Beveiligingsbudget

De volgende vraag uit de volwaardige scan gaat in op de zichtbare steun en betrokkenheid van het (top)management. Maar misschien kun je het je nog herinneren, die vraag hebben we afgelopen vrijdag ook al behandeld, deze slaan we voor het gemak (en de leesbaarheid) dan ook maar even over en we gaan gelijk naar de volgende vraag:

Is er voldoende budget beschikbaar om de onderkende risico’s af te dekken?

Een dooddoener zul je zeggen, maar toch komen we in de praktijk nog vaak tegen dat het budget voor beveiliging niet op een gefundeerde wijze tot stand is gekomen. Er wordt voortgeborduurd op de budgetten zoals we die in het verleden hebben bepaald (en doen daar iets bij of af, afhankelijk van het economisch klimaat, zullen we maar zeggen). Op zich allemaal heel verklaarbaar natuurlijk, maar als we beveiliging echt serieus willen nemen, dan moet hij gewoon meedraaien in de normale planning en control cyclus van de organisatie.

We kunnen het budget dan eigenlijk ook alleen maar bepalen als we weten welk risicogedrag de organisatie accepteert, wat de inhoud van het beveiligingsbeleid is en op welk niveau we nu al staan (op basis daarvan kunnen we berekenen wat we nodig hebben voor ontwikkeling en onderhoud). Vanuit security management moeten we ook daadwerkelijk verantwoording af gaan leggen over wat we met het beschikbare budget hebben gedaan, we moeten gaan plannen en de effectiviteit van ons handelen inzichtelijk maken.

Beveiliging heeft het imago duur te zijn. Met een verkeerde aanpak kan dit inderdaad het geval zijn. Daarnaast wordt vaak gezegd dat het allemaal wel mee zal vallen of dat het ons niet zal overkomen. Door uit te gaan van de operationele risico’s kan een weloverwogen beslissing worden genomen over de risico’s die we kunnen accepteren en de risico’s waar we beheersingsmaatregelen voor moeten treffen.

Beveiligingsmaatregelen kunnen worden onderverdeeld in preventieve, detectieve, repressieve en correctieve maatregelen. Bij een proactieve aanpak wordt een deel van het budget aan preventieve maatregelen besteed waarmee incidenten voorkomen (moeten) worden. Dit is een directe investering (dus geen kostenpost) voor de toekomst. Bij een verkeerde aanpak of te weinig budget voor preventieve maatregelen zullen de kosten voor detectieve, repressieve en correctieve maatregelen toenemen als gevolg van een incident. Hieruit kunnen we dus concluderen dat als we zicht willen hebben op onze middelen (= bijv. geld) voor beveiliging we beter proactief keuzes kunnen maken om niet verrast te worden (dat zijn immers meestal nogal dure verrassingen waar we niet op zitten te wachten).

Beveiliging kan in veel gevallen gezien worden als verzekering. We moeten ervoor zorgen dat we niet dubbel maar zeker ook niet onderverzekerd zijn. We hebben toch allemaal wel een of meer verzekeringen? Sterker nog, de gemiddelde Nederlander is veel te goed verzekerd…maar goed. Voor beveiliging geldt hetzelfde: ga na wat we willen beveiligen/verzekeren en trek daar de middelen voor uit, niet meer, maar ook niet minder.

Het voordeel van preventieve maatregelen is dat we ze veelal vooraf goed kunnen budgetteren. Voor de kosten die gemaakt moeten worden na een incident zijn deze budgetten veel moeilijker te maken. De kosten na een incident kunnen onbeheersbaar zijn. Een incident mag zich dan uiten als beveiligingsaspect, de oorzaak ligt daar meestal niet. Neem als voorbeeld een brand: de gevolgen linken we al snel aan beveiliging, maar de oorzaak is misschien wel een gefrustreerde, boventallige, medewerker die besluit de boel in de hens te steken? Of misschien sluiten we per ongeluk nog een firewall extra aan op de stoppenkast waardoor kortsluiting ontstaat. De gevolgen mogen dan beveiliging zijn, de oorzaak is dat niet. Juist daarom pleiten we ervoor beveiliging als regulier aspect van de bedrijfsvoering mee te nemen en niet als een los exotisch aspect.

