Securityprojecten en -initiatieven worden, met name in economisch mindere tijden, gezien als kostenpost, waardoor eerder de beslissing valt om het project te stoppen of in ieder geval het uit te stellen. Voor security in een bredere context als risicomanagement is het echter zeer onverstandig van organisaties als het gestopt wordt, omdat het zelfs een business enabler is en het kan helpen in onrustige tijden.
In economisch barre tijden wordt door de beslissers in organisaties zoveel mogelijk gesneden in de kosten. Over het algemeen is de drijfveer hierin hoe in zo kort mogelijke tijd, zo snel mogelijk resultaat behaald kan worden. De strategische beslissing die ten grondslag lag aan het überhaupt instellen van de kostenpost wordt daarbij gemakshalve vergeten. Gestuurd door emotie en mediaberichten is de eerste actie veelal het verwijderen van externe inhuur, direct gevolgd door het heroverwegen (lees: stopzetten) van projecten. Alle projecten die niet na oplevering, voorop gesteld dat die oplevering op korte termijn plaatsvindt, direct business dan wel geld opleveren worden weg gesaneerd en de gereserveerde budgetten worden ‘hergebruikt’ om tekorten aan te vullen of reserves op te bouwen zodat verwachte tegenvallers opgevangen kunnen worden.
Securityprojecten of ingehuurde expertise op dit gebied zijn helaas ook vaak een van de ‘slachtoffers’ van dit kortetermijnbeleid. In de ogen van directie en besturen is security een kostenpost die geen business oplevert en al helemaal geen geld in het laatje brengt. Sterker nog, omdat in de afgelopen jaren een achterstand op dit gebied is opgelopen is het project wat is ingesteld om een inhaalslag te maken alleen nog maar een kostenpost. In werkelijkheid is informatiebeveiliging, en dan nog breder risicomanagement, wel degelijk een business enabler voor de organisatie. Het in kaart brengen en managen van risico’s heeft een positief effect op de robuustheid en voorspelbaarheid van de operatie binnen een bedrijf én dus een directe invloed op de omzet. Enerzijds wordt geborgd dat informatie, waar de primaire bedrijfsprocessen afhankelijk van zijn, de aandacht en bescherming krijgt die noodzakelijk is. Bovendien wordt de kans op ‘lekken’ en stelen van informatie waarmee de concurrentie of het publieke beeld van de organisatie gevoed wordt zoveel mogelijk tegen gegaan. Daarnaast zullen ook tal van omgevingsfactoren, die onder de noemer integrale veiligheid samengevat worden, ook beter voorspelbaar gemaakt of zelfs worden voorkomen dat ze invloed kunnen hebben op het productieproces.
Gedegen risicomanagement start met een uitgebreide risicoanalyse waarin bedrijfsprocessen gekwantificeerd worden naar een waarde en waarbij bedreigingen, de kans van optreden en de impact ervan zichtbaar worden gemaakt. De risico’s die door de analyse bloot worden gelegd zullen dan structureel opgepakt moeten worden in een concreet plan zodat ze worden weggenomen, verminderd of geaccepteerd. Dit is nog een voordeel voor de organisatie: maatregelen worden niet meer toegepast op basis van individuele kennis of ervaring, maar kunnen worden gefundeerd door een herleidbaar risico. Dit voorkomt dan weer dat investeringen in de verkeerde maatregelen worden gedaan omdat naar aanleiding van de risicoanalyse het mogelijk is om af te wegen of een investering wel opweegt tegen het verlies dat wordt geleden als een risico optreedt. Het is denkbaar dat een dergelijk risico dan geaccepteerd wordt en dat er maatregelen worden genomen om de schade te verminderen in plaats van te voorkomen. Deze risicoanalyse moet ook ten grondslag liggen aan de securityarchitectuur die moet worden opgesteld. Een goede securityarchitectuur is ook opgesteld met de bedrijfsprocessen als uitgangspunt.
Als alle risico’s eenmaal in kaart zijn gebracht en maatregelen zijn getroffen zullen externe factoren of onverwachte gebeurtenissen dan ook niet meer zo onverwacht zijn. In ieder geval is de organisatie zodanig ingericht dat de impact, veroorzaakt door een calamiteit of een verandering in de markt, lager is en dus minder schade aanricht dan zonder risicomanagement.
Als conclusie mag gesteld worden dat security op zichzelf inderdaad een kostenpost is die niet direct geld oplevert voor een organisatie. Risicomanagement daarentegen zorgt er juist voor dat de processen die wel zorgen voor broodnodige omzet dit met een hogere graad van continuïteit kunnen blijven doen. Schrappen van initiatieven op het gebied van risicomanagement puur onder de noemer van kostensanering zou dan ook een zeer onverstandige keuze van het management zijn. Per slot van rekening is een van de oorzaken van deze financiële crisis het grote gemis aan goed uitgevoerd risicomanagement bij de banken. Risicomanagement stelt de organisatie in staat om minder kwetsbaar te zijn voor externe invloeden en calamiteiten en kan dus rustig genoemd worden als een proces wat de organisatie in staat stelt, ook in tijden van economische malaise, om stabieler te worden. Risicomanagement is dus een business enabler.
Peter Westerveld
Managing partner en senior security consultant Sincerus Consultancy
Peter.westerveld@sincerus.nl