Het beveiligen van informatie wordt meestal gezien als een taak ‘die er nu eenmaal bij hoort’. Het moet gebeuren vanwege diverse regelgevingen of om informatie te beschermen tegen bedreigingen.
De laatste tijd zien we echter een verandering in deze perceptie. Er gaan binnen het bedrijfsleven en de ict-branche in het bijzonder steeds meer stemmen op dat informatiebeveiliging een ‘business enabler’ kan zijn. Dat wil zeggen dat informatiebeveiliging groei en ontwikkeling van een onderneming mogelijk zou maken. Het idee hierachter is dat informatiebeveiliging direct en indirect bijdraagt aan de interne en externe bedrijfsbelangen.
Een senior analist van Gartner stelde onlangs: “Er is een verandering van kijken naar beveiliging. Het werd gezien als een lastig element in de bedrijfsvoering, maar blijkt nu een enabler te worden. De bedrijven die hun beveiliging goed op orde hebben, zullen de organisaties zijn waarmee mensen zaken willen doen.” Ook uit onderzoek van IDC onder honderd managers blijkt dat de perceptie van de waarde van informatiebeveiliging is veranderd!
De bedrijfsvoordelen
Traditioneel wordt informatiebeveiliging gezien als middel om risico’s te verkleinen en vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te waarborgen. De implementatie van effectieve informatiebeveiliging biedt een onderneming echter ook aanvullende voordelen.
Informatiebeveiliging kent vier grote voordeelgebieden: verminderen van risico’s, voldoen aan regelgevingen, operationele effectiviteit en verbeteren/mogelijk maken van bedrijfsactiviteiten (enabler).
De eerste twee voordelen refereren aan de traditionele aspecten van informatiebeveiliging. Veel bedrijven zien zichzelf verplicht maatregelen te nemen om te voldoen aan bepaalde regelgevingen en om risico’s te beperken.
Er zijn veel informatiebeveiligingsrisico’s en vroeg of laat zal een bedrijf ze tegenkomen. Wanneer er geen maatregelen worden genomen, kan een computer al binnen vijftien minuten na verbinding met het internet worden aangevallen of besmet raken met kwaadaardige code (virussen, wormen, trojan horses). Een goed beheer van informatiebeveiliging beperkt dit risico tot een voor de onderneming acceptabel niveau.
Met betrekking tot het voldoen aan regels heeft een bedrijf niet alleen te maken met externe wet- en regelgeving, maar ook met interne afspraken. Regels kunnen een reikwijdte hebben van lokaal, landelijk tot zelfs internationaal niveau. Indien van toepassing, komt een onderneming er niet onderuit zich aan deze regels te houden.
De twee aanvullende voordelen, operationele effectiviteit en verbeteren of mogelijk maken van bedrijfsactiviteiten, komen voort uit effectief toegepaste informatiebeveiliging.
Een van de uitdagingen voor een ict-manager is het verlagen van de operationele kosten, terwijl de effectiviteit behouden blijft, of liefst wordt verbeterd. Informatiebeveiliging kan operationele effectiviteit faciliteren. De implementatie van beveiligingselementen (IDM, single sign-on, identificatiemechanismen, et cetera) helpen handelingstijden te verlagen en maken de inzet van verschillende bedrijfsmiddelen efficiënter. Hierdoor wordt de productiviteit van de medewerkers verhoogd en verbeteren de bedrijfsprestaties.
De invoering van beveiligingsmaatregelen draagt direct en indirect bij aan de bedrijfsactiviteiten. Deze bijdrage kan zich uiten in nieuwe bedrijfsmogelijkheden, technologische initiatieven en verbetering van reactiesnelheid, flexibiliteit en aanpassingsvermogen. In welk vorm dan ook, de implementatie van informatiebeveiliging kan bijdragen aan de verbetering van de klanttevredenheid, het bedrijfsimago en relaties met partners.
Een herkenbaar voorbeeld is het gebruik van draadloze diensten of de implementatie van aanvullende diensten via internet. Een weloverwogen toepassing van vooruitstrevende beveiligingsmaatregelen maakt het mogelijk kanalen te gebruiken die voorheen onbereikbaar waren. Door de ontwikkeling van complexe tools voor het omgaan met veelvoorkomende risico’s, gaan deuren open die eerder, vanwege de gevaren, gesloten bleven. Kijk eens naar de banksector. Door strenge autorisatiemiddelen, zoals smart-cards en eTokens, zijn banken in staat om internetbankieren te promoten ten koste van de traditionele manier. Internetbankieren is voor zowel de bank als de klant een uitkomst: voor beiden bespaart het tijd en geld. Wel moeten bank en klant allebei over hun angst voor de risico’s van elektronisch zakendoen heenkomen. Beveiligingsmaatregelen in de vorm van strenge autorisatiemiddelen zijn hier de oplossing voor. Beide partijen zijn dan overtuigd van de veiligheid en zullen eerder geneigd zijn internettransacties uit te voeren.
