Kosten en baten van beveiliging

Geldt ook voor u, dat u verlangt naar maximale vrijheid en tegelijkertijd naar maximale veiligheid? Is die combinatie mogelijk? Denkt u eens aan Geert Wilders. Hij moet de maximale vrijheid van meningsuiting bekopen met een continue bewaking. Denkt u aan de situatie op Schiphol. Door de angst voor aanslagen bent u op de luchthaven meestal meer tijd kwijt dan uw vliegreis u kost. Is uw veiligheid u dat waard?

Sommigen vinden dat je altijd alles moet doen wat mogelijk is om problemen te voorkomen. Doe je dat niet, dan ben je schuldig als het misgaat. De discussie hierover dreigt haast een fundamentalistisch karakter te krijgen. Preventie boven alles, is het motto van de veiligheidsfundamentalisten en de eerstverantwoordelijke is de overheid. Maar tegelijkertijd verkwanselen die fundamentalistenvaak hun privacy op internet in ruil voor een stukje contact of gemak. Op jaarbasis miljoenen uitgeven om misschien drie levens te redden is voor hen een volkomen valide en zelfs onvermijdelijke maatregel. Maar zetten zij de verwarming een graadje lager, hebben zij spaarlampjes in huis, zijn zij vegetariër om bij te dragen aan de duurzaamheid van onze aarde? Want ook dat gaat om veiligheid. Of ligt het misschien toch net een beetje anders?

Welke zekerheid biedt veiligheid?

Hoe effectief is veiligheid eigenlijk? Werken voorgestelde maatregel überhaupt wel? Helpt het Elektronisch Kinddossier tegen kindermoord? Helpt het EPD tegen medische fouten? Helpt de identificatieplicht tegen geweld op straat? Leidt de legitimatieplicht in ziekenhuizen tot minder medische fouten? Helpen meer bevoegdheden voor justitie en politie tegen terrorisme? Helpt de inval in Irak tegen de spanningen in het Midden-Oosten? Helpen de aangeschafte naakstcanners op Schiphol tegen bomaanslagen? Helpt het internationaal recht tegen oorlog? Soms is het antwoord ‘misschien’. Maar meestal is het antwoord: We kunnen niet vaststellen of het helpt,  maar we hopen het wel.
Iedereen weet dat 100% veiligheid niet bestaat. Wanneer de minister beweert dat het elektronisch patiëntendossier 100% veilig is, dan spreekt hij niet de waarheid. (Zie ook ‘Communicatiedrama bedreigt invoering EPD’.) De risico’s van het EPD zijn echter voor u en mij als niet-BN’ers niet zo groot.  Tenminste niet zolang de minister voorkomt dat zorgverzekeraars zorgverleners worden. Maar daarover ging de discussie helaas niet. Het honderden miljoenen kostende EPD-project mislukte. Veel mensen weigerden om mee te doen. Maar ook bij orgaandonatie dreigt een fiasco, terwijl  je je daarvoor expliciet moet aanmelden,  dit om inbreuk te voorkomen op de vrijheid van het individu.
Beveiliging blijkt dus in de praktijk knap lastig te zijn. Maar al te vaak is er een groot verschil tussen het doel en het effect van maatregelen. Als je privacy inlevert voor meer veiligheid, raak je iets kwijt waar je wel of niet niet aan hecht, maar of je er daadwerkelijk meer veiligheid voor terugkrijgt, valt nog maar te bezien. En 100% veiligheid krijg je zeker niet.

De enige zekerheid van veiligheid is dat het geld kost

Beveiligen kost geld, veel geld. Dat is een zekerheid. Maar of beveiligen meer veiligheid oplevert, is dus maar afwachten. En op welke veiligheid zet je in? Je geld kun je maar één keer uitgeven. Welke veiligheid is meer geld waard? Het redden van een mensenleven in een vliegtuig, in een thuissituatie, in een ziekenhuis, in het verkeer?
Er zijn ook nog de indirecte kosten. Veiligheid is immers de vijand van efficiency. Denkt u misschien “Baat het niet, dan schaadt het niet?” Dat gaat bij beveiliging maar zelden op. Vrijwel iedere maatregel heeft bijwerkingen, die je niet kunt vermijden. Als je op ieder vliegveld apart wordt genomen voor extra onderzoek en te maken krijgt met de bijpassende verdachtmakingen en intimidatie, dan betekent dat heel veel overlast. Je zou het zelfs als onveiligheid kunnen ervaren. Als blanke burger tref je het dan nog. Je wordt niet zo snel gezien als terrorist. Totdat de IJslanders misschien aanslagen gaan plegen op Britse en Nederlandse vliegtuigen, in verband met de herstelbetalingen voor Icesave. Veilig voor iedereen wordt het dus nooit.
Laten we de maximumsnelheid op onze autowegen terugbrengen tot 20 km/uur. Laten we een legitimatieplicht invoeren op iedere straathoek. Laten we digitale opslag van gegevens verbieden. Laten we …..
Ja natuurlijk, het kan altijd veiliger. Maar wat moet je daarvoor inleveren?

