Deze week hebben we gezien dat de IT-manager vol staat van de stress omdat hij ook niet meer weet waar hij het moet zoeken op het gebied van informatiebeveiliging. Gelukkig zijn er gespecialiseerde bedrijven die graag willen helpen. Helaas denkt Minister Opstelten daar anders over.
Minister Ivo Opstelten van Veiligheid en Justitie vindt het onwenselijk dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven als Fox-IT. Het zou echter niet rendabel zijn om deze expertise in de eigen organisatie onder te brengen. (bron)
Nu zou je natuurlijk kunnen concluderen dat de Minister geen gebruik meer wil maken van externe gespecialiseerde bedrijven. Maar dat is zeker niet zoals ik het interpreteer. Zelf geeft hij ook al aan dat “In gevallen waarin dergelijke expertise vereist is, is de inhuur van externe expertise veelal een kostenefficiënte oplossing.”
Natuurlijk zou je als overheid (of als grote organisatie) de kennis zelf in huis willen hebben. In dat licht bezien is de afhankelijkheid inderdaad onwenselijk. Maar kijken we naar de meest kostenefficiënte oplossing dan ontkom je er niet aan om nauw samen te werken.
Met name in het “nauw samenwerken” zitten hem de voordelen. Als geld inderdaad niet uit zou maken, dan wil je de kennis helemaal zelf in huis hebben, maar wat als je te weinig gebruik maakt van die kennis? Gaan die specialisten het hele jaar zitten wachten totdat ze hun kunstje mogen doen? Nee, natuurlijk niet. Ze zouden al snel achterlopen op de feiten. Een samenwerking is daarom zo gek nog niet.
Waar hem eerder een punt zit, is het feit dat er veelal achteraf een gespecialiseerd bedrijf wordt ingeschakeld. Het incident heeft plaatsgevonden en we moeten snel tot oplossingen komen. Een kwestie van vraag en aanbod. Ineens is er veel vraag terwijl het aanbod beperkt blijft. De prijzen schieten omhoog.
Nee, prima dat we de brandweer bellen als er brand is. Maar ik zie liever dat we in de preventieve sfeer op zoek gaan naar die mogelijkheden om incidenten te voorkomen. Dat doen we dan weer niet met alleen maar technische maatregelen. Nee, we doen dat op basis van risico management en komen dan tot de juiste set technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.
Voor die IT-managers die bol staan van de stress geldt dit natuurlijk ook. Ga niet wachten tot je verrast wordt door een incident. De kosten voor het oplossen daarvan zijn enorm. Nee, kies ervoor om de risico’s te beheersen door preventief aan de slag te gaan.
Ja, natuurlijk weet ik het. Er wordt flink bezuinigd op de budgetten voor informatiebeveiliging. Daar lijkt weinig aan te doen. Tenzij we in onze business cases ook inzichtelijk kunnen maken wat het oplossen van een incident eigenlijk kost. Niet alleen in directe kosten maar juist ook in termen van imagoverlies, omzetverlies, kosten die doorlopen terwijl we niet kunnen produceren, klanten die weglopen, etc.