Periodieke beveiligingsrapportage

Oei, vandaag is het 13 mei, vrijdag 13 mei. Alle bijgelovige (security) managers houden hun hart vast…wat voor ongeluk staat ons vandaag allemaal nog te wachten. Wacht, ik maak het nog erger voor je.

Ja, 100% beveiligen is niet mogelijk, dus we lopen altijd de kans verrast te worden door een incident waar we niet op hadden geanticipeerd. Maar, als we beveiliging serieus hebben aangepakt, dan hebben we de kans inmiddels wel een stuk verkleind en is het management volledig op de hoogte van de status van de beveiliging. En voor die gevallen waar het dan toch fout lijkt te gaan, kunnen we altijd teruggrijpen op ons Business Continuity Plan. Mooi bruggetje naar de volgende vraag, lijkt me zo:

Wordt er periodiek gerapporteerd over de status van beveiliging aan de (hoogst) verantwoordelijke binnen de organisatie (CEO, CSO, ..)?

Ik zal niet ontkennen dat deze vraag erg nauw aansluit bij de vorige, maar als we de beveiliging dan toch meten, waarom leggen we daar dan geen verantwoording over af? Managers (ik bedoel nu even niet de security managers) die beveiliging en risicomanagement serieus willen nemen, ontbreekt het vaak aan goede managementrapportages. Ze hebben geen zicht op wat er met de (veelal hoge) beveiligingsbudgetten gebeurt is, welke risico’s we lopen en vragen zich vaak terecht af of dat geld niet op een andere wijze tot meer rendement had kunnen leiden. Ehm, ja, waarschijnlijk hadden we met het geld inderdaad meer rendement kunnen lopen…maar dat was dan misschien wel een risicovolle investering geweest.

De opmerking die ik nog wel eens hoor is dat het management het allemaal niet wil horen. Volgens mij (en dat is misschien naïef) klopt dat helemaal niet. Ze willen het wel degelijk horen, maar dan wel in hun taal en niet in allerlei oeverloze details die ze (terecht) toch niets zegt.

Het management heeft recht op inzage in de bestedingen. Werken we met een proactieve en preventieve wijze van beveiligen dan kunnen we de begroting vooraf inzichtelijk maken. Waarbij overigens niet gezegd wordt dat er geen budget gereserveerd hoeft te worden voor onvoorziene omstandigheden. Maar geloof me, dat budget komt er echt wel als het voortbestaan van de organisatie in gevaar komt.

Het risico van het ontbreken van managementrapportages is gebrek aan inzicht bij het management. Terecht krijgen zij geen goed gevoel bij de bestedingen en bij de eerst volgende bezuinigingsronde zal dan ook extra kritisch gekeken worden naar de bestedingen op dit gebied. Misschien wordt er niet eens kritisch naar de besteding gekeken maar wordt er vrij simpel 20% van je budget afgesnoept. Als we beveiliging tot op heden nog niet goed genoeg hebben aangepakt zullen ze daar waarschijnlijk niet eens iets van merken.

We kunnen deze bezuinigingsronde gelaten over ons heen laten gaan en accepteren dat we het met nog minder moeten doen. Maar we kunnen deze bezuiniging ook aangrijpen om aantoonbaar te maken wat we dan (20%) minder gaan doen en hoe dat doorwerkt op de risico’s van de organisatie. Het management heeft er recht op te weten welke risico’s met minder budget zullen toenemen. Kunnen we die 20% zomaar slikken, dan hebben we de afgelopen jaren misschien wel altijd teveel budget ontvangen. Bezuinigingen zijn op zich ook helemaal niet slecht, als de organisatie en wij daar maar goed mee omgaan (ja ik weet het, dat gebeurt vaak, ogenschijnlijk, niet) en de consequenties inzichtelijk maken. Doen we dat niet dan zullen we vele slapeloze nachten hebben omdat we niet meer weten waar we het vandaan moeten halen…kwestie van rapporteren en de pijn neer leggen waar hij hoort.

Vergeet niet dat beveiliging nog steeds een lijnverantwoordelijkheid is en dat daar dus de budgetten beschikbaar moeten zijn. Het beveiligingsbudget dat de security afdeling beschikbaar heeft moet er op gericht zijn om voldoende te kunnen doen aan het inrichten van de beveiliging en de advisering van de lijn. We hoeven vanuit dat budget niet de processen, producten en diensten te beveiligen. Nee, dat zal de verantwoordelijke lijnmanager moeten doen, die zal moeten bepalen welke 20% van beveiliging hij daarvan wegbezuinigd.

