technologie

Op zoek naar benchmarks in informatiebeveiliging

Door Jeroen Kroon – Veel organisaties vragen zich af of ze wel genoeg geld investeren in informatiebeveiliging. Besteed ik te weinig of misschien wel te veel? Dat is een veelvoorkomend dilemma. Hoe scoor ik met mijn kosten ten opzichte van gelijkwaardige bedrijven in dezelfde sector?

Dit soort vragen valt vaak te beluisteren in directe gesprekken met CFO’s, CIO’s of ict-managers die verantwoordelijk zijn voor het IT-budget. Maar ook compliance officers, auditors en de CISO zelf worstelen met dergelijke vragen. De aard van de bedreigingen verandert continu en dat betekent dat de chief information security of officer meer van het IT-budget moet zien af te snoepen om zijn plannen te realiseren.

Uitrekenen
Uitgangspunt is dat cybersecurity (externe bedreigingen) en de informatiebeveiliging (interne maatregelen) worden gedreven vanuit een risicoanalyse. Indien de kosten hoger zijn dan de mogelijke schade, is het een verantwoorde beslissing om het risico te aanvaarden. Dit valt wel steeds moeilijker uit te rekenen. Zeker als sprake is van indirecte schades, zoals merken reputatieschade. Eventuele toekomstige boetes naar aanleiding van de GDPR in mei 2018 maken het rekenen nog complexer.

Ook de branche bepaalt grotendeels welk percentage van de omzet men gewoon is te besteden aan IT en dus ook aan de security. Zo besteedt een retailer gemiddeld 2% van zijn omzet aan IT, en daarvan tussen de 3 en 4% aan IT-security. Bij een financiële dienstverlener liggen deze cijfers vijf keer hoger.

Afhankelijk van de vraag welke klantengroepen men bedient, consumenten of B2B, worden ook andere eisen gesteld aan de technische invulling van de beveiliging. DDoS-aanvallen of inbreuken op het elektronisch betalingsverkeer raken consumenten onevenredig zwaar, terwijl ‘federatief inloggen’ in de supply-chain speelt.

Informatiebeveiliging behelst veel meer dan de portemonnee trekken of automatisch kiezen voor de technische oplossingen uit het leiderschapskwadrant. Het menselijke gedrag en bedrijfsprocessen spelen een doorslaggevende rol. Vaak kan men met kleinschalige investeringen en slim beleid al heel veel bereiken. Uiteindelijk gaat het om het elimineren van de zwakste schakels. Een extra veiligheidscilinder op de achterdeur houdt fysieke inbrekers thuis immers ook buiten de deur.

Innovatie
Het wordt steeds belangrijker om gebruikers te ontzien. Zware blokkades, of domweg zaken verbieden uit technische securityoverwegingen, dat is niet meer van deze tijd. Mijn devies: besteed routineactiviteiten zoveel mogelijk uit en creëer zo ruimte in het eigen securityteam voor innovatie. Ruimte in de zin van tijd, maar ook in termen van extra budget om nieuwe technologieën, zoals BYOD, te omarmen en gastgebruik toe te staan via een afgeschermd apart netwerk.

Overal heeft men de mond vol van transformatie. Het wordt hoog tijd dat ook de wat ‘grijze’ securityafdeling hiermee aan de slag gaat. We hebben om ons heen al zo veel IT-veranderingen meegemaakt. Nu is het zaak dat we anders gaan denken over informatiebeveiliging. Informatiebeveiliging zou verplicht onderdeel moeten uitmaken van de bedrijfscultuur van ieder bedrijf. IT-security zou geen belemmering, maar juist een business-enabler moeten zijn, die uitgaat van het vertrouwen dat ondernemingen hebben in medewerkers, klanten en partners.

De auteur is head Europe Security Solutions bij Cognizant

ADVERTORIAL

Master Data Management Summit



Please join us for the EMEA MDM 360 Summit of our partner Informatica in Amsterdam, a full day conference that brings together the world’s largest vendor user community for Master Data Management and Data Governance.



State-of-the-Art CEO



Palo Alto Networks and ICT Media have published a guide for the C-suite that includes advice and cybersecurity best practices from CEOs, CISOs, lawyers, consultants and government officials.

Get your free copy.

Van onze partners

Magazines

CIO nr 2 - Data & Information


De juiste informatie is de sleutel naar hogere prestaties. Tweevoudig winnaar van de CIO of the Year Award, Aloys Kregting (AkzoNobel), zei het enkele jaren geleden al: de waarde van informatie is eigenlijk het enige waar je als CIO echt wakker van zou moeten liggen. Data en informatie zijn, in combinatie met slimme algoritmes en krachtige technologieën, bovendien de basis voor een digitale transformatie. Daar hoort ook leiderschap bij: het management moet laten zien dat het zelf over de vaardigheden beschikt om besluiten op basis van data te nemen. Dat impliceert dat de leidinggevenden data als een belangrijke asset moeten zien, die groei, efficiëntie, wendbaarheid en innovatie aandrijft.


Naar alle magazines