Verander risico: Er is te weinig budget beschikbaar

Vandaag gaan we in op het risico: Er is te weinig budget beschikbaar

Als er te weinig budget beschikbaar is om de verandering door te voeren dan heeft dat invloed op de tijdslijnen en op het resultaat. Het budget is in dit geval een gegeven, meer geld is gewoon niet beschikbaar.

We zullen dus consessies moeten doen aan de tijdslijnen en het resultaat. De tijdslijnen zullen langer worden terwijl het resultaat straks minder is dan we gewenst hebben.

Zien we al in de fase van de business case dat er te weinig budget beschikbaar gesteld wordt, dan is het project direct gedoemd te mislukken.

Als je thuis je badkamer wilt gaan verbouwen dan weet je ook dat je dat een smak geld gaat kosten. Afhankelijk van wat je precies wilt en afhankelijk van welke werkzaamheden je zelf gaat doen moet je toch al snel rekening houden met een bedrag tussen de € 5.000 en € 15.000. Heb je echter maar € 2.500 beschikbaar dan wordt het een moeilijk verhaal. Je zult dan keuzes moeten maken en kunt niet de hele badkamer verbouwen.

Verander complexiteit: Budgethouders en budgetbepaling

Vandaag gaan we in op de complexiteitsfactor: Budgethouders en budgetbepaling

Als het goed is, hebben we vooraf goedkeuring gekregen om de kosten voor de verandering daadwerkelijk te maken. Er is een budget opgesteld en dat zullen we tijdens de uitvoering moeten gebruiken. De project manager heeft veelal een papieren budget en moet bij budgethouders aankloppen om dat geld uit te kunnen geven. De project manager zal niet zelf de facturen betalen maar deze worden op een vooraf bepaald budget gezet.

Juist daarom willen we weten wie mandaat heeft om dat budget uit te geven, willen we zeker weten dat het budget is goedgekeurd en moet het budget daadwerkelijk gereserveerd zijn. Is dat niet het geval dan neemt de complexiteit toe omdat er geen geld beschikbaar is om de verandering door te voeren.

Verander complexiteit: De kosten ramingen

Vandaag gaan we in op de complexiteitsfactor: De kosten ramingen

Eerder hebben we al gekeken naar het totale budget voor de verandering. Daarbij zijn we echter nog niet ingegaan op hoe betrouwbaar dat budget eigenlijk is. Het kenmerk van een verandering is dat het onzeker is omdat we het nog niet (veel) vaker hebben gedaan. Was dat immers wel het geval dan zou het een standaard bedrijfsproces worden voor de organisatie.

We weten dus niet zeker wat de verandering ons gaat kosten. Net als we niet 100% zeker weten wat de baten zullen zijn. De business case is vaak een te optimistische schatting gebaseerd op allerlei aannames. Juist daarom willen we weten hoe betrouwbaar de kosten ramingen zijn. Hoe meer gegevens we hebben gebruikt uit het verleden, hoe betrouwbaarder de ramingen.

Vijf tips voor de verdeling van je marketingbudget in 2013

Met het nieuwe jaar in het vooruitzicht zijn de budgetrondes bij veel organisaties nog in volle gang. Binnen online marketing spelen enkele belangrijke trends, die van grote impact zijn op de wijze waarop het marketingbudget idealiter wordt verdeeld over de diverse kanalen. Op Emerce worden 5 tips gegeven voor de verdeling van het marketing budget in 2013.

  1. Verdeel het marketingbudget op basis van de mediaconsumptie van je doelgroep
  2. Houdt bij verschuiving van budget rekening met de rol van het marketinginstrument
  3. Stuur online media niet teveel of alleen maar aan op last click
  4. Geef search heeft een centrale rol binnen de marketingmix
  5. Zorg dat het hele aankoopproces inzichtelijk is

Meer informatie lees je op Emerce.nl

CISO’s in opmars

Een kwart van de grote organisaties heeft inmiddels een CISO (Chief Information Security Officer) in dienst; een teken dat er op directieniveau meer aandacht is voor IT-beveiliging. Dat blijkt uit een rapport van IBM, dat hiervoor met ruim 130 beveiligingsmedewerkers van diverse niveaus in 7 landen sprak (bron).

Nu kunnen we natuurlijk heel blij zijn met het feit dat een kwart van de bedrijven inmiddels een CISO heeft aangesteld. Maar dat betekent dat nog steeds 75% van de grote organisaties nog geen CISO hebben en dan moeten we niet uit het oog verliezen dat het hier specifiek gaat om grote organisaties. De middelgrote en kleine organisaties zijn buiten scope en ik vrees dat de cijfers daar nog erger zijn.

