Meten van de doeltreffendheid van beveiliging

We zijn inmiddels toch behoorlijk op weg om informatiebeveiliging serieus in te bedden in de organisatie. We hebben beleid, dat door het (top)management gesteund wordt en zij geven ook nog het juiste voorbeeld.

Maar, de liefde kan natuurlijk niet van een kant komen. Nee, nu zullen we vanuit beveiliging ook onze verantwoordelijkheid moeten nemen en ervoor moeten zorgen dat de beveiligingsaanpak verder volwassen wordt. Willen we dat, dan zullen we dus moeten meten hoe goed we het eigenlijk doen, wat we meer moeten of kunnen doen maar ook wat we inmiddels misschien af kunnen schaffen. Geen toeval, natuurlijk, maar de volgende vraag sluit daarbij aan.

Is er een meetsysteem om de doeltreffendheid van de integrale beveiliging te beoordelen en verbeteringen inzichtelijk te maken?

Zodra we besloten hebben om beveiliging als regulier bedrijfskundig aspect te benaderen, mogen we ook verwachten dat er verantwoording wordt afgelegd over wat er met het budget gerealiseerd is, hoe goed datgene werkt en welke incidenten we (wellicht) voorkomen hebben. Ja, we moeten de doelstellingen voor beveiliging dus SMART maken en op basis van KPI’s meten hoe goed we wel niet bezig zijn.

Beveiliging is geen eenmalige activiteit maar een repeterende handeling, juist daarom kunnen we de doelstellingen bepalen en meten, dat doen we met allerlei regelkringen. Het hoeft dus niet allemaal morgen al af, maar we moeten een begin maken om over een aantal jaar te staan waar we willen staan. Beveiliging is een onderdeel van de bedrijfsvoering, een onderdeel van alle processen en systemen. We zullen ooit moeten beginnen aan het serieus oppakken van beveiliging. In het begin vergt dat veel inspanning, veel tijd, veel geld en veel kennis voor de ontwikkeling. Naarmate we de basis hebben gelegd en de cyclus meerdere keren hebben doorlopen, wordt het beter ingebed in de rest van de organisatie. Met andere woorden: we hoeven minder te ontwikkelen, maar hebben meer te onderhouden. Vergeet daarbij overigens niet dat sommige maatregelen na verloop van tijd weinig meerwaarde meer hebben en dus uitgezet kunnen worden. Heb je nog een slotgracht om je gebouw die om de zoveel jaar uitgebaggerd moet worden zodat de ridders niet over kunnen steken? Misschien moeten we dan inmiddels ons doel wat bij gaan stellen.

Aan de hand van incidenten en ontwikkelingen buiten onze organisatie zullen we de beveiliging continu bij moeten stellen. Het ontbreken van een meetsysteem en het ontbreken van managementrapportages zorgt ervoor dat het (top)management geen zicht heeft op status van de beveiliging. Nou ja, dat is de nette versie, eigenlijk nemen ze ons gewoon niet serieus (en neem het ze eens kwalijk? ze geven ons veel geld maar weten niet wat we er mee doen en hoe goed we dat dan doen). Sterker nog, als we niet meten hoe goed we het doen, hoe groot wordt dan de kans dat we verrast worden door een incident vanwege een maatregel die we missen of die gewoon niet meer werkt. Hoe vaak controleer jij de batterijen van de brandmelders thuis? Juist, ik bedoel maar. Ja, zul je zeggen, maar die gaat piepen als de batterij leeg is, juist, helemaal juist…een meetsysteem dus.

Boekenlegger op de permalink.