1. Geef meer uit...!!

Donn B. Parker (algemeen erkend security goeroe) meldde tijdens het
afgelopen ITSMF congres over beveiliging dat het ook geen enkele zin meer
heeft om te streven naar een ROI voor investeren in beveiliging.
Beveiligingskosten moet men gewoon "nemen", net zoals de kosten van de
boekhouding/salarisadministratie, personeelszaken, etc.

Dat is toch een beetje lichtzinnig. Ik kan er meeleven dat
we de kosten afwegen. De ROI van security kan men berekenen
door de kost van de security implementatie af te wegen tegen
de kosten van de data of systeem dat men gaat beveiligen.
Het heeft weinig zin om data van 2000 euro waarde te
beveiligen met 20000 euro tools.

Dat is zo mogelijk nog lichtzinniger. :) Als we de kosten
van inbreuk gelijk konden stellen aan de economische waarde
van de geschonden gegevens dan zouden we vrij snel zijn
uitgeluld, maar er spelen helaas wat meer faktoren, die
beginnen bij de kosten van de assessment en als het tegen
zit eindigen in een failissement door proceskosten vanwege
benadeelde derden.

Het afstappen van de eis voor een ROI is niet hetzelfde als bepalen wat een
reeele investering in beveiliging is. Wat je met het schrappen van de ROI-eis
doet is afstappen van de gedachte dat de investering in beveiliging ook iets
positief meetbaars moet opleveren, bijvoorbeeld meer winst voor het bedrijf.

Het hangt volgens mij helemaal niet op het 'geef meer uit' of het bepalen van
ROI.
De organisaties die het beter doen nemen informatiebeveiliging serieuzer.
Ze hebben het goed (beter) in de organisatie ingebed, hebben een
plancyclus en testen.
Gevolg daarvan is dat ze meer geld uit moeten geven.
Overigens geloof ik nog steeds dat een bepaalde mate van ROI berekening
mogelijk is voor informatiebeveiliging (maar ben dan ook een halve
econoom).

Ja mensen, dit is juist het probleem...het moet, maar niemand wil er maar
een cent aan uitgeven. Weet je wanneer wel..als je een keer getroffen wordt
door een virus, industrial spy of een hacker.

Dan is het ineens een top priority issue.
Ja soms wil men nu eenmaal wachten tot het kalf verdronken is.

Naast ROI speelt natuurlijk ook je reputatie mee.
Ik denk niet dat bijv. een ABN-AMRO wil toegeven gehacked te zijn...
lekker gevoel krijgt de klant dan tijdens het internetbankieren.

Een bank of bedrijf in het algemeen laat zowiezo niet graag
naar buiten weten dat het niet genoeg aan veiligheid doet of
kan doen. Maar dat is nog geen reden om het intern niet aan
de kaak te stellen en redenen om je beveiliging te
verbeteren te negeren of zelfs helemaal niet aan te denken.
Helaas is dat wel wat vaak nog gebeurt, dus ook bij banken.

De relatie tussen 'best practices' en het 'goed doen' wordt weer klakkeloos
gelegd. Het mooie grafiekje - minder incidenten, minder verliezen en minder
downtime lijkt de link te leggen weliswaar. Maar goed, volgens ander
onderzoek is de pakkans tussen de 2% en 4%. Ergo, de best practices
leiden tot een verhoogde pakkans - maar liefst een stijing van 50%. Maar ja
50% erbij op4 maakt 6%. De bespreker van het onderzoek wijt het grotere
aantal incidenten aan de aard van de bedrijven - wij weten wel beter de
auteur in kwestie heeft er gewoon de ballen verstand van en het onderzoek
geeft hem blijkbaar deze - toch wel relevante - informatie niet.

Wat ook leuk is - wat is een security incident? Tussen de 100 en 250 per
jaar - klinkt niet als een grote tent, óf allerlei zaken als virussen die
gevonden worden, spam, hatemail, mislukte backups etc. gelden niet als
security incident. Neem deze laatste - zo'n twee jaar geleden bleek van de
full restore acties meer dan de helft (geef toe was ooit 67%) te mislukken.
Dus wat wordt er gemeten?

Oftewel - de best practices zouden kunnen helpen en het artkel had
waardevolle informatie kunnen geven. Maar de bewijslast is flinterdun, én
wijst op een meting die weinig relevantie zal hebben.

Hee, er zijn een aantal punten vergeten:

1. Gebruik geen windows, maar linux .*
2. Zet de server in een bunker en hang hem vooral niet aan
het netwerk.

*[FLAME ON]

In 2003 waren de volgende categorieën aanwezig in de vragenlijst:
Systems programs altered
Web scripting language violations (JAVA, ActiveX based)
Malicious Code
Software applications altered
Unauthorized entry
Trafficking in illicit data or materials
Denial of service
Mobile (wireless) applications intrusion