Tag: kosten en baten

Het systeem voor onderhoud van informatiesystemen

  door

Zo, dat fantastisch mooie, nieuwe, supersnelle netwerkcomponent is aangeschaft en voorlopig zitten we er weer goed bij, toch? Afschrijving van dat systeem in 5 jaar, dus voorlopig hebben we er geen omkijken naar, toch? Onderhoud van het nieuwe component was optioneel bij de aanschaf, dus daar hebben we flink op kunnen bezuinigen, toch?

Als het gaat om onderhoud van de informatiesystemen dan moeten we verder kijken dan de neus lang is. We moeten niet alleen kijken naar de economische levensduur maar juist ook naar de technische levensduur (die wellicht vele malen belangrijker is). Gelukkig kunnen we met goed onderhoud die technische levensduur flink verlengen (en op de lange termijn dus flink wat geld verdienen). Maar goed, eerst maar even de vraag:

Is er een systeem voor het onderhoud van informatiesystemen, netwerkcomponenten en IT-middelen?

Je hebt het voorbeeld vast wel eens gehoord: het aanschaffen van een Rolls Royce is een ding, het onderhouden daarvan een ander. Dat was in het verleden, naar horen zeggen, ook de reden dat de prijzen nou niet echt overzichtelijk waren. Als je naar de prijs moest vragen dan kon je het niet betalen. As simple as that.

Trekken we de parallel naar het onderhoud van de informatiesystemen dan geldt daarvoor in enige mate hetzelfde. Het aanschaffen is een, maar het onderhouden is twee. Hoe vaak zien we niet dat de systemen weg staan te stoffen? De schoonmaker mag zeker niet in de serverruimte komen want wie weet wat die daar stuk kan maken (ja ja, ik weet het onderhoud is niet gelijk aan schoonmaak, maar we trokken een parallel, weet je nog?).

Onderhoud is niet goedkoop en kan al snel oplopen tot 20% van de aanschafprijs. Het voordeel is wel dat we daarmee de levensduur van het systeem kunnen verlengen en wat is er nou mooier dan een systeem te hebben dat de economische levensduur in technische zin overleeft.

Overigens moeten we met onderhoud ook weer niet doorschieten. Sommige systemen willen we helemaal niet onderhouden…we leven in een weggooimaatschappij, toch? Wie doet er nu nog 5 jaar met zijn smartphone of laptop? Willen we daar dan enorme onderhoudskosten voor dragen of accepteren we dat het vaak goed gaat en we zo af en toe een laptop wat eerder moeten vervangen?

Nee, bij onderhoud kijken we enerzijds naar de economische aspecten, maar we kijken natuurlijk juist ook naar hoe kritiek het systeem is. Welke kritische bedrijfsprocessen zijn afhankelijk van het systeem en hoe lang mogen die uit de lucht zijn voordat de klanten beginnen te piepen…of we omzet mislopen?

Kortom: ook bij onderhoud van de informatiesystemen is een kosten/baten en impact analyse noodzakelijk. Doen we dat op de juiste wijze dan kunnen we het onderhoudssysteem afstemmen op de bedrijfsvoering en besteden we alleen onderhoudskosten aan die systemen waarvoor we dat noodzakelijk vinden.

Kosten/baten analyse voor beveiliging

  door

Gisteren zijn we kort ingegaan op het risicomanagement dat we moeten voeren. Daarbij zijn we ook al ingegaan op de juiste set aan beveiligingsmaatregelen (als we er tenminste voor hebben gekozen de risico’s te mitigeren). Leuk en aardig allemaal, natuurlijk, maar als we willen gaan voor een efficiënte benadering zullen we dus ook moeten kijken naar de kosten en de baten. De volgende logische vraag is dan ook niet voor niets:

Vinden de beslissingen om beveiligingsmaatregelen te nemen plaats op basis van een kosten/baten analyse (business value)?

Als ik je vraag om een briefje van € 10,- te beveiligen, ga je natuurlijk geen kluis aanschaffen van € 1.000,-. Dat zou wel erg vreemd zijn, toch? De kosten wegen dan niet tegen de baten op. Toch zien we in de praktijk dat de kosten voor de beveiligingsmaatregelen best inzichtelijk te maken zijn, de baten zijn echter een ander verhaal. Wat is het ons eigenlijk waard om dat stuk informatie te beveiligen? Of anders gezegd: wat is de waarde van die informatie voor ons? De beveiligingsmaatregel die getroffen wordt moet afgestemd zijn op het risico en op de waarde van hetgeen we willen beveiligen.

Hoewel we in de praktijk wel veel zien dat de kosten voor verschillende beveiligingsmaatregelen onderling worden vergeleken (en er dan veelal voor de goedkoopste oplossing wordt gekozen, waarbij we de kwaliteit nog wel eens uit het oog verliezen maar goed, dat is een ander verhaal) zien we nog te weinig dat er een goede business case wordt opgesteld.

Om te kunnen bepalen wat een beveiligingsmaatregel zou mogen kosten moeten we kijken naar de waarde die we willen beveiligen. Dat kan direct waarde zijn (bijvoorbeeld in de vorm van geldelijke waarde) maar kan ook betekenen dat we de gevolgen van een incident moeten doorberekenen. De vraag die we bijvoorbeeld kunnen stellen is: wat kost het ons als het proces een dag uitvalt en wat zijn de kosten van de maatregelen om die uitval te voorkomen.