Zo, voldoende over budgetten. Sluit aan bij de reguliere budgetbepaling van de organisatie en het zal allemaal een stuk beter lopen. Ik hoor het wel van je.

20%++ bezuinigen op beveiliging is mogelijk

Alle budgetrondes zijn achter de rug en we hebben voor het komende jaar allemaal weer wat in moeten leveren, ook op ons beveiligingsbudget. Althans, zo lijkt het. Het valt mij op dat er heel veel ontwikkelingen op beveiligingsgebied “on hold” zijn gezet. Natuurlijk zullen er organisaties zijn die er wel proactief mee omgaan, maar volgens mij zijn dat er te weinig.

Een enorm risico, als je het mij vraagt. We lopen straks met zijn allen achter de muziek aan en de vraag is of we de fanfare ooit nog in gaan halen. Er zijn allerlei nieuwe ontwikkelingen gaande, zoals het nieuwe werken, cloud computing en nog veel meer. Daarnaast lijkt er een digitale wereldoorlog aan de gang waar we nauwelijks op zijn voorbereid.

Raar dat we met dit soort risico’s ons beveiligingsbudget met 20% of meer verlagen. Nou ja, raar, dat lijkt alleen maar zo. Ik ben er van overtuigd dat we makkelijk 20% (en in mijn optiek nog vele malen meer) kunnen bezuinigen op beveiliging terwijl we het toch beter in de klauw krijgen. Maar goed, dat vergt denkwerk en visie waarbij de kosten voor de baten uit gaan. Hoewel ik graag iedereen wil vertellen over het “met minder meer bereiken” idee achter beveiliging stuiten we daar op een uitdaging (problemen bestaan immers niet): ik noem het dan wel zo leuk beveiligingsbudget…maar veel organisaties hebben zo’n budget helemaal niet. Nee de kosten voor beveiliging zijn verborgen in allerlei andere budgetten. De IT afdeling krijgt een IT budget en moet daar maar wat vanaf snoepen voor de informatiebeveiliging en de Facilitaire afdeling besteedt maar wat van hun budget aan de fysieke beveiliging. Klaar zijn we, toch? Nee natuurlijk niet, we verliezen de operationele risico’s hierbij uit het oog en pakken ze zeker niet integraal op. A waste of money, zullen we maar zeggen.

Willen we echt kunnen bezuinigen op beveiliging (waar ik alleen maar voor ben, want dat betekent dat we zaken slimmer aan moeten pakken) dan zullen we eerst inzichtelijk moeten maken welke kosten we daar nu eigenlijk voor maken. Daarna kunnen we bepalen hoeveel we kunnen bezuinigen en dan zullen we tot de conclusie komen dat we in heel veel gevallen meer dan 20% kunnen bezuinigen op de beveiligingsmaatregelen zonder dat we extra risico’s lopen…sterker nog ik denk dat we, zelfs met bezuinigingen de beveiliging sterk kunnen verbeteren als we er maar slim naar kijken.

Het is misschien een rare stelling in tijden van bezuiniging maar ik ga hem toch deponeren:
We moeten, juist nu, investeren in de aanpak van beveiliging om op de middellange en lange termijn er sterk op te kunnen bezuinigen terwijl we de risico’s beter kunnen beheersen.

Jullie weten me te vinden en mijn telefoon staat aan. Ik verwacht nu enorm veel telefoontjes van organisaties die een lange termijn visie hebben en die de risico’s op een kosteneffectieve willen beheersen…ben ik in gesprek dan weet je nu waarom. Bel me gewoon later even terug of spreek mijn voicemail in.

Die organisaties die me niet gaan bellen bevestigen alleen maar het boven geschetste beeld: zij zijn met de korte termijn overlevingsstrategie bezig en niet met hun lange termijn visie. Zij willen op korte termijn bezuinigen zonder naar de risico’s te kijken. Zij zijn aan het pappen en nat houden. Zij zullen onnoemelijke risico’s tegemoet kunnen zien…succes met overleven, ik investeer liever in de toekomst.