Uitgebreide risico-analyse maken...

Kosten / baten goed weergeven, waarbij je security moet zien als (aansprakelijkheids)verzekering.

Mee eens, dat sowieso. Iemand van management had het er over om deze aanwinsten voor IT security onder te brengen als een 'doorlopend project', aangezien er binnen het bedrijfsleven vaker wordt gekeken naar de OPEX ipv CAPEX.
Nu willen we uiteraard niet dat er na ca. 6 maanden dit team opgedoekt wordt maar van kracht blijft. De rollen en functies lijken mij duidelijk maar hoe koppel je deze aan een 'doorlopend project'?

Doorlopende ICTbeveiliging is nadrukkelijk OPEX.

Wat je wel kan doen is een groot deel van de activiteiten van je team in projecten stoppen. Zo kan je een groot deel van de uren en investeringen die je moet doen om dingen te verbeteren of in te richten en te controleren toch in projecten stoppen.

Opstellen security baseline, pentesten per platform/applicatie, aanschaf en inrichting SIEM, risicoanalyses maken per platform/applicatie, threatmodeling, code reviews enzovoorts zijn prima als project te omschrijven en ook te managen en te begroten. Zodra je een redelijk proces hebt lopen en de achterstanden hebt ingelopen, kan je alsnog de constante revisies die je uitvoert als projecten op je begroting zetten.

Wat je niet moet doen is security als project zien. Sales, schoonmaak of catering of "managen" zijn ook geen projecten maar onderdeel van je dagelijkse bedrijfsvoering en als zodanig cruciaal daarvoor. Security hoort ook in dat rijtje thuis, dus ze zullen de basis van je securityteam en haar activiteiten echt in de OPEX moeten zetten.

Ze kunnen een deel van de huidige beheerkosten die ze nu hebben overschuiven naar dat budget, want een beheerder die oude accounts opruimt of logfiles naloopt op verdachte activiteiten, is met security bezig. Dat betekent dat het ze netto minder zal kosten dan ze misschien bang voor zijn. Zo is er nog wel meer te schuiven en te herbenoemen.

De voordelen die de managers gaan merken een goed securityproces in hun organisatie zijn onder meer:

- minder "uitval", want securitychecks leggen als bijvangst ook "gewone" problemen bloot
- beter inzicht in de risico's die ze lopen; hierdoor kunnen ze scherper zijn in hun beslissingen
- de mogelijkheid om ISO27001 te certificeren. Dat kan een erg goed werkende reclame zijn
- goedkopere afwikkeling van security incidenten. Omdat je alles goed geregeld hebt en veiligheden hebt ingebouwd, zal je bij incidenten minder kosten hebben om ze op te lossen dan als je ze ad-hoc moet gaan aanpakken.

Er zijn nog meer voordelen te noemen, maar als je een goede keuze maakt in wat je wel en niet aanpakt, kan je in heel veel gevallen netto voordeel behalen aan het invoeren van een goed securityproces, met bijbehorend team en budget.

Maak een geode risico analyse, met een goede kosten/baten afweging. Wat zijn de kosten, en wat zijn de risico's waar je je tegen wilt beschermen ?

Pak er eens een goed boek bij. De enorm dikke pil (handig!) van Limoncelli, Hogan, en Chalup bijvoorbeeld.

Daarbij klinkt het alsof het bedrijf en IT weinig communiceren. Hebben jullie geen C[TSO]O? Zeg maar iemand die de rest van de CxOroedel kan vertellen hoeveel geld het ze gaat kosten mocht de technologie ineens falen danwel misbruikt worden, of gewoon vanwege suboptimale beslissingen in het geheel. Daar is dit ook een onderdeel van. Continuiteit waarborgen door dit soort verzekeringsconstructies.

Lijkt me dat er genoeg redenen zijn om wat meer organisatorische root cause analysis the doen en de relatie van IT met hoger management op een hoger plan te tillen.


Tot zover dit gratis advies van Koos Werkeloos.

"De rollen en functies lijken mij duidelijk maar hoe koppel je deze aan een 'doorlopend project'?"

Security is een doorlopend proces, waar je niet mee klaar bent na een bepaalde tijd en wat dus gedragen moet (blijven) worden door het management van de organisatie. Zaken als security monitoring gaan dag in, dag uit door en zijn nooit ''af''.

Als je je niet kunt veroorloven zelf de benodigde expertise in huis te hebben, maak je je afhankelijk van derde partijen als consultants en leveranciers. Dit is niet altijd goedkoper en/of veiliger.

misschien moet je eerst zorg (laten) dragen voor een Informatiebeveiligingsbeleid. Daarin zijn ook de (security) verantwoordelijkheden van het MT in beschreven t.a.v. Continuiteit, Risicomanagement, Incidentmanagement en de beschikbaarheid, integriteit en vertrouwelijkheid van je bedrijfsinformatie.

Top down aanpakken werkt beter dan bottom up (als het goed is heb je in de operatie al een hoop maatregelen genomen die zo'n beleid kunnen ondersteunen)