Bij het ontbreken van financieel inzicht ontstaat een vicieuze cirkel. Het management vraagt zich af wat er in hemelsnaam met het budget gedaan is en welke incidenten voorkomen zijn. Hierdoor ontstaat de neiging om op beveiliging te bezuinigen waardoor er de kans op een goede managementrapportage wordt verkleind. Het management krijgt nog minder inzicht en als snel bevinden we ons in een neerwaartse spiraal waarbij we welhaast kunnen wachten op een volgend groot incident. Dat laten we ons toch niet gebeuren? Nee, voordat het kalf verdronken is gaan we werken aan een goede periodieke beveiligingsrapportage.

Beveiliging & “the tone at the top”

Eerder hadden we het al over voldoende steun en betrokkenheid van het (top)management binnen de organisatie. Hoewel de volgende vraag daar dicht tegen aan ligt, is er toch een klein verschil.

Geeft het management het goede voorbeeld ten aanzien van integrale beveiliging?

Naast zichtbare steun en betrokkenheid bij beveiliging moet het management ook het goede voorbeeld geven. Beveiligingsbeleid geldt voor de gehele organisatie. Dus niet alleen voor de medewerkers maar zeker ook voor de top van de organisatie. Te makkelijk wordt het beleid vastgesteld en voor iedereen van kracht verklaard…behalve voor het (top)management. Natuurlijk moet iedere medewerker zijn of haar toegangspas zichtbaar dragen (als we dat tenminste in het beleid bepaald hebben, is een keuze). Maar als het management vindt dat zij wel op hun blauwe ogen vertrouwd kunnen worden en besluiten om deze pas lekker in de binnenzak te houden dan is dat niet de juiste “tone at the top”.

Niet voor niets is al jaren het gezegde: ‘Goed voorbeeld doet volgen’. Dat geldt overigens ook voor slecht voorbeeld gedrag. Kunnen we het de medewerkers kwalijk nemen als ze zich niet aan de regels houden als het management dat ook niet doet? Zijn we roomser dan de paus? Nee, beleid en regels gelden voor iedereen…tenminste, als we er echt voor willen zorgen dat het gaat werken.

Als het management het niet zo nauw neemt met beveiligingsmaatregelen dan kan van het personeel niet verwacht worden dat zij zich er wel aan zullen houden. Beveiliging wordt bereikt door de cultuur in de organisatie. Ook hiervoor geldt dat beveiliging geen exotische buitenstaander is. De algehele cultuur van een organisatie is uitgangspunt voor de beveiligingscultuur van die organisatie. Hoe vaak zien we niet dat een organisatie veel geld besteedt aan een security awareness campagne zonder de link te leggen met de algemene cultuur binnen de organisatie? De beveiligingscultuur zal niet wezenlijk anders zijn of worden omdat we dat zo graag willen en daar die campagnes tegenaan gooien. Nee, de beveiligingscultuur staat, net als de rest van beveiliging, niet los maar is onderdeel van het grotere geheel. Daarom werken veel security awareness campagnes dan ook niet echt (ja, uit de uitkomsten van de sociaal wenselijke enquêtes blijkt wat anders, ik weet het, maar is het ook echt meetbaar in houding en gedrag en dus minder incidenten en risico’s?).

De cultuur in de organisatie verandert niet, nee, de mensen in die organisatie veranderen en de cultuur verandert daarmee mee. Als we dat accepteren dan zullen we ook inzien dat het wijzigen van een cultuur veel meer in zich heeft dan een simpele campagne of posteractie. Cultuur veranderingen duren vele jaren en daar is veel kennis en inzicht bij nodig…dat kun en mag je niet aan de security manager over laten.

Het grootste risico van een onjuiste ‘tone at the top’ is dat het beveiligingsbeleid en de voorschriften en procedures die zo nauwlettend zijn opgesteld een papieren tijger zijn geworden. Papieren tijgers waar niemand op zit te wachten (nou ja, de auditor of toezichthouder dan misschien). Nee, als we beveiliging echt goed willen inrichten dan is dat beleid niet zomaar een papiertje, nee het is iets dat echt impact heeft of moet hebben. Willen we dat niet? Ook dat is geen probleem, dan moeten we daar alleen het beleid op aanpassen.

