تنفق المؤسسات بالمتوسط ما نسبته %5.6 من إجمالي ميزانية تقنية المعلومات على أمن تقنية المعلومات وإدارة المخاطر، وفقاً لأحدث بيانات المقاييس الرئيسية لتقنية المعلوماتIT Key Metrics Data الصادرة عن مؤسسة الدراسات والأبحاث العالمية جارتنر. ومع ذلك، يتراوح معدل الإنفاق على أمن تقنية المعلومات في كل مؤسسة من حوالي 1 إلى %13 من ميزانية تقنية المعلومات، وهو حسب رأي المحللين مؤشر وهمي على نجاح البرنامج.
في هذا السياق قال روب ماكميلان، مدير الأبحاث لدى مؤسسة الدراسات والأبحاث العالمية جارتنر: «يرغب العملاء في معرفة فيما إذا كان معدل إنفاقهم على أمن المعلومات يكافئ ما ينفقه الآخرون على مستوى الصناعة، والجغرافيا، وحجم الشركة، وذلك من أجل تقييم مدى نجاح ممارساتهم في مجال الأمن والبرامج ذات الصلة».
وأضاف قائلاً: «لكن المقارنات العامة بالمتوسطات العامة للصناعة لا تخبرنا الكثير عن مستوى الأمن في المؤسسة، فقد يكون إنفاقك على نفس مستوى الإنفاق الذي يقوم به نظراؤك من الشركات، إلا أنك تنفق على أمور خاطئة، وهو ما يشكل نقطة ضعف كبيرة بالنسبة لك. بالمقابل، قد يكون إنفاقك مثالياً، إلا أن رغبتك في المخاطرة تختلف عن نظرائك من الشركات».
من جهةٍ أخرى، واستناداً على البيانات الصادرة عن مؤسسة جارتنر، فإن الغالبية العظمى من المؤسسات ستواصل إساءة استخدام بيانات معدل إنفاقها على أمن تقنية المعلومات كبديل لتقييم وضعها الأمني حتى العام 2020.
ودون وجود سياق لمتطلبات الشركات، وتحمل المخاطر، ومستويات الرضا، فإن مؤشر الإنفاق على أمن تقنية المعلومات كنسبة مئوية من ميزانية تقنية المعلومات لن يوفر بحد ذاته معلومات مقارنة صحيحة، التي ينبغي استخدامها من أجل تخصيص مصادر تقنية المعلومات أو الشركة. وعلاوةً على ذلك، لا تقيس إحصاءات معدل الإنفاق على تقنية المعلومات لوحدها مدى فعالية وكفاءة تقنية المعلومات، كما أنها ليست مقياساً على مدى نجاح تقنية المعلومات في المؤسسات. كل ما تقوم به وببساطة هو تقديم وجهة نظر دليليه حول متوسط التكاليف، دون الأخذ بعين الاعتبار التعقيد أو الطلب.
تحديد الميزانية
«الحقيقية» للأمن
يتم تقسيم معدل الإنفاق على الأمن بشكل عام ما بين التجهيزات، والبرمجيات، والخدمات (التعهيدات الخارجية والاستشارات)، والموظفين. ومع ذلك، فإن أي إحصاءات تصدر حول معدل الإنفاق الصريح على الأمن هي بطبيعتها «معتدلة»، لأنها تقلل من الحجم الحقيقي لاستثمارات الشركة في أمن تقنية المعلومات، لأن المزايا الأمنية متداخلة ما بين التجهيزات، أو البرمجيات، أو الأنشطة، أو المبادرات غير المخصصة للمهام الأمنية. وترى مؤسسة جارتنر، من واقع خبرتها الكبيرة، أن العديد من المؤسسات ببساطة لا تعي حجم ميزانيتها الأمنية، ويعزى ذلك بشكل جزئي إلى وجود عدد قليل من الأنظمة المحاسبية القادرة على تفصيل تكاليف الأمن وفق بنود منفصلة، كما أن العديد من العمليات الأمنية يتم تنفيذها من قِبَل موظفين لا يخصصون كامل وقتهم للمسائل الأمنية، ما يجعل من المستحيل بمكان حساب كلفة عمل موظفي الأمن بدقة. وفي معظم الحالات، لا يحصل مدير أمن المعلومات CISO على رؤية دقيقة وثاقبة حول معدل الإنفاق على الأمن في جميع أنحاء المؤسسة. بالمقابل، ولتحديد الميزانية الأمنية الحقيقية، هناك العديد من الأمور التي يجب أخذها بعين الاعتبار، مثل معدات الربط الشبكي التي تحتوي على وظائف أمنية، وحلول حماية سطح المكتب التي بالإمكان إدراجها ضمن ميزانية دعم المستخدم النهائي، والتطبيقات المؤسساتية، وخدمات الاستعانة بمصادر خارجية أو الخدمات الأمنية المدارة، والأعمال المتواصلة أو البرامج الخصوصية، وعمليات التدريب الأمنية التي قد تمول من ميزانية الموارد البشرية.
طبيعة الأنظمة
و ترى مؤسسة جارتنر أنه يتوجب على الشركات إنفاق ما بين 4 و%7 من ميزانيات تقنية المعلومات على أمن تقنية المعلومات، وبإمكانها خفض هذا المعدل في حال كانت تملك أنظمة متقدمة، ورفع المعدل إذا كانت مصادرها مفتوحة وهي عرضة للمخاطر. وهذا يشمل الميزانية الموضوعة تحت تصرف ومسؤولية مدير أمن المعلومات CISO، وليس الميزانية «الحقيقية» أو الإجمالية.