of 59123 LinkedIn

Een businesscase voor informatiebeveiliging

Informatiebeveiliging als ‘dissatisfier’.

Informatiebeveiliging is een taaie en ondankbare discipline binnen organisaties. Zo, het hoge woord is eruit. Waarom? Tja, eigenlijk kun je het haast nooit goed doen. Ben je als organisatie slachtoffer van een cyberaanval? Dan had je de informatiebeveiliging niet goed genoeg op orde en had je meer moeten investeren. Gebeurt er lange tijd niets? Dan is dat de normaalste zaak van de wereld en komt er niemand bij de informatiebeveiligingsorganisatie langs met een bloemetje. Terwijl dat juist laat zien dat de beveiliging goed heeft gewerkt. Zie hier, het lot van de informatiebeveiliger in een notendop. Daar komt nog eens bij dat beveiligingsmaatregelen zelden populair zijn. Ze gaan vaak ten koste van flexibiliteit en gebruikersvriendelijkheid.

Resultaten uit het verleden bieden garantie voor de toekomst

Hoewel het bovenstaande weinig hoopvol stemt kunnen we niet om informatiebeveiliging heen. Ervaringen uit het verleden zijn helaas op het gebied van informatiebeveiliging namelijk wél een garantie voor de toekomst. We zagen een vermeende buitenlandse inmenging in de Amerikaanse presidentsverkiezingen in 2016, en in 2017 een groot aantal cyberaanvallen plaatsvinden met een forse impact, zoals de WannaCry en NotPetya ransomware aanvallen. En in 2018 zal het aantal informatiebeveiligingsincidenten nog verder toenemen, zo is mijn verwachting. En begonnen we het jaar al goed – in de eerste week al nota bene! – met twee zeer zorgelijk klinkende kwetsbaarheden ‘Meltdown’ en ‘Spectre’. Alleen de namen al! 


Zakelijk gerechtvaardigde informatiebeveiliging

Heel veel geld besteden betekent nog niet dat de juiste dingen worden gedaan, integendeel. Maar hoe bepaal je dan wat de juiste dingen zijn? Wat daarbij kan helpen is een business case. En hiermee bedoel ik niet een document waarop staat ‘Business Case’, maar een daadwerkelijk zakelijke rechtvaardiging van een investering. Want ondanks mijn ietwat pessimistisch ingestoken inleiding, zijn er wel degelijk business cases op het gebied van informatiebeveiliging. Ik maak hierbij onderscheid tussen een ‘positieve business case’ en een ‘negatieve business case’. Hiermee bedoel ik het genereren van een positieve bate (positieve business case) of het verkleinen of wegnemen van een negatief gevolg (negatieve business case).

 

Extra geld voor informatiebeveiliging

Maar goed, het is begin 2018. We zijn het jaar net begonnen, vol goede moed natuurlijk, en het is niet mijn doel om die gelijk de grond in te boren. Integendeel, laten we eens kijken hoe we de goede voornemens op het gebied van informatiebeveiliging in de praktijk kunnen brengen. Een eerste lichtpuntje hierbij is het regeerakkoord Rutte III. Daarin staat beschreven dat er structureel € 95 miljoen wordt vrijgemaakt voor cybersecurity. Ook de Europese Commissie heeft aangegeven in de periode 2018 – 2020 voor € 1 miljard te investeren in informatiebeveiliging. Of het genoeg is, dat is een andere vraag, maar het begin is er.


Generen van positieve baten

Het gaat te ver om in dit stuk een uitvoerige berekening te doen die je natuurlijk bij een echte business case wel zou uitvoeren. Maar ik kan wel laten zien aan welke baten je kunt denken. Het is vervolgens de kunst om dit per organisatie verder uit te werken. Een voorbeeld van een positieve bate van een investering in informatiebeveiliging is het meer effectief en efficiënt kunnen inzetten van schaarse personele capaciteit. Dus ofwel meerwaarde (een hoger beveiligingsniveau) genereren met de beschikbare capaciteit (verbetering), ofwel met minder capaciteit een vergelijkbaar beveiligingsniveau realiseren (bezuiniging). De investering zit hem hierbij in het uitvoeren van een goede risico-analyse waaruit de onderdelen (zoals het treffen van maatregelen) volgen waarop de schaarse capaciteit wordt ingezet.


