De financiele crisis leidt bij veel bedrijven tot minder investeringen in informatiebeveiliging. Een op de vier organisaties heeft te maken met een verlaging van het beveiligingsbudget van vijf tot vijftig procent. En nog eens dertien procent wordt geconfronteerd met meer dan een halvering van het budget. In vergelijking met vorig jaar heeft een meerderheid van de organisaties de aandacht verlegd naar compliance, het voldoen aan wet- en regelgeving. Kostenreductie en kwaliteitsverbetering spelen op dit moment een veel minder belangrijke rol. Zo blijkt uit onderzoek.
Eerder bleek al dat bedrijven hun beveiliging afbreken. Juist nu meer medewerkers getroffen zullen worden door de financiele crisis (door ontslagrondes, door het ontbreken van bonussen, etc.) zou het toezicht alleen maar toe moeten nemen. Vertrouwen is goed, controle is beter, juist nu, maar daar denken de organisaties dus anders over.
Tel daarbij op dat het volwassenheidsniveau van veel organisaties op het gebied van beveiliging nog niet erg hoog was (het is misschien net uit de kinderschoenen, maar er zijn nog vele stappen te zetten), dat blijkt onder andere uit alle incidenten die we voorbij zien komen, dan ga ik me toch zorgen maken.
Het voldoen aan wet- en regelgeving krijgt de aandacht, maar moesten ze daar dan al niet aan voldoen? Hebben ze dan jaren de wet overtreden? En, daarbij, zoveel wet- en regelgeving op het gebied van informatiebeveiliging is er nu ook weer niet. Kostenreductie en kwaliteitsverbetering spelen op dit moment een veel minder belangrijke rol , zo wordt geconcludeerd. Kostenreductie kan, volgens mij, op meerdere manieren bereikt worden: bijvoorbeeld door alleen maar te voldoen aan wet- en regelgeving (die dus voor een groot deel nog ontbreekt) of door nu eens slim na te denken over de af te dekken risico’s en de te nemen maatregelen. Kostenreductie speelt dus wel degelijk een rol, maar dan op de eerste manier. Juist door slim te kijken naar risico’s en maatregelen kunnen niet alleen de kosten verminderd worden maar kan ook nog eens de kwaliteit toenemen. Jammer een gemiste kans voor veel organisaties en een erg korte termijn visie.
In plaats van preventieve maatregelen zullen nu meer kosten gemaakt moeten worden voor repressieve en correctieve maatregelen. Op zich niet erg, want ook dat kan je strategie zijn, alleen zijn die kosten vele malen moeilijker in te schatten en vele malen hoger dan de preventieve maatregelen. Wat kost het als je imago naar de haaien gaat? Wat kost het om de informatie die verloren gaat terug te krijgen (als dat al mogelijk is)? Wat kost het als de continuiteit in gevaar komt door foute bezuinigingen…uit eindelijk misschien wel je kop.