Au moment ou les décisions budgétaires deviennent de plus en plus difficiles, la question des investissements sécurité ne peux pas être passée sous silence.
Faut-il couper les crédits ? Les maintenir au cas où ... ? Les renforcer pour faire face a de nouveaux risques ?
Première question, les dépenses de sécurité sont elles bien utilisées ?
Pour cela, il serait nécessaire de pouvoir consolider l'ensemble des dépenses qui sont reparties dans les budgets de plusieurs organisations IT (Datacenter, télécom & desktop) mais aussi compiler l'ensemble des centres de couts (matériel, logiciel, prestation externe, prestation interne). Puis associer ces couts à des services (ex. protection des environnements utilisateurs, protection des données, etc.) Et enfin, l'associer aux activités métiers : combien pour la protection des brevets/recherche, combien pour garantir la « privacy » des informations Clients. La tache n'est pas simple, mais sans cette démarche pas moyen de prendre des décisions.
Deuxième question, peut-on mieux répartir ou optimiser les dépenses ?
Pour répondre à cette question, il manque des indicateurs de performance effective des solutions de sécurité. Combien de postes sont réellement protégés, Quelle part de la bande passante est utilisée par des flux illicites ? Quelles sont les 10 tops fichiers ou bases de données à protéger ? Sans indicateurs et sans priorités, pas de décision.
Troisième question, faut il investir dans plus de sécurité ?
En période de crise, votre analyse des risques doit probablement être revue à la lumière des tensions induites par le rétrécissement de la demande et à la compétition accrue. Défendez-vous vos vrais actifs ? Quelles précautions prenez-vous vis-à-vis de vos concurrents ? Votre réputation est elle protégée ? Une analyse des priorités, des nouveaux acteurs, des nouveaux risques s'imposent probablement car il n'est pas possible de rester dans un modèle de sécurité défini dans un monde radieux.
Plus de crise....Pas forcement moins de sécurité.