Taken, bevoegdheden en verantwoordelijkheden

Zoal, al een beetje bekomen van de schrik dat je straks als beleidsmedewerker wordt gezien? Vandaag gaan we verder in op de organisatie achter informatiebeveiliging. We zijn daarmee aangekomen bij vraag 2.

De tweede vraag die we moeten stellen is:
Zijn de taken en verantwoordelijkheden op het gebied van integrale beveiliging eenduidig vastgelegd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Er is veel onduidelijkheid over wie er nu eigenlijk verantwoordelijk is voor de beveiliging en vaak is het niet eenduidig vastgelegd. Is dat een aangewezen Security Manager of leggen we het als deeltaak weg bij een IT- of Facility Manager? De keuze is helemaal afhankelijk van de soort en omvang van de organisatie.

Een kleine organisatie hoeft misschien helemaal geen dedicated Security Manager te hebben. Maar dan wordt het wel een stuk belangrijker om de taken en bevoegdheden duidelijk bij iemand neer te leggen. Het liefst bij iemand die ook weet dat hij die taken en bevoegdheden heeft. We kunnen er niet zomaar vanuit gaan dat de IT-manager (als voorbeeld) wel snapt dat het bij zijn takenpakket hoort.

De verantwoordelijkheid is alweer een heel ander verhaal. Lijnmanagers denken nog wel eens dat de Security Manager verantwoordelijk is voor de beveiliging. Ja, dat klinkt misschien logisch, maar is het niet. We kunnen er vrij kort over zijn en voor iedere organisatie geldt hetzelfde: beveiliging is een lijnverantwoordelijkheid, de Security Manager reikt je slechts de tools en ondersteuning om jouw processen te beveiligen.

Ja, zul je (als lijnmanager) zeggen, dat is lekker, maar daar ga ik me toch echt niet verantwoordelijk voor voelen. Maar denk ook nog even na over wie er nu eigenlijk verantwoordelijk is voor de kwaliteit van het proces waar jij verantwoordelijk voor bent. Ben jij dat of vind je dat de Kwaliteitsmanager dat maar moet zijn?

Nee, we zullen toch echt moeten constateren dat jij als lijnmanager het voor het zeggen hebt voor de onder jouw verantwoordelijkheid vallen de processen. Daar is beveiliging gewoon een aspect van. Nu maar hopen dat je op een prettige wijze kunt samenwerken met de Security Manager. Als dat lukt, zijn we alweer een stap verder en dus op weg naar vraag 3.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Beveiliging hoog op de prioriteitenlijst van Nederlandse managers

De kop van het artikel gaat over het belang van e-mail voor de managers in Nederland. Op zich interessant, maar dat is niet waar mijn oog op viel.

Nee mijn oog viel op een kort, bijna nietszeggend zinnetje ergens in het artikel verstopt:
Beveiliging staat ook hoog op de prioriteitenlijst van Nederlandse managers. 73 procent denkt hier de komende tijd in te gaan investeren (bron).

Beveiliging staat hoog op de prioriteitenlijst van Nederlandse managers (ja, ik herhaal het nog maar eens). Ben jij een manager en staat het nog niet hoog op jouw prioriteitenlijstje? Ja, dan tel je in het management wereldje misschien niet mee. Hop, waar wacht je op, wees een belangrijk manager en zet beveiliging helemaal bovenaan op jouw prioriteitenlijst. Moet jij eens kijken hoe serieus je als manager genomen wordt.

Maar, ho, voordat we verzanden in allerlei ingewikkelde technische maatregelen en voordat we allerlei vinklijstjes uit de kast trekken om maar vooral compliant te zijn. Wil jij je, als manager, echt interessant voordoen? Wil jij boven al die andere managers in je organisatie uit steken? Wil jij de directie (of “the board”) echt imponeren?

Ja? Mooi, dan gaan we het niet eens meer over beveiliging en die technische maatregelen hebben. Dat snapt de directie toch niet (of ze willen het niet snappen, dat kan natuurlijk ook). Nee, als jij de manager voor 2011 wilt worden dan spreek je de directie aan door te denken in risico’s.

