Het is dat de 5 nog niet in de klok zit, anders trokken ik en vele concullega’s met mij nu per direct een flinke fles champagne open.
Er wordt in 2011 in totaal 25,7 miljard euro uitgegeven aan ict-security. Dat verwacht onderzoeksbureau Gartner. In 2010 werd er wereldwijd nog 22,8 miljard euro gespendeerd aan ict-beveiliging. In 2015 verwacht Gartner dat het bedrag flink oploopt naar 36 miljard euro. Dat komt doordat de beveiligingsmarkt grote veranderingen doormaakt (bron).
De afgelopen jaren zijn we geconfronteerd geweest met flinke bezuinigingen en op het moment van schrijven zitten we nog midden in de “double dip”. Vele marktsegmenten hebben daar de last van ondervonden en de informatiebeveiliging is daar geen uitzondering op. Weinig is er gedaan aan innovatie en als er al besteed is, dan is dat met name in vervanging van bestaande technische beveiligingsmaatregelen.
Als we inderdaad de komende jaren aan kunnen kijken tegen een groei in de investeringen in de informatiebeveiliging, dan hoor je mij daar niet over klagen. Maar, ik zou mezelf niet zijn als ik daar niet direct een kanttekening bij zou plaatsen.
Het gevaar schuilt hem er in dat we blijven investeren in technische beveiligingsmaatregelen zonder dat we de risico’s voor onze organisatie echt in de smiezen hebben. Voordat we dus de budgetten voor de komende jaren gaan bepalen lijkt het mij een goed idee om nog eens goed naar onze organisatie als geheel te kijken. Wat was onze missie ook alweer? Welke strategie voeren we daarbij? En welke doelstellingen willen we wanneer bereiken?
Dat zijn de uitgangspunten. Die moeten we als uitgangspunt nemen voor onze risico analyses. Als we dan toch uit de dip komen, dan kunnen we het beter gelijk goed doen. Goed doen, door nu eindelijk een top-down benadering te hanteren. Natuurlijk moeten we apparatuur, die aan het eind van de levensduur gekomen is, vervangen. Maar eigenlijk zijn we dan al te laat. Bij aanschaf konden we al weten dat de apparatuur een keer vervangen moest worden.
Het is zonde van het geld als we klakkeloos de apparatuur vervangen zonder te kijken naar de risico’s die we daarmee af willen dekken. Misschien zijn de risico’s wel anders dan een jaar of 5 geleden. Misschien is onze organisatie nu wel heel anders dan 5 jaar geleden en misschien is ook onze technische infrastructuur nu heel anders dan 5 jaar geleden.
Voordat we weer miljoenen (of als we Gartner mogen geloven: miljarden) over de balk smijten, zou ik toch liever zien dat we ook bij informatiebeveiliging planmatig te werk gaan. We mogen best een potje achter de hand houden voor als het fout gaat. Maar het grootste deel van het budget moeten we toch echt gaan reserveren voor preventie. En dat kunnen we alleen doen op basis van risico analyse en met de missie, strategie en doelstellingen in het achterhoofd.
Zo, iedereen die nu nog zegt dat er geen budget is voor informatiebeveiliging, verwijs ik graag naar het onderzoek van Gartner. Toch een goed aangeschreven naam. Grote kans dat je met een onderzoek van Gartner je management kan overtuigen van het feit dat de tijd achter ons ligt dat we niet meer in informatiebeveiliging investeerden.
Nou, ik hoor het wel als de kogel door de kerk is en het budget is goedgekeurd. Ik denk graag met je mee over de risico’s en de wijze waarop je het budget zo efficiënt mogelijk kunt besteden. Kijken we echt met een top-down benadering en met een integrale beveiligingsvisie naar de toekomst dan is zelfs de kans aanwezig dat je flink budget over houdt…die we dan uiteraard weer netjes teruggeven aan het management.