Beveiligingsbudget

De volgende vraag uit de volwaardige scan gaat in op de zichtbare steun en betrokkenheid van het (top)management. Maar misschien kun je het je nog herinneren, die vraag hebben we afgelopen vrijdag ook al behandeld, deze slaan we voor het gemak (en de leesbaarheid) dan ook maar even over en we gaan gelijk naar de volgende vraag:

Is er voldoende budget beschikbaar om de onderkende risico’s af te dekken?

Een dooddoener zul je zeggen, maar toch komen we in de praktijk nog vaak tegen dat het budget voor beveiliging niet op een gefundeerde wijze tot stand is gekomen. Er wordt voortgeborduurd op de budgetten zoals we die in het verleden hebben bepaald (en doen daar iets bij of af, afhankelijk van het economisch klimaat, zullen we maar zeggen). Op zich allemaal heel verklaarbaar natuurlijk, maar als we beveiliging echt serieus willen nemen, dan moet hij gewoon meedraaien in de normale planning en control cyclus van de organisatie.

We kunnen het budget dan eigenlijk ook alleen maar bepalen als we weten welk risicogedrag de organisatie accepteert, wat de inhoud van het beveiligingsbeleid is en op welk niveau we nu al staan (op basis daarvan kunnen we berekenen wat we nodig hebben voor ontwikkeling en onderhoud). Vanuit security management moeten we ook daadwerkelijk verantwoording af gaan leggen over wat we met het beschikbare budget hebben gedaan, we moeten gaan plannen en de effectiviteit van ons handelen inzichtelijk maken.

Beveiliging heeft het imago duur te zijn. Met een verkeerde aanpak kan dit inderdaad het geval zijn. Daarnaast wordt vaak gezegd dat het allemaal wel mee zal vallen of dat het ons niet zal overkomen. Door uit te gaan van de operationele risico’s kan een weloverwogen beslissing worden genomen over de risico’s die we kunnen accepteren en de risico’s waar we beheersingsmaatregelen voor moeten treffen.

Beveiligingsmaatregelen kunnen worden onderverdeeld in preventieve, detectieve, repressieve en correctieve maatregelen. Bij een proactieve aanpak wordt een deel van het budget aan preventieve maatregelen besteed waarmee incidenten voorkomen (moeten) worden. Dit is een directe investering (dus geen kostenpost) voor de toekomst. Bij een verkeerde aanpak of te weinig budget voor preventieve maatregelen zullen de kosten voor detectieve, repressieve en correctieve maatregelen toenemen als gevolg van een incident. Hieruit kunnen we dus concluderen dat als we zicht willen hebben op onze middelen (= bijv. geld) voor beveiliging we beter proactief keuzes kunnen maken om niet verrast te worden (dat zijn immers meestal nogal dure verrassingen waar we niet op zitten te wachten).

Beveiliging kan in veel gevallen gezien worden als verzekering. We moeten ervoor zorgen dat we niet dubbel maar zeker ook niet onderverzekerd zijn. We hebben toch allemaal wel een of meer verzekeringen? Sterker nog, de gemiddelde Nederlander is veel te goed verzekerd…maar goed. Voor beveiliging geldt hetzelfde: ga na wat we willen beveiligen/verzekeren en trek daar de middelen voor uit, niet meer, maar ook niet minder.

Het voordeel van preventieve maatregelen is dat we ze veelal vooraf goed kunnen budgetteren. Voor de kosten die gemaakt moeten worden na een incident zijn deze budgetten veel moeilijker te maken. De kosten na een incident kunnen onbeheersbaar zijn. Een incident mag zich dan uiten als beveiligingsaspect, de oorzaak ligt daar meestal niet. Neem als voorbeeld een brand: de gevolgen linken we al snel aan beveiliging, maar de oorzaak is misschien wel een gefrustreerde, boventallige, medewerker die besluit de boel in de hens te steken? Of misschien sluiten we per ongeluk nog een firewall extra aan op de stoppenkast waardoor kortsluiting ontstaat. De gevolgen mogen dan beveiliging zijn, de oorzaak is dat niet. Juist daarom pleiten we ervoor beveiliging als regulier aspect van de bedrijfsvoering mee te nemen en niet als een los exotisch aspect.

Zo, voldoende over budgetten. Sluit aan bij de reguliere budgetbepaling van de organisatie en het zal allemaal een stuk beter lopen. Ik hoor het wel van je.