Laat al je collega managers maar praten in dure, ingewikkelde, technische systemen. Jij geeft aan welke risico’s de organisatie loopt en je geeft aan op welke efficiënte wijze je die risico’s af kunt dekken. Als je het op die manier verteld dan bespaar je de organisatie alleen maar.

Je leest nog steeds? Dat is een goed teken en betekent dat je er graag meer over wilt weten. Want het staat hier natuurlijk allemaal wel leuk, maar hoe ga jij dat nu aanpakken? Ach, het antwoord is zo simpel: je stuurt mij gewoon even een mailtje en in no-time leg ik je onder het genot van een bak koffie uit hoe we dat aan gaan pakken.

Maar er zit natuurlijk wel een risico in dat je vooral niet moet onderschatten: het risico is dat jij promotie maakt en dat de andere managers die promotie mislopen…daar moet je dan wel tegen kunnen.

Kom, waar wacht je op? Ik stop met typen zodat jij kunt beginnen met het typen van die email aan mij. Tot snel…ik drink mijn koffie zwart. Dat je dat maar vast weet.

Veiligheidszorg kost 757 euro per persoon

De bestrijding en bestraffing van criminaliteit, verloedering en overlast kostte in 2009 per Nederlander 757 euro, zo heeft het Centraal Bureau voor Statistiek (CBS) berekend. Volgens de cijfers die het bureau donderdag bekendmaakte, is in dat jaar in totaal 12,5 miljard euro aan zogenoemde veiligheidszorg uitgegeven, 4 procent meer dan in 2008 (bron).

Dit zijn nog eens gegevens waar we wat mee kunnen? Of niet? Op zich zijn het kale feiten en je kunt natuurlijk conclusies trekken. Is het teveel, is het te weinig? Maar dat is natuurlijk lastig, we zouden moeten kijken naar welke schade voorkomen is als gevolg van deze budgetten.

Bijna de helft van alle uitgaven in 2009 is opgegaan aan preventie – het voorkomen van criminaliteit en overlast – door politie en beveiligingsbedrijven. De rest is uitgegeven aan opsporing, tenuitvoerlegging van straffen en andere activiteiten. De kosten voor veiligheidszorg vormen 2,2 procent van het bruto binnenlands product.

Er is dus zo’n 6 miljard uitgegeven om criminaliteit te voorkomen. Is dat het waard? Ja een goede vraag. Deze vraag zien we ook vaak als we kijken naar beveiliging in de bredere zin van het woord. Hoeveel moeten we als bedrijf nu besteden aan beveiliging en welke schade voorkomen we daar dan mee? Er zijn verschillende manieren om de Return on Investment te berekenen, ook voor beveiliging maar in hoeverre je daar nu echt iets mee kunt blijf ik persoonlijk een lastige vinden.

Hebben we geen incidenten gehad dan kan het betekenen dat we voldoende besteed hebben aan beveiligingsmaatregelen, maar het kan net zo goed betekenen dat we gewoon geluk hebben gehad of er juist veel te veel aan hebben besteed.

Beveiligen kun je zien als een verzekering. Ik betaal al jaren premie en hoop dat ook nog vele jaren te mogen doen zonder dat ik gebruik hoef te maken van mijn verzekering. Nu het financieel met veel mensen even wat minder gaat zouden we natuurlijk massaal onze verzekeringen op kunnen zeggen. Toch doen we dat niet omdat we het belang er van inzien. Waarom wordt er dan door veel organisaties wel bezuinigd op beveiliging?

Natuurlijk moeten we waken voor dubbele verzekeringen, net zo goed als we moeten waken voor dubbele (lees: vaak onzinnige) beveiligingsmaatregelen. Doen we dat op de juiste manier dan kunnen we kostenefficiënt de grootste risico’s afdekken. We kunnen daarbij wellicht een verband leggen met de gegevens uit deze tekst: laten we nu eens 2,2 procent van onze omzet besteden aan beveiliging waarvan we dan de helft inzetten voor preventie…een mooi streven lijkt me…of niet?

Overheidscloud vergroot risico’s op datalekken

We zijn deze week lekker bezig met het nemen van een bepaald soort risico als uitgangspunt voor het blog. Daar gaan we vandaag nog even mee door. Vandaag pakken we weer een heel ander soort risico, namelijk dat op datalekken.