Een goede, doorgerekende, business case zou altijd ten grondslag moeten liggen aan de keuze om wel of niet te investeren in een beveiligingsmaatregel. Hierbij moeten we niet uit het oog verliezen dat we bepaalde risico’s ook best kunnen accepteren omdat bijvoorbeeld de kwaal erger (lees ook: duurder) is dan het middel.

Het risico van het ontbreken van een goede kosten/baten analyse is het ontbreken van zicht op de mate waarin de beveiligingskosten opwegen tegen de daadwerkelijke waarde of de gevolgschade. Afhankelijk van de organisatie wordt er dan al snel te weinig aan beveiliging besteed, waardoor we risico’s lopen. Of er wordt juist vele malen teveel besteed aan beveiliging waardoor de beveiligingsmaatregelen te duur uitvallen.

Als we op deze wijze omgaan met risicomanagement en kosten/baten analyses dan kunnen we concluderen dat het helemaal niet draait om informatiebeveiliging of operationele risico’s. Nee, het draait allemaal om de zogenaamde “enterprise risks” en die kunnen we kortweg samenvatten als: omzet, kosten en imago.

Als gevolg van een beveiligingsincident zullen we zien dat we omzet mislopen (omzetdaling), dat we veel kosten moeten maken om terug te keren naar de business as usual (kostenstijging) en dat bij het bekend worden van een incident ons imago een deuk op kan lopen (imagoschade). Onze kosten/baten analyse moet daarop gebaseerd zijn, dan kunnen we met een goed verhaal naar het management gaan…en begrijpen ze ons ook beter dan dat we iets roepen over het risico op brand, hacking, cracking of virussen.

Kortom: als informatiebeveiliging ondersteunend is aan de bedrijfsvoering, dan moeten we die relatie ook leggen om de juiste, evenwichtige set aan maatregelen te nemen.

Veel Nederlandse websites onvoldoende beveiligd

  door

Veel Nederlandse websites die gebruik maken van het HTTPS-protocol, zoals DigiD, websites van banken, overheidsinstellingen en webwinkels, hanteren verkeerde instellingen en zijn daarom niet voldoende beveiligd…De beveiligingsexpert (Teus Hagen) verbaast zich over de gebrekkige SSL- en TLS-beveiliging van bijvoorbeeld de websites van banken. “Het is vreemd om te zien dat Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken” (bron).

Je kunt je afvragen hoe het gesteld is met de beveiliging van websites van minder grote organisaties. Waarschijnlijk net zo erg of misschien nog wel erger. Als de grote jongens het al niet voor elkaar krijgen dan de kleintjes toch zeker niet? Een ideale wereld voor de criminelen, toch? Even wat gegevens achterhalen en we kunnen vrijelijk van alles doen en kopen op andermans naam.

We horen relatief weinig over fraudes die op deze manier gepleegd worden. De schade zal aanzienlijk zijn, maar niemand wil daarmee te koop lopen.

Het lijkt misschien gek, maar je kunt fraude voor een deel ook gewoon als geaccepteerd risico zien. Kijk maar wat er gebeurt met creditcard fraude. De schade daarvan is relatief zo klein (ik geloof nog geen 1%) dat het nemen van echt goede maatregelen daar niet tegenop weegt. De absolute getallen mogen dan hoog zijn en het is enorm lullig als het jou als individu treft, maar voor de organisatie is het gewoon een business beslissing.

Toch kun je je afvragen of een goed beveiligde verbinding nu zo enorm prijzig is. Dat denk ik dan weer niet, zeker niet voor de grote organisaties. Aan de kosten kan het volgens mij niet liggen. Waar ligt het dan wel aan? Aan de kennis van de interne beveiligingsmedewerkers? Nou vast niet, deze organisaties hebben genoeg knappe koppen in dienst om een dergelijk probleem aan te kunnen pakken. Nee, ik persoonlijk denk dat het ligt aan het bewustzijn binnen de organisatie.

Met name het bewustzijn bij het top management moeten we de komende jaren maar eens op gaan pakken. En nee, ik geef zeker het top management niet de schuld. Uiteindelijk ligt het toch bij ons als beveiligingsexperts. Wij zijn onvoldoende in staat om het management de goede dingen te vertellen.

We denken nog te vaak dat het top management geïnteresseerd is in allerlei technische maatregelen, zoals een beveiligde verbinding. Nou geloof me, dat zijn ze niet. In enkele organisaties zie je al dat we gaan denken in operationele risico’s, zoals fraude, inbraak en men in the middle attacks. Maar ook daar is het top management niet echt in geïnteresseerd. Nee, we moeten leren praten in termen als omzet en kosten. Het management gaat het om hun (of hun aandeelhouders) return on investment.

Willen we dit soort dreigingen aanpakken, dan zullen we dus met een goede business case moeten komen waarin we de kosten en baten inzichtelijk maken. Als het ons lukt om de beveiligingskosten lager te houden dan de omzetderving dan is er geen manager die niet zijn akkoord geeft.

Kortom: we staan als beveiligers voor een uitdaging, namelijk het denken in business cases waarin de kosten en baten duidelijk zijn. Als een manager € 1.000 moet investeren om € 10.000 te kunnen besparen en hij doet dat niet dan is het een slechte manager.