Sikkerhetsregnskap

For å måle effekten av sikkerhetstiltak er det nødvendig å sette opp et sikkerhetsregnskap. Dette brukes til å rapportere nødvendigheten av, og effektiviteten til, sikkerhetstiltak en virksomhet innfører.

Et sikkerhetsregnskap skal tydeliggjøre tre forhold som kan illustreres ved følgende spørsmål.

Hvor mye taper virksomheten, eller risikerer virksomheten å tape, på sikkerhetsrelaterte hendelser eller trusler?
Hvor mye koster de sikkerhetstiltak virksomheten har innført?
Hvor stort tap eller fare for tap stoppes faktisk av de sikkerhetstiltakene som er innført?

Det tredje spørsmålet er meget viktig ettersom det dette som kan fortelle hvor effektive sikkerhetstiltakene er. Det er ikke god økonomi dersom tiltakene koster mer enn tapene de faktisk forhindrer.

Tap eller risiko for tap

For enkelte trusler er tapene faktiske og dermed lette å måle, f.eks. varer som stjeles. I noen tilfeller er tapene faktiske, men blir ikke oppdaget. Dette kan f.eks. skje dersom det er informasjon som stjeles, virksomheten er utsatt for industrispionasje. Det er også nødvendig å ta hensyn til trusler om hendelser som forekommer sjelden, men hvor konsekvensene er store. Det vil si i de tilfeller det er fare for tap.

For å framskaffe denne oversikten må det gjennomføres en trusselanalyse for virksomheten. Dette er en prosess som må repeteres slik at nye trusler kommer med og risikoeksponeringen for hver trussel er så korrekt som det er mulig å få den.

Kostnaden for sikkerhetstiltak

Hvert enkelt sikkerhetstiltak har en kostnad, både som investering og driftskostnad. Den direkte kostnaden er enkel å beregne, men enkelte ganger kan sikkerhetstiltak føre med seg virkninger som endret omsetning. Dersom omsetningen reduseres skal dette også regnes som en kostnad.

Slike bivirkninger kan være vanskelige å beregne, og de medfører at en virksomhet må tallfeste en akseptert risiko ved at man godtar et visst tap.

Ofte er det mulig å velge mellom flere tiltak mot en gitt trussel, og det kan på den måten være mulig å velge tiltak ut fra bivirkninger så vel som kostnad.

Hvor store tap stoppes?

Effektiviteten av sikkerhetstiltakene er gitt av at de stopper faktiske tap eller reduserer den beregnede risikoeksponeringen for en trussel. Det kan være vanskelig å beregne denne verdien ettersom mange sikkerhetstiltak vil ha en avskrekkende effekt og gjør at antall forsøk på sikkerhetsbrudd reduseres.

Sikkerhetstiltak kan også ha en sekundær gevinst i form av at kunder får større tillit til en virksomhet. Dette kan gi både høyere verdi på varemerker og bedrift, og større omsetning.