Beveiligen op zich is een non-issue

Veiligheid op zich is een non-issue zonder doelstellingen. Waar het om gaat, is wat je wilt bereiken en welke risico’s je daarbij wilt beheersen.
Als je snel rijk wilt worden, dan kun je het criminele pad opgaan en bijvoorbeeld een bank beroven. De kans dat je vervolgens achter de tralies belandt en niet kunt genieten van je gewin is aanzienlijk.
Geert Wilders probeert hoever hij kan gaan in het shockeren van mensen. Vrijheid van meningsuiting is hierbij het middel om zijn gedrag te legitimeren. Maar zijn grootste risico is, dat mensen die zich niets van wetgeving aantrekken, zijn gedrag beantwoorden met een aanslag. Om dit risico te beheersen moet hij beveiligd worden, terwijl hij er allerminst zeker van kan zijn, dat daarmee het risico uitgesloten is. Maar het is de keuze van Geert Wilders om in ruil voor deze immateriële schade, zijn uitspraken te blijven doen.
Veiligheid is het bewust kiezen voor de  opties die op basis van beperkte financiële middelen en uitvoerbare maatregelen het best haalbaar zijn. Hoe vervelend en hoe onsmakelijk dat soms ook is. Deze keuzes uit de weg gaan en onze veiligheid overlaten aan belangenclubjes en politieke avonturiers, is levensgevaarlijk. De prijs voor ons vluchtgedrag zullen we op een keer alsnog moeten betalen. Van dat vooruitzicht word je niet vrolijk. Daarom moeten we zo snel mogelijk afstappen van de veiligheidsutopie en ons afvragen wat we nu eigenlijk het allerbelangrijkste vinden en daar onze aandacht en inspanningen op richten. En dan niet alleen preventief, maar pragmatisch en realistisch. Daarbij hoort onlosmakelijk dat we bepaalde risico’s accepteren en maatregelen die niet blijken te werken, intrekken. (Zie ook ‘Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren?’.) Vanwege de bijwerkingen en de geldverspilling. Maar toegeven dat je ernaast zat, is voor veel bestuurders een brug te ver. Dus blijven we zitten met een rijstebrijberg van onzinnige maatregelen.

Veiligheid in een dynamische wereld

De afgelopen jaren is steeds duidelijker geworden, dat beveiliging en dus ook informatiebeveiliging niet 100% gegarandeerd kunnen worden. Het kiezen voor maatregelen wordt dan ook steeds meer een onderdeel van risk management. Absoluut toegepaste normen uit de vorige eeuw zijn inmiddels achterhaald. De grote banken in Nederland voldoen aan die normen, maar budgetteren desondanks elk jaar meer dan 100 miljoen euro voor schade door digitale fraude. Dat is de realiteit. Absoluut toegepaste codes leveren alleen een schijnveiligheid op. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Beveiligers rennen hijgend achter onverlaten aan om de nieuwe gaten te dichten. Microsoft brengt tegenwoordig bijna wekelijks beveiligingspatches uit. Er zijn dan weer nieuwe lekken ontdekt. Natuurlijk maak je daarvan gebruik. Maar het maakt wel duidelijk, dat de bestrijding van inbreuk op informatiebeveiliging allang de set van maatregelen van bedrijven overstijgt. U heeft immers zelf uw bedrijfsmuren doorzeeft met gaten, om informatie uitwisseling digitaal mogelijk te maken. Daarmee bespaart u heel veel kosten en kunt u concurrerend blijven. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.) U heeft hiermee echter wel uw eigen set aan maatregelen uitgehold. U heeft zich afhankelijk gemaakt van derden en van de maatregelen die zij treffen. Kortom, uw aandacht moet zich niet richten op de maatregelen zelf, maar op de systematiek van beveiligen. Zorg dat u het merkt, als u schade oploopt en dat u zelf geen nieuwe zwaktes creëert. Focus op die onderdelen, die de werkelijke risico’s vormen. Die verschillen van organisatie tot organisatie. Daarom moet iedere organisatie zelf bepalen welke risico’s er toe doen. Zoals bijvoorbeeld ISO 27002 voorschrijft. Dan voorkomt u verspilling aan schijnveiligheid. Dan bent u in staat gericht uw risico’s te managen. (Zie ook ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.) Dan is uw informatiebeveiliging ‘in control’.
Het gaat steeds om de vraag, wat u over heeft voor uw beveiliging. U mag ervoor kiezen om uw ramen en deuren niet te sluiten als u uw huis verlaat. Maar doe dit dan bewust en accepteer het dan ook als er een insluiper binnenkomt. Als er toch niets te halen of te vernielen valt, mag dat misschien. Het is uw afweging. Kies voor een norm die u ‘best practices’ biedt. (Zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’). Bepaal uw doelen en de weg om die te bereiken, waarbij de risico’s bepalend zijn voor de keuzes die u maakt. Beveiliging is daar slechts één van.

