image

Schneier: Security ROI is onzin

woensdag 3 september 2008, 12:43 door Redactie, 5 reacties

Return on investment, beter bekend als ROI, is voor veel bedrijven de basis voor het nemen van beslissingen, toch is het in geval van IT-security onzin, aldus beveiligingsgoeroe Bruce Schneier. Veel bedrijven willen een ROI-model zien zodat ze weten dat hun security investering zich uitbetaalt. Vendors op hun beurt, zijn maar al te gretig om dit soort modellen te maken die "bewijzen" dat hun oplossing voor de beste ROI zorgt.

"Het is in theorie een goed idee, maar in de praktijk voornamelijk onzin," laat Schneier weten. "ROI in een security context is onnauwkeurig. Security is geen investering die iets oplevert zoals een nieuwe fabriek. Het zijn kosten, die zich hopelijk door middel van kostenbesparingen uitbetalen. Security draait om het voorkomen van verlies, niet om inkomsten genereren."

Nu is het niet zo dat bedrijven dan maar blind moeten investeren. "Bedrijven moeten nooit meer aan een beveiligingsprobleem uitgeven dan het probleem waard is. Daarnaast moet men ook geen problemen negeren die geld kosten als er goedkope manieren zijn om ze op te lossen. Een slim bedrijf benadert security zoals elke andere zakelijke beslissing: kosten tegenover baten."

Gegevens
Bij de klassieke aanpak bestaan de kosten van een beveiligingsincident uit zaken als tijd, geld, reputatie en competitieve voordelen, vermenigvuldigd met de kans dat een incident zich voordoet. Het optelsommetje bepaalt hoeveel een bedrijf aan het risico moet uitgeven om te voorkomen. Om de sommetjes te laten kloppen is veel data nodig en in het geval van computercriminaliteit ontbreekt die. "Er zijn geen goede misdaadcijfers voor cyberspace en weinig data over hoe beveiligingsmaatregelen die risico's voorkomen. We hebben zelfs geen cijfers over de kosten van incidenten."

Een oorzaak van het ontbreken van data, is dat de dreiging te snel beweegt. "De eigenschappen van de dreigingen die we proberen te voorkomen, wijzigen zo snel dat we niet snel genoeg de data kunnen verzamelen. Tegen de tijd dat we de gegevens binnen krijgen, is er al een nieuw dreigingsmodel waar we niet voldoende data voor hebben. Dus kunnen we niet alle modellen maken." Het probleem wordt vergroot doordat het berekenen van bijzondere incidenten helemaal onmogelijk is.

Misleiding
Schneier haalt hard uit naar alle beveiligingsbedrijven die ROI-modellen hanteren. "De reden waarom de meeste ROI-modellen die je van security vendors krijgt onzin zijn. Is omdat hun model natuurlijk laat zien dat hun product of dienst financieel gezien verstandig is. Ze hebben echter de cijfers aangepast, zodat die bewering klopt."

Managers moeten daarom analyses van mensen met een eigen agenda wantrouwen en resultaten alleen als een algemene richtlijn gebruiken. "Krijg je dus een ROI-model van je vendor, pak dan het framework en vul je eigen cijfers in. Laat de vendor je verbeteringen niet zien, hij zal veranderingen die zijn product minder kost-efficient maken niet als een verbetering beschouwen. En gebruik die cijfers als een algemene richtlijn, in combinatie met risk management en compliance analyses, bij het beslissen van welke producten en diensten je wilt aanschaffen."

Reacties (5)
03-09-2008, 13:37 door Bitwiper
Schneier:
Security draait om het voorkomen van verlies, niet om inkomsten genereren.
Klopt. Alleen jammer dat er, in tegenstelling tot bij ARBO-zaken, er geen arbeidsinspectie is die serieus kan sanctioneren als je je niet aan de regels houdt: dan heb je tenminste harde feiten die je een (financiëel) manager en/of aandeelhouders voor kunt houden; bij vage en moeilijk te voorspellen zaken als 'imagoschade' is dat veel lastiger.

Voorbeeld: op de Duitse webserver van Beate Uhse (a.k.a. Christine le Duc) hebben systeembeheerders op een publiekelijk toegankelijke en niet goed dichtgetimmerde webserver bestanden laten slingeren (2 stommiteiten dus) met daarin de e-mail adressen van veel klanten, waaronder Nederlanders en Belgen, zoals maandag bekend werd ([url=http://www.heise.de/security/Beate-Uhse-Tausende-E-Mail-Adressen-veroeffentlicht-Update--/news/meldung/115260]bron[/url]).

Hoe meet je nu wat de imagoschade is? Het ligt niet erg voor de hand dat klanten zullen gaan procederen omdat familie en bekenden nu kunnen achterhalen waar hun interesse ligt (omdat je daar alleen maar meer lawaai maakt), en procederen omdat je email adres t.g.v. dit incident aan spammerdatabases is toegevoegd lijkt me ook al weinig kans van succes hebben. Zoals gewoonlijk lopen dit soort zaken met een sisser af, mede omdat ze nauwelijks de publiciteit halen, en als ze dat wel doen, teveel mensen hun schouders ophalen.

Zolang er geen wettelijke aansprakelijkheden bestaan zullen bedrijven die wel netjes werken oneerlijke concurrentie ondervinden van diegenen die het niet zo nauw nemen met security en de privacy van hun klanten.
03-09-2008, 13:50 door Anoniem
Security ROI is nooit bedoeld als afweging om de investering terug te verdienen, maar om te beoordelen of de kosten van mogelijke maatregelen niet hoger zijn dan de eventuele schade. Het heeft weinig zin een maatregel te nemen die meer kost dan de eventuele schade. Gewoon risico management dus, niets nieuws van Dhr. Schneier...
03-09-2008, 14:00 door Anoniem
Uhm... Is dit niet al iets dat toch al ten minste een jaar (zoniet langer) besproken wordt binnen security en risk management kringen?

Is dit niet de primaire beweegreden dat er steeds meer onderzoek naar security metrics worden gedaan, waar inmiddels ook al enkele boeken over gepubliseerd zijn?

Meneer loop tweer eens achter de feiten aan, maar goed, misschien dat de mensen die te lui zijn om zich zelf in materie te dompelen nu ook eens het licht gaan zien.

Zolang mensen als Schneier en de gehele Gartner club lekker achter de fieten aanlopen zit ik iig nog wel effe lekker met m'n toegevoegde waarde :p
03-09-2008, 15:08 door Paultje
O nee he? Niet weer, die Schneier...
03-09-2008, 18:36 door Anoniem
Security ROI, hm. Door alles op een hoop te gooien wordt het niet eenvoudiger. Stel je zorgt tijdens de ontwikkeling van een applicatie voor een gedegen controle op de veiligheidsaspecten zodat je bij de deployment van die applicatie later niet security patches hoeft uit te brengen om geintroduceerde zwakheden op te lossen? Lijkt me niet zo moeilijk om daar een ROI van te calculeren. Een of meerdere patches minder per jaar levert toch al gauw een besparing op (ontwikkeling, testen, distributie om maar niet te spreken van de imago schade). Toch zit er wel een risico in het kijken naar de ROI van een investering. Wat is de ROI van een verzekering. En toch heeft iedereen er een of meerdere lopen ;-)

Vaak worden de kosten elders gemaakt en vallen de winsten op weer andere plekken. Offers en opbrengsten vallen niet op de zelfde plek, daar wordt het ook niet eenvoudiger van.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.