Maar laten we nog even verder gaan. Ook heeft 75 procent niet genoeg budget en daadkracht voor een degelijk IT-beveiligingsbeleid, zo concluderen de onderzoekers van IBM. Wel denkt twee derde dat de budgetten hiervoor de komende 2 jaar zullen stijgen.

Nu kun je informatie zo sturen als je wilt, maar wat mij betreft bevestigd dit het beeld dat ik al jaren over de bühne probeer te brengen. Het is nog slecht gesteld met de aandacht voor informatiebeveiliging.

En nu zou ik daarover kunnen klagen maar dat doen we natuurlijk niet. Nee, het komt ook door hoe wij informatiebeveiliging aan het management willen “verkopen”. Wij slagen er nog te weinig in om de beveiligingsrisico’s te koppelen aan de “enterprise risks”. We vallen het management nog te veel lastig met allerlei technische beveiligingsmaatregelen en projecten. Het management begrijpt er niets van en wij kunnen het niet goed genoeg uitleggen.

Positief punt is dat men verwacht dat er de komende 2 jaar extra budgetten beschikbaar komen. Nu maar hopen dat we die budgetten ook daadwerkelijk in kunnen zetten om risico’s af te dekken. Doen we dit verkeerd dan houden we de huidige cyclische manier van werken: geen budget, toename risico’s => te veel risico’s dan meer budget, we zetten dat budget verkeerd in en leggen te weinig verantwoording af aan het management => het management moet bezuinigen en komt als eerste het beveiligingsbudget opeisen.

Kortom: we hebben de komende jaren een kans als informatiebeveiligers. Laten we die kans met beide handen aangrijpen en ervoor zorgen dat informatiebeveiliging een volgende volwassenheidsfase bereikt…daar zijn we gezamenlijk verantwoordelijk voor.

Wereld geeft 25,7 miljard euro uit aan security

Het is dat de 5 nog niet in de klok zit, anders trokken ik en vele concullega’s met mij nu per direct een flinke fles champagne open.

Er wordt in 2011 in totaal 25,7 miljard euro uitgegeven aan ict-security. Dat verwacht onderzoeksbureau Gartner. In 2010 werd er wereldwijd nog 22,8 miljard euro gespendeerd aan ict-beveiliging. In 2015 verwacht Gartner dat het bedrag flink oploopt naar 36 miljard euro. Dat komt doordat de beveiligingsmarkt grote veranderingen doormaakt (bron).

De afgelopen jaren zijn we geconfronteerd geweest met flinke bezuinigingen en op het moment van schrijven zitten we nog midden in de “double dip”. Vele marktsegmenten hebben daar de last van ondervonden en de informatiebeveiliging is daar geen uitzondering op. Weinig is er gedaan aan innovatie en als er al besteed is, dan is dat met name in vervanging van bestaande technische beveiligingsmaatregelen.

Als we inderdaad de komende jaren aan kunnen kijken tegen een groei in de investeringen in de informatiebeveiliging, dan hoor je mij daar niet over klagen. Maar, ik zou mezelf niet zijn als ik daar niet direct een kanttekening bij zou plaatsen.

Het gevaar schuilt hem er in dat we blijven investeren in technische beveiligingsmaatregelen zonder dat we de risico’s voor onze organisatie echt in de smiezen hebben. Voordat we dus de budgetten voor de komende jaren gaan bepalen lijkt het mij een goed idee om nog eens goed naar onze organisatie als geheel te kijken. Wat was onze missie ook alweer? Welke strategie voeren we daarbij? En welke doelstellingen willen we wanneer bereiken?

Dat zijn de uitgangspunten. Die moeten we als uitgangspunt nemen voor onze risico analyses. Als we dan toch uit de dip komen, dan kunnen we het beter gelijk goed doen. Goed doen, door nu eindelijk een top-down benadering te hanteren. Natuurlijk moeten we apparatuur, die aan het eind van de levensduur gekomen is, vervangen. Maar eigenlijk zijn we dan al te laat. Bij aanschaf konden we al weten dat de apparatuur een keer vervangen moest worden.

Het is zonde van het geld als we klakkeloos de apparatuur vervangen zonder te kijken naar de risico’s die we daarmee af willen dekken. Misschien zijn de risico’s wel anders dan een jaar of 5 geleden. Misschien is onze organisatie nu wel heel anders dan 5 jaar geleden en misschien is ook onze technische infrastructuur nu heel anders dan 5 jaar geleden.

Voordat we weer miljoenen (of als we Gartner mogen geloven: miljarden) over de balk smijten, zou ik toch liever zien dat we ook bij informatiebeveiliging planmatig te werk gaan. We mogen best een potje achter de hand houden voor als het fout gaat. Maar het grootste deel van het budget moeten we toch echt gaan reserveren voor preventie. En dat kunnen we alleen doen op basis van risico analyse en met de missie, strategie en doelstellingen in het achterhoofd.