Overheden moeten goed nadenken of, en welke data in een cloud wordt opgeslagen. Landen worden aangespoord extra op beveiliging en contractvoorwaarden te letten (bron).

Interessant natuurlijk dat er hier specifiek gesproken wordt over de overheden die goed (lees: beter) na moeten denken over beveiliging in “the cloud”, maar dat geldt natuurlijk net zo goed voor alle andere organisaties en zelfs voor privé personen.

Een (vrij) nieuwe techniek en er moet inderdaad goed over de risico’s worden nagedacht. Toch moeten we deze ontwikkelingen niet uit de weg gaan, in veel gevallen kan het onderbrengen in de cloud zelfs beter zijn dan het op je eigen servers laten draaien.

Het gaat er natuurlijk om dat je goed de risico’s in kaart brengt voor de beschikbaarheid, integriteit en exclusiviteit van de data die je in de cloud opslaat. Doe je dat op een weldoordachte wijze dan zul je zien dat voor de ene organisatie de beschikbaarheid bijvoorbeeld enorm toeneemt terwijl ze concessies moeten doen aan de integriteit of de exclusiviteit.

Voor andere organisaties zal juist de beschikbaarheid afnemen terwijl de integriteit toeneemt. Het grootste bezwaar dat leeft tegen opslaan in de cloud is die van de exclusiviteit van de gegevens.

Of gewoon in simpel Nederlands: wie kan er allemaal bij mijn gegevens en wat doen ze er dan mee? Toch ben ik er van overtuigd dat ook de exclusiviteit van de data voor veel organisaties er enorm door kan toenemen. Nu werken ze nog op een verouderde infrastructuur, worden patches niet doorgevoerd en weten we al helemaal niet wie er van onze medewerkers bij de gegevens kan.

Maar om donderwolken te voorkomen, is het wel van belang goed naar die risico’s te kijken. Er over na te denken en de juiste maatregelen te nemen om die risico’s af te dekken. Ik geloof dat het kan en ik geloof dat voor veel organisaties de zon achter de wolken kan schijnen.

Praktijklokalen vaak nog onveilig

Veiligheid blijft een zorgenkindje in veel praktijklokalen van scholen in het voortgezet en middelbaar beroepsonderwijs (mbo). De Arbeidsinspectie meldde maandag op basis van onderzoek vorig jaar dat in ruim driekwart van de 136 gecontroleerde scholen onveilig werd gewerkt met machines en gevaarlijke stoffen. In 2009 werd er nog bij negen van de tien onveilig gewerkt in de praktijklokalen (bron).

Niet alleen het niveau van de opleidingen maar ook de veiligheid staat zwaar onder druk. Voor een land als Nederland, dat zo graag kenniseconomie wil zijn, doen we toch echt iets verkeerd. Volgens mij wordt het tijd dat er weer eens wat instellingen onder curatele gezet worden. En nee, denk nu niet dat het alleen maar komt door alle bezuinigingen, dat is misschien een deel van het probleem, maar er zijn genoeg scholen met voldoende budget.

Dat budget wordt alleen niet goed ingezet. Ik zal mijn commentaar onderbouwen met een simpel voorbeeld:
De in november bij de in opspraak geraakte hogeschool Inholland opgestapte bestuursleden Lein Labruyère en Joke Snippe krijgen tot maart van dit jaar gewoon doorbetaald, omdat hun arbeidsovereenkomst nog geldig is. Bovendien krijgen de twee per maart een ’gouden’ handdruk van respectievelijk 175.000 euro en 155.000 euro mee (bron).

De scholen die al eerder gecontroleerd waren, hebben er wel iets aan gedaan. Maar om nu te zeggen dat ze echt hun verantwoordelijkheid hebben genomen gaat me te ver:
In veel gevallen hadden de scholen wel maatregelen getroffen in de lokalen waar eerder was geïnspecteerd, maar niet in de overige lesruimtes. Bij de niet eerder gecontroleerde scholen waren de praktijklokalen zelfs maar in 3 procent van de gevallen helemaal in orde.

Zo, we hebben het gehad over de veiligheid van de leerlingen…redeneer nu nog even verder over de beveiliging (ja, er is een verschil, echt waar: veiligheid = safety, beveiliging = security), daar zal het wel niet veel beter mee gesteld zijn.

