Oei, vandaag is het 13 mei, vrijdag 13 mei. Alle bijgelovige (security) managers houden hun hart vast…wat voor ongeluk staat ons vandaag allemaal nog te wachten. Wacht, ik maak het nog erger voor je.
Ja, 100% beveiligen is niet mogelijk, dus we lopen altijd de kans verrast te worden door een incident waar we niet op hadden geanticipeerd. Maar, als we beveiliging serieus hebben aangepakt, dan hebben we de kans inmiddels wel een stuk verkleind en is het management volledig op de hoogte van de status van de beveiliging. En voor die gevallen waar het dan toch fout lijkt te gaan, kunnen we altijd teruggrijpen op ons Business Continuity Plan. Mooi bruggetje naar de volgende vraag, lijkt me zo:
Wordt er periodiek gerapporteerd over de status van beveiliging aan de (hoogst) verantwoordelijke binnen de organisatie (CEO, CSO, ..)?
Ik zal niet ontkennen dat deze vraag erg nauw aansluit bij de vorige, maar als we de beveiliging dan toch meten, waarom leggen we daar dan geen verantwoording over af? Managers (ik bedoel nu even niet de security managers) die beveiliging en risicomanagement serieus willen nemen, ontbreekt het vaak aan goede managementrapportages. Ze hebben geen zicht op wat er met de (veelal hoge) beveiligingsbudgetten gebeurt is, welke risico’s we lopen en vragen zich vaak terecht af of dat geld niet op een andere wijze tot meer rendement had kunnen leiden. Ehm, ja, waarschijnlijk hadden we met het geld inderdaad meer rendement kunnen lopen…maar dat was dan misschien wel een risicovolle investering geweest.
De opmerking die ik nog wel eens hoor is dat het management het allemaal niet wil horen. Volgens mij (en dat is misschien naïef) klopt dat helemaal niet. Ze willen het wel degelijk horen, maar dan wel in hun taal en niet in allerlei oeverloze details die ze (terecht) toch niets zegt.
Het management heeft recht op inzage in de bestedingen. Werken we met een proactieve en preventieve wijze van beveiligen dan kunnen we de begroting vooraf inzichtelijk maken. Waarbij overigens niet gezegd wordt dat er geen budget gereserveerd hoeft te worden voor onvoorziene omstandigheden. Maar geloof me, dat budget komt er echt wel als het voortbestaan van de organisatie in gevaar komt.
Het risico van het ontbreken van managementrapportages is gebrek aan inzicht bij het management. Terecht krijgen zij geen goed gevoel bij de bestedingen en bij de eerst volgende bezuinigingsronde zal dan ook extra kritisch gekeken worden naar de bestedingen op dit gebied. Misschien wordt er niet eens kritisch naar de besteding gekeken maar wordt er vrij simpel 20% van je budget afgesnoept. Als we beveiliging tot op heden nog niet goed genoeg hebben aangepakt zullen ze daar waarschijnlijk niet eens iets van merken.
We kunnen deze bezuinigingsronde gelaten over ons heen laten gaan en accepteren dat we het met nog minder moeten doen. Maar we kunnen deze bezuiniging ook aangrijpen om aantoonbaar te maken wat we dan (20%) minder gaan doen en hoe dat doorwerkt op de risico’s van de organisatie. Het management heeft er recht op te weten welke risico’s met minder budget zullen toenemen. Kunnen we die 20% zomaar slikken, dan hebben we de afgelopen jaren misschien wel altijd teveel budget ontvangen. Bezuinigingen zijn op zich ook helemaal niet slecht, als de organisatie en wij daar maar goed mee omgaan (ja ik weet het, dat gebeurt vaak, ogenschijnlijk, niet) en de consequenties inzichtelijk maken. Doen we dat niet dan zullen we vele slapeloze nachten hebben omdat we niet meer weten waar we het vandaan moeten halen…kwestie van rapporteren en de pijn neer leggen waar hij hoort.
Vergeet niet dat beveiliging nog steeds een lijnverantwoordelijkheid is en dat daar dus de budgetten beschikbaar moeten zijn. Het beveiligingsbudget dat de security afdeling beschikbaar heeft moet er op gericht zijn om voldoende te kunnen doen aan het inrichten van de beveiliging en de advisering van de lijn. We hoeven vanuit dat budget niet de processen, producten en diensten te beveiligen. Nee, dat zal de verantwoordelijke lijnmanager moeten doen, die zal moeten bepalen welke 20% van beveiliging hij daarvan wegbezuinigd.
Bij het ontbreken van financieel inzicht ontstaat een vicieuze cirkel. Het management vraagt zich af wat er in hemelsnaam met het budget gedaan is en welke incidenten voorkomen zijn. Hierdoor ontstaat de neiging om op beveiliging te bezuinigen waardoor er de kans op een goede managementrapportage wordt verkleind. Het management krijgt nog minder inzicht en als snel bevinden we ons in een neerwaartse spiraal waarbij we welhaast kunnen wachten op een volgend groot incident. Dat laten we ons toch niet gebeuren? Nee, voordat het kalf verdronken is gaan we werken aan een goede periodieke beveiligingsrapportage.