Zo, iedereen die nu nog zegt dat er geen budget is voor informatiebeveiliging, verwijs ik graag naar het onderzoek van Gartner. Toch een goed aangeschreven naam. Grote kans dat je met een onderzoek van Gartner je management kan overtuigen van het feit dat de tijd achter ons ligt dat we niet meer in informatiebeveiliging investeerden.

Nou, ik hoor het wel als de kogel door de kerk is en het budget is goedgekeurd. Ik denk graag met je mee over de risico’s en de wijze waarop je het budget zo efficiënt mogelijk kunt besteden. Kijken we echt met een top-down benadering en met een integrale beveiligingsvisie naar de toekomst dan is zelfs de kans aanwezig dat je flink budget over houdt…die we dan uiteraard weer netjes teruggeven aan het management.

20%++ bezuinigen op beveiliging is mogelijk

Alle budgetrondes zijn achter de rug en we hebben voor het komende jaar allemaal weer wat in moeten leveren, ook op ons beveiligingsbudget. Althans, zo lijkt het. Het valt mij op dat er heel veel ontwikkelingen op beveiligingsgebied “on hold” zijn gezet. Natuurlijk zullen er organisaties zijn die er wel proactief mee omgaan, maar volgens mij zijn dat er te weinig.

Een enorm risico, als je het mij vraagt. We lopen straks met zijn allen achter de muziek aan en de vraag is of we de fanfare ooit nog in gaan halen. Er zijn allerlei nieuwe ontwikkelingen gaande, zoals het nieuwe werken, cloud computing en nog veel meer. Daarnaast lijkt er een digitale wereldoorlog aan de gang waar we nauwelijks op zijn voorbereid.

Raar dat we met dit soort risico’s ons beveiligingsbudget met 20% of meer verlagen. Nou ja, raar, dat lijkt alleen maar zo. Ik ben er van overtuigd dat we makkelijk 20% (en in mijn optiek nog vele malen meer) kunnen bezuinigen op beveiliging terwijl we het toch beter in de klauw krijgen. Maar goed, dat vergt denkwerk en visie waarbij de kosten voor de baten uit gaan. Hoewel ik graag iedereen wil vertellen over het “met minder meer bereiken” idee achter beveiliging stuiten we daar op een uitdaging (problemen bestaan immers niet): ik noem het dan wel zo leuk beveiligingsbudget…maar veel organisaties hebben zo’n budget helemaal niet. Nee de kosten voor beveiliging zijn verborgen in allerlei andere budgetten. De IT afdeling krijgt een IT budget en moet daar maar wat vanaf snoepen voor de informatiebeveiliging en de Facilitaire afdeling besteedt maar wat van hun budget aan de fysieke beveiliging. Klaar zijn we, toch? Nee natuurlijk niet, we verliezen de operationele risico’s hierbij uit het oog en pakken ze zeker niet integraal op. A waste of money, zullen we maar zeggen.

Willen we echt kunnen bezuinigen op beveiliging (waar ik alleen maar voor ben, want dat betekent dat we zaken slimmer aan moeten pakken) dan zullen we eerst inzichtelijk moeten maken welke kosten we daar nu eigenlijk voor maken. Daarna kunnen we bepalen hoeveel we kunnen bezuinigen en dan zullen we tot de conclusie komen dat we in heel veel gevallen meer dan 20% kunnen bezuinigen op de beveiligingsmaatregelen zonder dat we extra risico’s lopen…sterker nog ik denk dat we, zelfs met bezuinigingen de beveiliging sterk kunnen verbeteren als we er maar slim naar kijken.

Het is misschien een rare stelling in tijden van bezuiniging maar ik ga hem toch deponeren:
We moeten, juist nu, investeren in de aanpak van beveiliging om op de middellange en lange termijn er sterk op te kunnen bezuinigen terwijl we de risico’s beter kunnen beheersen.

Jullie weten me te vinden en mijn telefoon staat aan. Ik verwacht nu enorm veel telefoontjes van organisaties die een lange termijn visie hebben en die de risico’s op een kosteneffectieve willen beheersen…ben ik in gesprek dan weet je nu waarom. Bel me gewoon later even terug of spreek mijn voicemail in.

Die organisaties die me niet gaan bellen bevestigen alleen maar het boven geschetste beeld: zij zijn met de korte termijn overlevingsstrategie bezig en niet met hun lange termijn visie. Zij willen op korte termijn bezuinigen zonder naar de risico’s te kijken. Zij zijn aan het pappen en nat houden. Zij zullen onnoemelijke risico’s tegemoet kunnen zien…succes met overleven, ik investeer liever in de toekomst.