Bizar, de EU loopt tegen de grenzen van het begrip begrotingsdiscipline aan. Noodfondsen, steunpakketten, Dijsselbloemen, spaarbelasting, ... Nu wil Rusland de Cyprioten niet helpen, dan gaan ze in zee met die andere amateurboekhouders. Inventief is het zeker!
Heb jij dit jaar ook te maken met krimpende securitybudgetten? Ik zou deze dagen even goed opletten wat er gebeurt in Cyprus. Hogeschool financiering lijkt me zo.
Nu draait het bij begrotingsdiscipline veelal om het krijgen van garanties. Dat loopt voornamelijk bij anderen door de boeken. Jij hebt met je ambitieuze securitystrategie een serieus probleem want dat loopt direct bij jouw organisatie door de boeken.
Ik ga het echter niet met je hebben over het regelen van je benodigde budget. Ik wil het met je hebben over de aantoonbare waarde van de securityinspanningen in jouw organisatie. De ROI van securityinvesteringen berekenen op basis van de kans dat er een inbraakpoging schade oplevert laat ik even links liggen.
Veel meer geloof ik in de werkelijke effecten van de dagelijkse inspanningen. Goed, je wilt de verstrekker van het budget het vertrouwen geven dat de investering het waard is. De onderbouwing van jouw positieve beeldvorming (de business case) komt pas echt tot leven als je de dagelijkse effecten van de investeringen aantoont.
De vraag is dan echter welke lineaal je gaat gebruiken om die dagelijkse effecten te meten?
Ik heb veel informatie over security metrics onder ogen gehad. Mooie artikelen en bijzondere boeken. Een zeer goed boek is 'Security Metrics: Replacing Fear, Uncertainty, and Doubt' van Andrew Jaquith. Vooral het hoofdstuk waarin de Security Balanced Score Card wordt beschreven is erg goed. Je gaat bijna geloven dat security te besturen is, als was het een organisatie. Dat is denk ik toch de kracht van de principes achter de balanced score card.
Een meer pragmatische aanpak vind je bij het Center for Internet Security. Met het Consensus Security Metrics programma hebben ze een praktische set security metrics opgezet.
Er zijn verschillende metrics verdeeld over belangrijke processen: Incident Management, Vulnerability Management, Patch Management, Application Security, Configuration Management en Financial Metrics.
De onderstaande tabellen geven deze metrics weer.
Wanneer doe je het goed?
Ik ben van mening dat de koppeling tussen de metrics en de processen de waarde van security goed onderbouwt. Natuurlijk wil je ook technische metrics, maar die worden niet zo indringend beleefd bij de investeerders (het verantwoordelijke directielid die je had overtuigd om te investeren).
Security is ook een terugkerende bezigheid. Je moet iedere dag zwaar aan de bak om er iets van te maken.Dat schreef ik al in een voorgaand blogartikel. Je wordt een topsporter op het gebied van security als je dagelijks lange saaie slagenwisselingen maakt. De processen moeten droog en zonder mokken uitgevoerd worden.
Topmateriaal is zeer welkom, maar het is vaak duur en het maakt je nog geen professional. Training en uitvoering op het gebied van de security processen zijn de maat voor de echte kwaliteit van security binnen de organisatie.
Vind jij dat uitvoeren van droge processtappen leuk? Ben jij overtuigd van de effectiviteit ervan? Blijf je enthousiast over je vakgebied?
Mooi, dan voldoe je aan een paar basisvoorwaarden om het securityniveau bij jou in de organisatie omhoog te stuwen.
Mocht je onverhoopt uitgeblust raken van de droge dagelijkse proceshandelingen dan raad ik je een vakantie naar een Grieks eiland aan. Dat kan ook Cyprus zijn. Even de lokale economie spekken! Geniet van de zon.
Succes trouwens met de volgende virusuitbraak!
Geen opmerkingen:
Een reactie posten