Column: Meten is weten – Mabel de Vries

Er zijn tal van onderwerpen die besproken kunnen worden als we het over security hebben. Maar wat is security nu eigenlijk, hoe ga je ermee om en waar te beginnen? Want hoe kun je nou beginnen met het treffen van maatregelen als je niet eens weet waar je risico loopt?

 

 

Om helder te krijgen wat er te doen staat, voeren steeds meer organisaties een nulmeting uit en doen dat op de volgende domeinen:

1. Automatisering – Alles met een stekker en netwerkinfrastructuur
2. Informatisering – Informatiestromen van bron (applicatie) tot gebruiker (end-point)
3. Fysieke beveiliging – Hoe eenvoudig is het om fysiek bij gevoelige informatie te komen 4. Juridische weerbaarheid – Op welke manier zijn contracten met bewerkers geregeld
5. Organisatorische volwassenheid – Wat is op organisatieniveau op orde, wat nog niet

Maar de ene nulmeting is de andere niet. Begrotingen van nulmetingen lopen uiteen van 3.750 tot 25.000 euro. Dat lijkt dus appels met peren vergelijken. Maar wat opmerkelijk is (en ietwat ongeloofwaardig) is dat in de off ertes managementsamenvattingen veelal hetzelfde beloven. Ik zit veelal aan de kant van de klant en zie aanbieders vaak worstelen om zich te onderscheiden met een fl interdunne propositie, soms zelfs met het ‘betere jatwerk’. Het wordt pas écht spannend als de off ertes verdedigd moeten worden.

Soms is goedkoop duurkoop, maar een kleinere scan kan nét genoeg zijn om de kar in beweging te krijgen; daar is dus geen gouden formule voor. Dat kan dus best met een scherpe begroting. Met andere woorden: een duurdere scan is niet per defi nitie beter en een goedkopere scan niet per defi nitie slechter.

Alvorens te kiezen voor een nulmeting én om een optimaal resultaat te krijgen is het belangrijk vast te stellen welke informatie het betreft en met welke aanleiding en noodzaak. Of dat nu is voor de bedrijfsvoering en bedrijfscontinuïteit, specifi eke certifi catie of de wet- en regelgeving van uw bedrijfstak. Pas als dat is bepaald, heeft de toetsing waarde. Dan levert de nulmeting bevindingen op die de organisatie inzicht geven waar ze het meest kwetsbaar is.

De belangrijkste vragen die een antwoord eisen zijn:
a. Welke informatie en bronnen moeten we beschermen
b. Waarom juist die informatie en die bronnen
c. Wat is het gevolg voor de organisatie, indien informatiebeveiliging niet lukt
d. Waar komt te grootste dreiging vandaan, van binnenuit of van buitenaf
e. Wie is uit om onze gevoelige informatie te bemachtigen of vernietigen
f. Welke maatregelen gaan het snelst helpen om de informatiebeveiliging te optimaliseren

Weet je wat een onmisbare uitkomst van een goede nulmeting is? Als deze de grondslag kan vormen van een heldere ROSI (Return On Security Investment). Hiermee is namelijk een gedegen projectplan op te stellen waarlangs een organisatie stap voor stap haar informatiebeveiliging kan aanscherpen. Vaak wordt een nulmeting slechts één keer uitgevoerd, terwijl een periodieke meting iedereen scherp houdt en garant staat voor snelle en adequate aanpassingen én beperkte investeringen. Daarnaast zal een ervaren expert aan de hand van een nulmeting kunnen aantonen welke besparingen te behalen zijn en welke maatregelen geoptimaliseerd kunnen worden zonder ze te vervangen. Dit resulteert in een forse besparing van uitgaven. En welke klant wil dat nou niet!

Mabel G. de Vries is Security Lead Digigurus en Founder/Director XSecutive.
Reageren? mabel@digigurus.net

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2018]

Lees het artikel hier in PDF