Kosten/baten analyse voor beveiliging

Gisteren zijn we kort ingegaan op het risicomanagement dat we moeten voeren. Daarbij zijn we ook al ingegaan op de juiste set aan beveiligingsmaatregelen (als we er tenminste voor hebben gekozen de risico’s te mitigeren). Leuk en aardig allemaal, natuurlijk, maar als we willen gaan voor een efficiënte benadering zullen we dus ook moeten kijken naar de kosten en de baten. De volgende logische vraag is dan ook niet voor niets:

Vinden de beslissingen om beveiligingsmaatregelen te nemen plaats op basis van een kosten/baten analyse (business value)?

Als ik je vraag om een briefje van € 10,- te beveiligen, ga je natuurlijk geen kluis aanschaffen van € 1.000,-. Dat zou wel erg vreemd zijn, toch? De kosten wegen dan niet tegen de baten op. Toch zien we in de praktijk dat de kosten voor de beveiligingsmaatregelen best inzichtelijk te maken zijn, de baten zijn echter een ander verhaal. Wat is het ons eigenlijk waard om dat stuk informatie te beveiligen? Of anders gezegd: wat is de waarde van die informatie voor ons? De beveiligingsmaatregel die getroffen wordt moet afgestemd zijn op het risico en op de waarde van hetgeen we willen beveiligen.

Hoewel we in de praktijk wel veel zien dat de kosten voor verschillende beveiligingsmaatregelen onderling worden vergeleken (en er dan veelal voor de goedkoopste oplossing wordt gekozen, waarbij we de kwaliteit nog wel eens uit het oog verliezen maar goed, dat is een ander verhaal) zien we nog te weinig dat er een goede business case wordt opgesteld.

Om te kunnen bepalen wat een beveiligingsmaatregel zou mogen kosten moeten we kijken naar de waarde die we willen beveiligen. Dat kan direct waarde zijn (bijvoorbeeld in de vorm van geldelijke waarde) maar kan ook betekenen dat we de gevolgen van een incident moeten doorberekenen. De vraag die we bijvoorbeeld kunnen stellen is: wat kost het ons als het proces een dag uitvalt en wat zijn de kosten van de maatregelen om die uitval te voorkomen.

Een goede, doorgerekende, business case zou altijd ten grondslag moeten liggen aan de keuze om wel of niet te investeren in een beveiligingsmaatregel. Hierbij moeten we niet uit het oog verliezen dat we bepaalde risico’s ook best kunnen accepteren omdat bijvoorbeeld de kwaal erger (lees ook: duurder) is dan het middel.

Het risico van het ontbreken van een goede kosten/baten analyse is het ontbreken van zicht op de mate waarin de beveiligingskosten opwegen tegen de daadwerkelijke waarde of de gevolgschade. Afhankelijk van de organisatie wordt er dan al snel te weinig aan beveiliging besteed, waardoor we risico’s lopen. Of er wordt juist vele malen teveel besteed aan beveiliging waardoor de beveiligingsmaatregelen te duur uitvallen.

Als we op deze wijze omgaan met risicomanagement en kosten/baten analyses dan kunnen we concluderen dat het helemaal niet draait om informatiebeveiliging of operationele risico’s. Nee, het draait allemaal om de zogenaamde “enterprise risks” en die kunnen we kortweg samenvatten als: omzet, kosten en imago.

Als gevolg van een beveiligingsincident zullen we zien dat we omzet mislopen (omzetdaling), dat we veel kosten moeten maken om terug te keren naar de business as usual (kostenstijging) en dat bij het bekend worden van een incident ons imago een deuk op kan lopen (imagoschade). Onze kosten/baten analyse moet daarop gebaseerd zijn, dan kunnen we met een goed verhaal naar het management gaan…en begrijpen ze ons ook beter dan dat we iets roepen over het risico op brand, hacking, cracking of virussen.

Kortom: als informatiebeveiliging ondersteunend is aan de bedrijfsvoering, dan moeten we die relatie ook leggen om de juiste, evenwichtige set aan maatregelen te nemen.