Beveiliging mobiele apparaten wordt vaak onderschat

We hadden het er al eerder over deze week, maar goed de kracht zit hem in de herhaling zullen we maar zeggen.

De beveiliging van mobiele apparaten wordt vaak onderschat. Onderzoek van Juniper Networks toont dit aan. Zeker 75% van de mensen zou hun mobiele apparaat gebruiken om gevoelige persoonlijke of bedrijfsinformatie te benaderen of zelfs te delen. Nog eens 81% benadert het bedrijfsnetwerk zonder toestemming van het bedrijf (bron).

Ik heb er al zoveel en zo vaak over geschreven dat ik bijna niet meer weet wat ik er nog aan toe kan voegen. Dus zullen we onszelf maar weer eens herhalen maar dan in andere bewoording.

We moeten steeds blijven kijken naar oorzaak en gevolg. Theoretisch heel simpel, toch? In de praktijk een stuk lastiger. Dat de beveiliging (en zeker niet alleen die van mobiele apparatuur) onderschat wordt is een gevolg. Het is niet, ik herhaal, niet de oorzaak. De oorzaak moet gezocht worden in bewustzijn, ik herhaal, bewustzijn.

Het management blijft beveiliging lastig vinden. Dat komt omdat we met zijn allen blijven denken in allerlei exotische beveiligingsmaatregelen. Deze maatregelen kosten bergen met geld, maken het werken lastig en er gebeurt toch nooit wat? Op zich allemaal (deels) waar, zeker als we uit blijven gaan van die maatregelen.

Willen we het management overtuigen dan moeten we echt meer en meer gaan denken en communiceren in operationele en bedrijfsrisico’s. Uiteindelijk is en blijft de beveiliging ondersteunend aan de primaire processen van de organisatie. Daar verdienen we ons geld mee en de operationele risico’s die dat geld verdienen kunnen beïnvloeden moeten we op een efficiënte wijze zien te beheersen.

Het management moet wegblijven van en niet lastig gevallen worden met die beveiligingsmaatregelen. Nee ze moeten overtuigd worden van het feit dat wij de operationele onacceptabele risico’s beheersen. En dat is makkelijker gezegd dan gedaan, dat weet ik ook wel. Toch moeten we er, in het kader van de bezuinigingen, niet mee wachten want dan staan we straks 1-0 achter.

Het advies? Start vandaag nog met het denken in operationele risico’s en maak daarbij steeds de vertaalslag naar de bedrijfsrisico’s.

Kritische infrastructuur is slecht beveiligd

Het is droevig gesteld met de beveiliging van kritische industriële infrastructuur. Zo worden veel belangrijke industriële processen niet beveiligd door gespecialiseerde hard- en software, maar bewaakt door huis-tuin-en-keukencomputers. En dat maakt ze kwetsbaar…Bij kritische infrastructuur moet men denken aan automatisering die gebruikt wordt voor de besturing van belangrijke processen. Dit kan variëren van de besturing van bruggen en sluizen tot de veiligheidssystemen die waken over een veilig en beheersbaar proces in een kerncentrale (bron).

De kritische infra, zeg maar de spil waarop het land draait, is dus net zo slecht beveiligd als alle andere organisaties en processen. Merkwaardig? Ach, het verbaast me niet. Gevaarlijk? Ja, dat zeker wel.

We onderschatten dit probleem. Zelfs als er ergens een “klein berichtje” over wordt geplaatst is er niemand die aan de bel trekt. Hallo, beste mensen van de Tweede Kamer…wordt het geen tijd dat hier eens stevige kamervragen over worden gesteld?

We hebben het hier over de kritische infrastructuur. In het voorbeeld wordt luchtig beschreven dat dit bijvoorbeeld een kerncentrale kan betreffen en daarmee lijkt de kous af. Maar wat te denken van de drinkwatervoorziening? Het Openbaar Vervoer? Gasinstallaties? De media? En zo kunnen we nog wel even doorgaan.

We staren ons voorlopig blind op terroristische aanslagen (en daar moeten we zeker voor waken) maar vlak ook alsjeblieft de digitale oorlogsvoering niet uit. Nederland kan met een aantal drukken op de knop worden platgelegd en geloof me er zijn landen die dat al lang kunnen.

