「適切なセキュリティ予算」はどのように見積もればよいのか?
コメント
注目のコメント
一般的に、リスク発生による損害見積もりは、各リスクイベントの発生確率とリスクイベントによる損害額の積の総和になります。保険による事後補償がある場合はその額を引き、残りの損害見積額に対してどれだけのセキュリティ投資をするかが判断になります。
情報セキュリティリスクの怖いところは、情報リスクイベントがもたらす損害の範囲が広く、損害額の見積もりが困難なことであり、それがセキュリティ担当者による予算額の理由づけの障害となります。セキュリティ対策は利益増大につながらないと考えている経営者が多いという事情もあるでしょう。個人的には、リスクコンサルタントのような第三者による評価を組み込むなどして、予算の客観性を高めていくことが対策のように思います。
ただ、情報セキュリティは単に高度なシステムを導入することではありません。社員による紙での情報持ち出し、社外での不注意な会話などもリスクファクターです。社員のセキュリティ意識の向上などの全社的な対策も欠かせません。