Download:  Download dit bestand als word  Download dit bestand als RTF  Print artikel  Email artikel

Auteur: Wiebe Zijlstra | 5 maart 2010 | Copyright ZBC
graphstats trackinggraph
Deel dit artikel via:
  • Deel dit artikel via Facebook
  • Google Bookmarks
  • Bookmark deze pagina
  • Deel dit artikel via Linkedin
  • Houd mij op de hoogte van nieuwe artikelen via RSS
  • Deel dit artikel via Twitter

Reactie(s) op : “Kosten en baten van beveiliging”

  • Jan van Tiggelen zegt:
    10 maart 2010 13:42 om 13:42

    Het is een mooi pleidooi en de conclusie is natuurlijk een logische. Helaas is de voorafgaande tekst in dit pleidooi in de ogen van de bestuurders alleen maar meer reden om geen cent aan beveiliging te hoeven spenderen. De beslissers staat over het algemeen mijlen ver van de IT. Als je verwacht dat deze bestuurders weten wat informatiebeveiliging inhoud heb je het mis. In een pleidooi als dit moet je met dit gebrek aan kennis terdege rekening houden.
    Ook in dit pleidooi gaat het voornamelijk om het weren van criminelen maar informatiebeveiliging is meer dan alleen maar dat.
    Bij informatiebeveiliging gaat het om het waarborgen van de kwaliteit van informatie omdat de informatie een bepaalde waarde heeft. Hoe meer belanghebbende hoe hoger de informatiewaarde. Het belang van de informatie is daarom mede bepalend voor het niveau van beveiliging.
    De kwaliteitseisen voor het product informatie zijn betrouwbaarheid, dat de aspecten beschikbaarheid, integriteit en vertrouwelijkheid omvat.
    • Beschikbaarheid bestaat uit de factoren tijdigheid, continuïteit en robuustheid.
    • Integriteit bestaat uit correctheid, volledigheid, geldigheid, authenticiteit, onweerlegbaarheid, nauwkeurigheid en controleerbaarheid.
    • Vertrouwelijkheid bestaat uit de factoren exclusiviteit en privacy.
    Samengevat komt het erop neer dat alle belanghebbende er op moeten kunnen vertrouwen dat de juiste informatie, op het juiste moment bij de juiste personen terecht komt. En daar komt een bepaalde mate van investering bij kijken.
    Die investering heb je nodig om bijvoorbeeld de continuïteit te kunnen waarborgen. Of om bijvoorbeeld bij financiële transacties aan te kunnen tonen dat de transactie exact op een bepaald moment heeft plaatsgevonden en ook de juiste personen heeft bereikt.

    Inderdaad is het een wikken en wegen in hoeveel je wilt investeren tegen welk risico maar weet dan ook dat het niet een investering is die doet omdat er “toch niets te halen of te vernielen valt”.

Reageer op dit artikel

U dient ingelogd te zijn om een reactie te plaatsen.

Kernartikelen

Events

Whitepapers

Als projecten mislopen geven projectmanagers vaak de opdrachtgever de schuld. In een 3-daagse training leert ZBC projectleiders juist de belangen van opdrachtgevers te behartigen. Dat is interessant

Bekijk resultaten

Loading ... Loading ...