Vroeger gingen we nog op de barricades tegen de kernwapens, want die konden wel zoveel schade aanrichten. Wordt het nu dan niet eens tijd dat we de politiek duidelijk maken dat een slechte beveiliging van de kritische infrastructuur onacceptabel is?

2011. Ja het kan een mooi jaar worden…maar er kan ook verschrikkelijk veel verkeerd gaan.

20%++ bezuinigen op beveiliging is mogelijk

Alle budgetrondes zijn achter de rug en we hebben voor het komende jaar allemaal weer wat in moeten leveren, ook op ons beveiligingsbudget. Althans, zo lijkt het. Het valt mij op dat er heel veel ontwikkelingen op beveiligingsgebied “on hold” zijn gezet. Natuurlijk zullen er organisaties zijn die er wel proactief mee omgaan, maar volgens mij zijn dat er te weinig.

Een enorm risico, als je het mij vraagt. We lopen straks met zijn allen achter de muziek aan en de vraag is of we de fanfare ooit nog in gaan halen. Er zijn allerlei nieuwe ontwikkelingen gaande, zoals het nieuwe werken, cloud computing en nog veel meer. Daarnaast lijkt er een digitale wereldoorlog aan de gang waar we nauwelijks op zijn voorbereid.

Raar dat we met dit soort risico’s ons beveiligingsbudget met 20% of meer verlagen. Nou ja, raar, dat lijkt alleen maar zo. Ik ben er van overtuigd dat we makkelijk 20% (en in mijn optiek nog vele malen meer) kunnen bezuinigen op beveiliging terwijl we het toch beter in de klauw krijgen. Maar goed, dat vergt denkwerk en visie waarbij de kosten voor de baten uit gaan. Hoewel ik graag iedereen wil vertellen over het “met minder meer bereiken” idee achter beveiliging stuiten we daar op een uitdaging (problemen bestaan immers niet): ik noem het dan wel zo leuk beveiligingsbudget…maar veel organisaties hebben zo’n budget helemaal niet. Nee de kosten voor beveiliging zijn verborgen in allerlei andere budgetten. De IT afdeling krijgt een IT budget en moet daar maar wat vanaf snoepen voor de informatiebeveiliging en de Facilitaire afdeling besteedt maar wat van hun budget aan de fysieke beveiliging. Klaar zijn we, toch? Nee natuurlijk niet, we verliezen de operationele risico’s hierbij uit het oog en pakken ze zeker niet integraal op. A waste of money, zullen we maar zeggen.

Willen we echt kunnen bezuinigen op beveiliging (waar ik alleen maar voor ben, want dat betekent dat we zaken slimmer aan moeten pakken) dan zullen we eerst inzichtelijk moeten maken welke kosten we daar nu eigenlijk voor maken. Daarna kunnen we bepalen hoeveel we kunnen bezuinigen en dan zullen we tot de conclusie komen dat we in heel veel gevallen meer dan 20% kunnen bezuinigen op de beveiligingsmaatregelen zonder dat we extra risico’s lopen…sterker nog ik denk dat we, zelfs met bezuinigingen de beveiliging sterk kunnen verbeteren als we er maar slim naar kijken.

Het is misschien een rare stelling in tijden van bezuiniging maar ik ga hem toch deponeren:
We moeten, juist nu, investeren in de aanpak van beveiliging om op de middellange en lange termijn er sterk op te kunnen bezuinigen terwijl we de risico’s beter kunnen beheersen.

Jullie weten me te vinden en mijn telefoon staat aan. Ik verwacht nu enorm veel telefoontjes van organisaties die een lange termijn visie hebben en die de risico’s op een kosteneffectieve willen beheersen…ben ik in gesprek dan weet je nu waarom. Bel me gewoon later even terug of spreek mijn voicemail in.

Die organisaties die me niet gaan bellen bevestigen alleen maar het boven geschetste beeld: zij zijn met de korte termijn overlevingsstrategie bezig en niet met hun lange termijn visie. Zij willen op korte termijn bezuinigen zonder naar de risico’s te kijken. Zij zijn aan het pappen en nat houden. Zij zullen onnoemelijke risico’s tegemoet kunnen zien…succes met overleven, ik investeer liever in de toekomst.