Reken je eigen budget uit

ISM_05_2020-lo210280.png

Het is alweer een aantal jaren terug dat ik in de Koninklijke Industrieele Groote Club in Amsterdam een gesprek had met een Amerikaanse dame die in de security-wereld werkzaam is. Haar carrière bleek opmerkelijk. Waar veel mensen of bij aanbieders aan de slag gaan en daar hun hele leven lang blijven of juist bij overheid en bedrijfsleven zich met security bezig houden, sprong zij om de zoveel jaar van de kant naar de andere. Bij deze afspraak was ze net vertrokken bij een grote Amerikaanse verzekeraar en weer eens aan de slag gegaan bij een security-aanbieder. Het maakt haar visie op IT-security er alleen maar interessanter op.

Vlak voor het gesprek met haar had ik een onderzoek gelezen waaruit bleek dat veel CISO’s erg ongelukkig waren over het feit dat hun budget vaak op volstrekt willekeurige wijze tot stand leek te komen. Althans, zo keken zij er naar. Dus mijn eerste en - naar later zou blijken - enige vraag aan haar was: ‘Hoe kan een bedrijf of overheidsorganisatie nu het beste een security-budget samenstellen?’

Mijn vraag bleek een schot in de roos want dit was juist het thema waar zij zichzelf erg druk over maakte. Zij stoorde zich mateloos aan CEO’s die IT-security als ‘nutteloos’ of ‘onzinnig’ en in ieder geval als ‘niet nodig’ wegwuiven. In haar ogen was dat een volstrekt onverantwoorde manier van werken. Want we moeten security niet als een kostenpost zien, maar als een ‘business enabler’. Daarom draait zij de vraag om: wat kost het de organisatie als er een cyberaanval plaatsvindt die de primaire operatie of een deel daarvan voor een bepaalde tijd verstoort? Die schade kun je in belangrijke mate uitdrukken in een bedrag. Natuurlijk zitten er allerlei aannames in, maar het maakt IT-security in ieder geval concreet. Het voorkomen van problemen is voor veel CEO’s niet concreet genoeg. Een ‘deuk’ in de omzet doordat een webshop verstoord is of de supply chain sterk hapert als gevolg van een aanval is ineens wel iets waar ze gevoel bij hebben. En dus snappen dat er ‘iets’ moet gebeuren.

Inmiddels is deze manier van denken veel breder geaccepteerd. Het verbaast mij daarom dat er met enige regelmaat discussie ontstaat over bijvoorbeeld bedrijven die losgeld betalen na een ransomware-aanval. Weinig mensen zeggen het hardop, maar informeel hoor ik dan vaak meningen als: ‘Je gaat toch niet aan criminelen betalen!’

Dat is nog maar de vraag, denk ik. Iedere keer moet ik dan weer denken aan mijn gesprek met die Amerikaanse dame. Wellicht hebben de slachtoffers van een ransomware hun huiswerk wel gedaan en hebben zij simpelweg uitgerekend dat betalen goedkoper is dan een tijd lang geen toegang tot bedrijfsgegevens hebben.

Of ben ik dan te optimistisch en betaalt men simpelweg omdat het intern op het gebied van security nog altijd een rommeltje is?