Column: 1 + 1 =1.47 – Mabel de Vries

Mensen die mij wat beter kennen, weten dat hoofdrekenen niet mijn grootste kracht is. Maar de bovenstaande berekening klopt tot twee cijfers achter de komma. Want uw projectbudget voor informatiebeveiliging kan minimaal 35 procent omlaag! Wonderlijk toch hoe sommige organisaties telkens ‘uit budget’ lopen en dat projecten te vaak duurder uitpakken dan geprognotiseerd werd. Daarnaast blijkt ook dat veel projecten later afgerond worden dan gepland.

Het plannen en begroten van een informatiebeveiligingsproject is best een complexe aangelegenheid, maar kan efficiënter en vaak met minder geld. Sommige projecten worden opgedeeld in meerdere fases die elkaar opvolgen. Soms is hiervoor resource planning de reden, maar veel vaker gebeurt het om de begroting ‘vriendelijker’ te laten lijken omdat de bedragen door versnippering kleiner lijken. En zo valt er dus gemakkelijker budget van de organisatie los te peuteren. Op zich een prima methode, maar waar het mis gaat is dat door deze versnippering de kans groot is dat je dingen dubbel doet. Je moet een paar keer een project optuigen, resources vrijmaken, processen inrichten…

Beter is het om vanuit een strategischer kader naar de probleemstelling te kijken en dus niet een aanvliegroute te kiezen vanuit een operationele probleemstelling, hoe verleidelijk ook. Een project initiëren vanaf het strategisch kader stelt je in staat om zaken te combineren. Je overziet de taken die aan elkaar gerelateerd zijn, je ziet sneller het kritieke pad en je kunt beter de versterkende facetten combineren.

Om maar eens de koe bij de horens te vatten: stel, je combineert het inregelen van de beveiligingseisen en normen van de AVG met de overeenkomstige beveiligingseisen die je aangereikt krijgt bij het implementeren van de ISO-27001. Het leeuwendeel van die maatregelen overlapt elkaar, dus waarom niet combineren? Begin dit jaar heb ik dit voor twee projecten gedaan en ik heb op één van die projecten goed doorgerekend wat de besparing van deze combinatie was. De uitkomst was verbluffend! Ik ga jullie geen bedragen noemen, maar door de twee trajecten te combineren, kwam men op een besparing van bijna 40 procent!

De meest voor de hand liggende vraag is: Hoe dan? De ‘out of pocket’-besparing zat op o.a. de volgende punten:
1. Uitvoeren van één gecombineerde nulmeting op het gecombineerde project (i.p.v. twee)
2. Je hoeft maar één projectplan op te stellen (i.p.v. twee)
3. Het projectteam is aanzienlijk compacter en je hebt aan één projectleider genoeg
4. De awareness kan binnen één programma worden geadresseerd
5. Technische maatregelen kunnen worden gecombineerd in hetzelfde project
6. Gelijke procedures kunnen worden opgesteld om aspecten beide normenkaders te dienen
7. De doorlooptijd is korter, waardoor productiviteitsverlies beperkt blijft

De kostenbesparing op procesbegeleiding van een gecombineerd project kan oplopen tot 50 procent. Denk hierbij vooral aan het eenmalig uitvoeren van het opstellen van een programma van eisen, het proces rondom productselectie en testen, het uitvoeren van leveranciersselectie en behorende gesprekken, contractonderhandelingen… En dit is nog maar een kleine greep uit het besparingsproces.

Er zijn overigens ook goede redenen om niet te combineren, maar na het lezen van deze businesscase kan hiervoor een kostenoverweging nimmer de doorslaggevende reden zijn.

Mabel G. de Vries is Security Lead Digigurus en Founder/Director XSecutive.
Reageren? mabel@digigurus.net

[Dit artikel is eerder gepubliceerd in het magazine ChannelConnect 4 2018]]

Lees het artikel hier in PDF