Aanpassingsvermogen
Door beveiligingsmaatregelen te integreren, is een onderneming beter in staat de veranderende bedrijfsomgeving (concurrenten, klanten, leveranciers, wetgeving en politieke elementen) in kaart te brengen, en het bedrijf hier vervolgens op aan te passen. Een verkoper kan bijvoorbeeld dankzij beveiligde communicatiemiddelen naar databases binnen het bedrijf eenvoudig een op maat gemaakte offerte aan een klant voorleggen. Dit gebeurt op basis van de input van de klant en de eerder verzamelde informatie die real-time beschikbaar is. Op die manier krijg je een voorstel dat helemaal aan de wensen en eisen van de klant voldoet.
Het verbeteren van de reactiesnelheid van informatiebeveiliging ten opzichte van de ict-ontwikkelingen en het sneller kunnen reageren op incidenten draagt bij aan de belangen van elke organisatie. Goede en efficiënte voorbereidingen van herstelprocedures na beveiligingsincidenten kunnen bijvoorbeeld veel schade voorkomen. Een breuk in de beveiliging kan een grote kostenpost vormen, maar als men weet wat te doen en de juiste maatregelen zijn genomen, draait de organisatie weer snel op normaal niveau.
Klanttevredenehid
Als een product of dienst wordt aangeboden, verwacht een gebruiker dat alle noodzakelijke beveiligingsmaatregelen zijn genomen, en (indien van toepassing) zijn geïntegreerd in het product of de dienst. Als blijkt dat dit niet het geval is, kan een klant al snel overstappen naar een concurrent. Door een intensief beheer van informatiebeveiliging is een bedrijf in staat betere en effectievere producten aan te bieden. Hierdoor is het aannemelijk dat niet alleen de klanttevredenheid van bestaande klanten zal toenemen, maar dat ook nieuwe klanten worden aangetrokken.
In het algemeen wordt aangenomen dat het imago en de reputatie van een onderneming direct gevolgen heeft voor de bedrijfsresultaten. Door de ondernomen stappen op het gebied van informatiebeveiliging aan te geven, is het imago te verbeteren. Er wordt veel geschreven over privacy-issues en vertrouwelijkheid van gegevens. Bedrijven die te maken hebben gehad met beveiligingsincidenten verliezen veel vertrouwen bij het publiek. Een recent onderzoek wijst uit dat 57 procent van de klanten hun bank vaarwel zei nadat een beveiligingsbreuk bekend werd. Aan de andere kant worden succesvolle toepassingen van informatiebeveiliging erg gewaardeerd door klanten en investeerders.
Wanneer een bedrijf een samenwerking aangaat, is een van de grootste vraagstukken hoe deze partner omgaat met informatie. Beveiligingsmaatregelen die de gegevens en de in- en uitgaande communicatie van een bedrijf beschermen, maken een onderneming een aantrekkelijkere partij om zaken mee te doen.
Het BE-project
Een project om informatiebeveiliging als business enabler (BE-project) in te zetten is complex en verlangt een sterk management en een nauwkeurige planning. Alleen dan zal het passen binnen de organisatie en de bijbehorende werkmethodes.
De doelen van een BE-project zijn:
1. Het onderzoeken en identificeren van de bestaande beveiligingsmaatregelen en hoe deze bijdragen aan de bedrijfsactiviteiten. Het vaststellen van de redenen achter deze bestaande maatregelen.
2. Ontwikkelen van nieuwe mogelijkheden en het doen van aanbevelingen voor verbeteringen en veranderingen van beveiligingsmaatregelen. Het beter afstemmen van informatiebeveiliging op de bedrijfsdoelstellingen.
Tot slot, de evaluatie van het beheer en het meten van de effectiviteit van informatiebeveiliging is erg complex. Het is lastig, zo niet onmogelijk om een return on investment op informatiebeveiliging uit te rekenen. Elke organisatie moet zichzelf afvragen: hoeveel middelen zijn er nodig om beschermd te zijn? Hoe zijn de kosten van nieuwe beveiligingsmiddelen te rechtvaardigen? Ontvangt de onderneming voldoende rendement op informatiebeveiliging? Wanneer weet je dat je ‘beveiligd’ bent? Hoe kan een organisatie zijn situatie vergelijken met andere bedrijven en met best practices?
Er is geen twijfel over mogelijk dat informatiebeveiliging verder gaat dan het simpelweg beschermen tegen risico’s en het voldoen aan regelgevingen. Hoe groter de druk van beveiligingsrisico’s zal worden en hoe meer deze risico’s zullen veranderen, hoe groter de waarde van informatiebeveiliging als business enabler.
Henk van der Heijden, Comsec Consulting