Kan security ook iets opleveren?

De 52Blog is de corporate blog van Andarr. Het hele jaar door schrijven Andarr collega's blog's over uiteenlopende onderwerpen.

Security wordt nou niet als iets heel nuttigs door veel organisaties beschouwd. Het kost geld, het houdt mensen van hun werk en wat krijg je er voor terug? Natuurlijk kun je in een risicoanalyse aantonen wat de gevolgen kunnen zijn voor een organisatie als een bepaalde maatregel niet wordt genomen. Maar je krijgt natuurlijk meer vrienden als kunt laten zien als het ook nog geld gaat opleveren en het liefst nog op korte termijn.

Tja, en toen bleef het erg stil. Want wat kan security nou opleveren? Hoeveel efficiënter gaat een afdeling werken na een securitytraining of installatie van een intrussion detection-systeem? Welke besparingen realiseer ik nu door het voeren van een clean desk-beleid? Op het eerste gezicht kost security alleen geld en levert het niets op.

Nu kun je aanvoeren dat security er niet is om geld te verdienen maar om de betrouwbaarheid van de informatievoorziening te garanderen, of een vergelijkbare volzin. Dat is natuurlijk waar, maar de meeste bedrijven worden voornamelijk gedreven door de P van ‘profit’, waarbij het geld liever in het laatje dan uit het laatje vloeit. Zeker in deze tijd van economisch zwaar weer, wordt de hand op knip gehouden.

Welke mogelijkheden zijn er om security economisch aantrekkelijker te maken voor bedrijven?

Je zou op zoek kunnen gaan naar organisaties die mede door security geld hebben kunnen besparen of meer winst kunnen maken. Het liefst een organisatie die iets vergelijkbaars wat jij doet, waardoor je kunt benchmarken. Dat wordt wel bemoeilijkt als er een stevige concurrentie bestaat, waarbij je natuurlijk de concurrentie liever niet van een voordeeltje voorziet. 

Ook zou je kunnen proberen security meer vanuit procesoptimalisatie te benaderen. Een proces zou bijvoorbeeld veel beter kunnen presenteren als men een betere controle uitvoerde, waardoor er sneller opgespoord en verholpen kan worden. Je kunt ook zoeken naar prestatieverbetering van ict-systemen, door bijvoorbeeld oneigenlijk gebruik van resources op te sporen die vertragingen veroorzaken.

Een derde mogelijkheid is te kijken waar security juist de gebruikersvriendelijkheid kan verhogen (en daardoor de beheerskosten verlagen). Dat lijkt paradoxaal, aangezien security vaak juist gebruikervriendelijkheid lijkt te verkleinen. Moderne oplossingen zoals smartcards, identity management, single sign on en wachtwoord self-service, kunnen het gebruikersgemak vergroten en de beheersinspanningen verlagen. Uiteraard vergt dit ook de nodige investeringen, maar je kunt er in ieder geval een business case van maken.

Het is naar mijn mening belangrijk voor securityprofessionals in deze moeilijke economische tijd ook op zoek te gaan naar de (financiële) meerwaarde die security kan opleveren. Ik maak de vergelijking maar met de bassist in de band; die is alleen zichtbaar als het fout gaat. Maar een goede bassist kan ook de band op een hoger niveau brengen.

Reageer op dit artikel