Security wordt nou niet als iets heel nuttigs door veel organisaties beschouwd. Het kost geld, het houdt mensen van hun werk en wat krijg je er voor terug? Natuurlijk kun je in een risicoanalyse aantonen wat de gevolgen kunnen zijn voor een organisatie als een bepaalde maatregel niet wordt genomen. Maar je krijgt natuurlijk meer vrienden als kunt laten zien als het ook nog geld gaat opleveren en het liefst nog op korte termijn.
Tja, en toen bleef het erg stil. Want wat kan security nou opleveren? Hoeveel efficiënter gaat een afdeling werken na een securitytraining of installatie van een intrussion detection-systeem? Welke besparingen realiseer ik nu door het voeren van een clean desk-beleid? Op het eerste gezicht kost security alleen geld en levert het niets op.
Nu kun je aanvoeren dat security er niet is om geld te verdienen maar om de betrouwbaarheid van de informatievoorziening te garanderen, of een vergelijkbare volzin. Dat is natuurlijk waar, maar de meeste bedrijven worden voornamelijk gedreven door de P van 'profit', waarbij het geld liever in het laatje dan uit het laatje vloeit. Zeker in deze tijd van economisch zwaar weer, wordt de hand op knip gehouden.
Welke mogelijkheden zijn er om security economisch aantrekkelijker te maken voor bedrijven?
Je zou op zoek kunnen gaan naar organisaties die mede door security geld hebben kunnen besparen of meer winst kunnen maken. Het liefst een organisatie die iets vergelijkbaars wat jij doet, waardoor je kunt benchmarken. Dat wordt wel bemoeilijkt als er een stevige concurrentie bestaat, waarbij je natuurlijk de concurrentie liever niet van een voordeeltje voorziet.
Ook zou je kunnen proberen security meer vanuit procesoptimalisatie te benaderen. Een proces zou bijvoorbeeld veel beter kunnen presenteren als men een betere controle uitvoerde, waardoor er sneller opgespoord en verholpen kan worden. Je kunt ook zoeken naar prestatieverbetering van ict-systemen, door bijvoorbeeld oneigenlijk gebruik van resources op te sporen die vertragingen veroorzaken.
Een derde mogelijkheid is te kijken waar security juist de gebruikersvriendelijkheid kan verhogen (en daardoor de beheerskosten verlagen). Dat lijkt paradoxaal, aangezien security vaak juist gebruikervriendelijkheid lijkt te verkleinen. Moderne oplossingen zoals smartcards, identity management, single sign on en wachtwoord self-service, kunnen het gebruikersgemak vergroten en de beheersinspanningen verlagen. Uiteraard vergt dit ook de nodige investeringen, maar je kunt er in ieder geval een business case van maken.
Het is naar mijn mening belangrijk voor securityprofessionals in deze moeilijke economische tijd ook op zoek te gaan naar de (financiële) meerwaarde die security kan opleveren. Ik maak de vergelijking maar met de bassist in de band; die is alleen zichtbaar als het fout gaat. Maar een goede bassist kan ook de band op een hoger niveau brengen.
Tjonge, jonge, dit soort artikelen…
“Wat levert een brandverzekering op?” (ja, voor de tussenpersoon).
Sommigen zaken leveren niet altijd geld op, maar behoeden je voor bepaalde risico’s. En je kunt er (vaak) voor kiezen om wel of niet de ‘verzekeringspremie’ te betalen.
Ik zie het meer als een kwestie van gezond boerenverstand en de bereidheid al dan niet te investeren in veiligheid (ongeacht of dat nu IT beveiliging of fysieke beveiliging is).
Als je niet bereid bent te investeren in beveiliging en het gaat fout, moet je ook niet achteraf komen zeuren. Dan zul je op de blaren moeten zitten.
Misschien moet je het als verkoopargument gebruiken. “Wij zijn beter beveiligd dan de concurrent, bij ons zijn uw gegevens veilig”. Net als bij SKG 3-sterren hang- en sluitwerk. De inbreker kiest voor de buren die GEEN 3-sterren hang- en sluitwerk hebben… 😉
Helaas mee eens, niets op af te dingen. Helaas, wordt deze opvatting niet altijd gedeeld door het management, zeker als de geldkraan weer teruggedraaid wordt.
Als securityprofessional zul je dus security moeten “verkopen”. Security alleen aanbieden als verzekering, kan wel eens niet genoeg zijn. Immers, je kunt er ook voor kiezen om het risico (tijdelijk?) te nemen, nu het even niet goed uitkomt.
Kom op mannen, jullie zitten toch echt op het pad der zwartgalligen. Security is geweldig, voor jou en voor je klant!
Stel je eens voor hoe een V&D de verhouding personeel versus winkeloppervlak zou kunnen realiseren zonder beveiligingscamera?s? Niet dus, ze zouden geen gezond businessmodel kunnen bedenken zonder security. En wat dacht je van een webshop zonder beveiliging, op geen enkele manier zou een investeerder daar op inzetten zonder security.
Voor beveiliging hoef je geen business case te bedenken, een business case ontstaat door beveiliging!
Als ik morgen een methode bedenk waarbij ik op een publiek scherm uitsluitend zie wat voor mij persoonlijk bedoeld is en niemand anders dat kan zien dan is dat een uitvinding op het gebied van beveiliging, en ik kan je garanderen dat ondernemers staan te dringen om er gebruik van te maken.
Je kunt natuurlijk proberen een webshop te bouwen zonder security, maar dat is als een transportbedrijf dat geen vervoersmiddel wil aanschaffen. Of iemand die 24 uur wil produceren het als gezeur ziet om lampen te monteren in de productiehal.
Kom op, tijd voor de emancipatie van het security vakgebied!
Het moet inderdaad mogelijk zijn om met betere security oplossingen het gemak voor de gebruiker te vergroten en de kosten voor beheer te verkleinen. Single sign-on is veruit te verkiezen boven 20 wachtwoorden op gele memostickertjes onder het toetsenbord. En met role based access kan een beheerder aan de hand van iemand zijn functie bepalen welke rol en rechten die krijgt. Zonder hem of haar lid te moeten maken van 20 groepen en rechten te geven in 10 applicaties.
Ik ben alleen benieuwd of er oplossingen bestaan die dit tegen acceptabele kosten mogelijk maken en nu eens een keer wel fatsoenlijk integreren met active directory.
Security heeft van huis uit nu eenmaal een haat/liefdes-verhouding met ‘Profit’, wat dat dan ook precies moge inhouden. Het is mij weleens opgevallen hoe bol met name de financi?le sector staat van de prachtige Engelse managementtermen, maar het feitelijk ontbreekt aan gericht expertise.
ICT-beveiliging is een prachtig boekvoorbeeld. Informatiebeveiliging vraagt om meer dan alleen kennis van ICT-technische maatregelen.
Iedere security-professional zal kunnen beamen dat menselijk gedrag centraal staat. Ik sluit hierin aan bij de bovenstaande reacties: security behoeft geen verdediging, maar heeft te maken met de kortzichtigheid van veel bedrijven. Zoals we allemaal inmiddels weten, heeft de kredietcrisis laten zien waar de prachtige sleutelwoorden van bedrijven voor staan: een farce, het nemen onverantwoord nemen van speculatieve risico’s om vervolgens te snijden in betrouwbare takken van het bedrijf.
Bestrijding van social engineering en identity-theft zijn zeker net zo belangrijk als een goed afgeschermde server of een degelijk bedrijfsnetwerk.