Security wordt meer en meer een onderwerp dat in de boardroom besproken wordt. Soms lijkt de huidige aandacht voor Security wel op de hype rond CRM enkele jaren terug. De vergelijking is echt opmerkelijk. Destijds was het de introductie van de CMO (Chief Marketing Officer), nu is dat de CSO, en in plaats van een mooie titel heeft hij/zij vandaag de dag ook steeds meer macht. Daarnaast zie je dat bedrijven meer geld aan informatiebeveiliging besteden, dit geldt vooral voor sectoren als financiële dienstverlening en de farmacie.
De centrale vraag blijft echter: hoeveel security is genoeg? Hoe ga je om met het oerwoud aan aanbod en wat is nu echt belangrijk? Waar moeten de prioriteiten liggen?
Bij beantwoording van die vraag blijft van belang de mate waarin men enig risico accepteert. Om inzicht te krijgen in de beveiligingsrisico’s waaraan bedrijven onderhevig zijn is een gedegen onderzoek nodig, een soort meetlat waarlangs je wordt gelegd. Als basis daarvoor kan bijvoorbeeld de ISO 17799 of ISO 27001 norm worden gehanteerd. Daaruit kunnen conclusies worden getrokken met betrekking tot aandachtspunten in beveiliging. Per punt dient uiteindelijk een kosten analyse te worden gemaakt: wegen de kosten voor het oplossen van het probleem op tegen de kosten van een incident?
Mijn conclusie is: niet elk security gerelateerd probleem heeft een oplossing nodig. Zeker niet als de investering niet opweegt tegen de gepercipieerde kosten van een security incident. In plaats van – op basis van angst – investeren in ICT als hulpmiddel voor informatie beveiliging, stel uzelf de vraag: hoeveel security is genoeg?
Ik ben het hier gedeeltelijk mee eens. Natuurlijk zal er genoeg data zijn die niet dusdanig belangrijk is dat het helemaal super beveiligd moet zijn. De meeste bedrijven hebben echter daarnaast ook data die absoluut niet op straat mag komen te liggen. Als je die data dan toch aan het beveiligen bent, is het vaak een kleine moeite om de rest ook mee te nemen.