Verkleinen of wegnemen van negatieve gevolgen

Wanneer een organisatie (tijdelijk) niet kan beschikken over (vitale) informatie heeft dit negatieve gevolgen voor de bedrijfsvoering. Maatregelen die het risico verkleinen op het niet beschikbaar zijn van informatie dragen dus op een positieve manier bij aan die bedrijfsvoering. Op een vergelijkbare manier kun je kijken naar het verkleinen van het risico van ongeautoriseerde toegang tot informatie of het ongeautoriseerd wijzigen van informatie. Je wil immers niet dat informatie, en zeker geen vertrouwelijke, in verkeerde handen valt. De financiële omvang van het waardeverlies dat overheden lijden als gevolg van informatiebeveiligingsincidenten was volgens Deloitte in 2016 zo’n 2,4 miljard euro. Geen klein bier dus.


Wat zijn mijn kroonjuwelen?

Maar goed, zo’n business case is makkelijker gezegd dan gedaan. Waar begin je dan eigenlijk? De eerste stap is eigenlijk het te weten komen welke informatiesystemen je in huis hebt en welke informatie hierin belangrijk is. En hoewel deze eerste stap wellicht klinkt als voordehand liggend, is het in de praktijk zeker niet altijd zo dat een organisatie die informatie beschikbaar heeft. ‘Wat zijn de juweeltjes van mijn organisatie, en wat zijn daarbij mijn kroonjuwelen?’ Werk aan de winkel dus. 

 


Aspecten van informatiebeveiliging

* Vertrouwelijkheid: informatie is enkel en alleen beschikbaar voor daartoe geautoriseerde personen.
* Integriteit: informatie kan niet ongeautoriseerd worden gewijzigd.
* Beschikbaarheid: informatie is beschikbaar binnen daarvoor gestelde normtijden.



What if…

De volgende stap is het bepalen van het risico per informatieobject. Hierbij zijn kwaliteitsaspecten van informatiebeveiliging relevant. Dit zijn vertrouwelijkheid, integriteit en beschikbaarheid. Stel jezelf hierbij vragen zoals ‘wat betekent het als systeem X voor Y minuten/ uren/ dagen niet beschikbaar is?’ of: ‘wat zijn de consequenties als bepaalde gegevens bij niet geautoriseerde personen of – nog een stap verder – bij kwaadwillende mogendheden terecht komen?’ Vervolgens is het de kunst om die gevolgen zoveel mogelijk concreet te maken, en waar mogelijk financieel. Want in weer een later stadium ga je de noodzakelijke maatregelen bepalen, en ja, die kosten tijd, geld en hebben ook impact op een organisatie. Dan is het natuurlijk nog zaak om met die ingrediënten – de baten en de kosten – iets te maken wat de informatie-eigenaar ook smaakt: een business case. En die business cases, die zijn hard nodig. Want ik denk niet dat het de vraag is of je een cyberaanval te verduren krijgt, maar wanneer. En dan ben je er toch liever klaar voor?

 

MEER WETEN OVER INFORMATIEBEVEILIGING EN ONZE DIENSTEN? LEES VERDER.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Contactgegevens

AfbeeldingMuzenstraat 120,

2511 WB Den Haag,

Postbus 18607,

2502 EP Den Haag

070- 376 36 36

info@pblq.nl

www.pblq.nl

Meer nieuws

 

Meer weten over ons Informatiemanagement Traineeship, bekijk hier de website.

Opleiding Informatiemanagement voor verbinders

Metropool opleiding

Weten hoe het is om bij PBLQ te werken?

Blijf effectief in de informatiesamenleving van morgen!

Afbeelding

Whitepapers

  • ‘Smart’ lijkt wel een nieuw toverwoord. Net zoals innovatie dat ook al enige jaren...

    Smart city

    ‘Smart’ lijkt wel een nieuw toverwoord. Net zoals innovatie dat ook al enige jaren...
  • Voor bestuurders, managers en veranderaars 
 Met de digitalisering van onze samenleving is het...

    Safe in cyberspace

    Voor bestuurders, managers en veranderaars Met de digitalisering van onze samenleving is het...

Bloggers