkortning du kan komma att tänka på: IDS/IDP, DLP, SIEM, IAM, etc.

Avseende outsourcingtjänster så slår penetrationstester tydligen allt. Det var dock inte vanligt att deltagarna föreslog tjänster överhuvudtaget (färre än hälften); produkter regerar. Säkerhet är fortfarande en materialsport, tydligen.

Alla var dock överens om att människor är viktiga, man är dock inte överens hur många som behövs på säkerhetsavdelningen i ett företag om 1 000 anställda. Luddigheten gör sig påmind.

I övrigt kommer man fram till lite siffror på vad allt kommer att kosta men eftersom det är en betalrapport känns det dock inte schysst att bara lägga upp allt.


Det finns tyvärr inte mycket att hämta i rapporten. En väldigt öppen fråga har ställts; förmodligen är svaren egentligen svar på frågan ”hur skulle du vilja göra i den organisation du är i nu?”. Visst kan man hävda, som rapporten gör, att man vill veta vad best practice är (jag föredrar egentligen termen not bad practice) och det är ju behjärtansvärt men alla vet ju vad det är redan.

Best practice är PCI DSS, det är ISO 27000, det är SANS 20 Critical Security Controls, det är BITS och det är vad du får lära dig i CISSP-böckerna. Det är ingen hemlighet vad som är best practice, de säger alla samma sak. Vad som är svårt är att prioritera, för du kommer aldrig att ha en chans att göra allt. Du måste prioritera vilka kontroller du ska införa, du måste prioritera var de ska införas. Svårast av allt dock är nog det som inte har specifikt med säkerhet att göra: införandet i sig; att få ner säkerheten i asfalten.

Oavsett är prioriteringen mest intressant, det är där det finns pengar att spara. Pengar som borde användas till annat än säkerhetsutbildningar eller IDS:er. Den analysen måste börja med de tre frågorna:

  1. Kan bedragare utnyttja oss eller relationen till våra kunder för att tjäna pengar?
  2. Har vi intellektuella tillgångar som är intressanta för t ex konkurrenter?
  3. Bedriver vi verksamhet som är kontroversiell?

Vissa organisationer har förstås större möjligheter att spara pengar än andra men det här är något man behöver ta sig igenom innan man kan börja skissa på en budget för informationssäkerhet. Det är inte affärsmässigt att börja med att välja vilket ramverk man ska följa eller vilken certifiering man ska sikta på.

Det är som att torka sig innan, som en känd anka sade.


Det hade varit mycket mer intressant om deltagarna hade haft en ordentlig profil att utgå från. Vilken bransch företaget verkar i, hur mycket de omsätter, var kontoren ligger, hur många anställda som finns, it-miljön i breda drag, etc, etc. Jag tänker mig åtminstone ett par årsredovisningar och it-planer. Tyvärr hade det förstås varit svårare att få tag i deltagare om deltagandet krävde en sådan tankeprocess.