Verbeteringen kunnen we, net als vele andere zaken, sturen op de drie algemeen bekend veronderstelde elementen van de duivelsdriehoek (geld, tijd of kwaliteit). Een waarheid die bij veel van ons wel op het netvlies staat. Hoe graag we dat misschien ook willen geloven, vormt informatiebeveiliging daar geen uitzondering op.
Inmiddels zijn we allemaal druk bezig met 'compliant' worden of toch liever het 'in control' raken op dit gebied. Houden we daarbij de elementen van de duivelsdriehoek (geld, tijd of kwaliteit) niet in de gaten, dan kan dat leiden tot frustraties en onbegrip.
Blijkens alle incidenten zien we dat de invoering van informatiebeveiliging nog niet altijd het gewenste effect heeft. We kunnen daarvoor gelukkig teruggrijpen op veel 'lessons learned' van bijvoorbeeld project- en kwaliteitsmanagement, wat ik je zeker aan wil raden. Maar daarnaast spelen nog andere facetten een rol zoals de dagelijkse gang van zaken, de scope en het doel van informatiebeveiliging, het risicogedrag van de organisatie, de inbedding van informatiebeveiliging in die organisatie maar juist ook de sturing er op.
Wat willen we?
Bij het opstarten van nieuwe informatiebeveiligingsprojecten vergeten we nog wel eens expliciet te maken of we 'compliant' of toch liever 'in control' willen zijn? Willen we een technische beveiligingsmaatregel implementeren of continuïteitsrisico's afdekken? Dit is van belang omdat het een onderdeel van de business case zou moeten zijn en de sturing van informatiebeveiliging hier een afgeleide van is.
Het is natuurlijk heel verklaarbaar om te sturen op geld of tijd, omdat die goed 'smart' te maken zijn (iets mag X kosten en/of moet op tijdstip Y afgerond zijn). De vraag die rijst is of het verstandig is om bij de invoering of verbetering informatiebeveiliging te sturen op geld of tijd. Het is immers een kwaliteitsaspect waar we continu aandacht aan moeten besteden en dat we met behulp van regelkringen, zoals Deming, continu verbeteren. Een groot nadeel is natuurlijk dat kwaliteit, en daarmee informatiebeveiliging, veel minder makkelijk 'smart' te maken is. Kwaliteit is, volgens ISO 8402, immers 'het geheel van eigenschappen en kenmerken van een product of dienst dat van belang is voor het voldoen aan vastgestelde of vanzelfsprekende behoeften'.
Over het algemeen geldt dat wanneer we ervoor kiezen om te sturen op 'geld' de doorlooptijd zal toenemen en de kwaliteit zal afnemen (het mag best wat langer duren en de kwaliteit mag best wat lager zijn als het budget maar niet wordt overschreden). Kiezen we er echter voor om te sturen op 'tijd', dan zullen de kosten toenemen terwijl de kwaliteit afneemt (het mag best wat meer kosten en de kwaliteit mag best wat minder zijn, als het maar op tijd af is). Als laatste kunnen we sturen op 'kwaliteit'. In dat geval zullen over het algemeen zowel de doorlooptijd als de kosten toenemen (het mag best wat langer duren en wat meer kosten, als het maar aan de kwaliteitscriteria voldoet).
De kunst is nu juist om het, voor de organisatie specifieke, optimum te vinden in geld, tijd en kwaliteit. Daarbij moeten keuzes gemaakt worden over welke kwaliteit wenselijk is binnen welke tijd en tegen welke kosten en welke compromissen we daarvoor dan bereid zijn om te sluiten.
In de praktijk zien we dat veelal gekozen wordt voor het sturen op 'geld' (ook al wordt er nog wel eens wat anders gezegd). Kiezen we daar niet voor, dan is de volgende keuze al snel sturen op 'tijd'. Een combinatie van sturen op geld en tijd is misschien nog wel de meest voorkomende combinatie in de praktijk. "Het moet morgen af zijn en mag niets kosten"; of iets genuanceerder, klinkt je vast bekend in de oren. Bij een dergelijke sturing komt de kwaliteit al snel onder druk te staan en die druk neemt alleen maar toe als de budgeten minder en de deadlines strakker zijn.
Wijs en verstandig
Dit geschreven hebbende en met in het achterhoofd dat informatiebeveiliging een kwaliteitsaspect is, komen we terug bij de vraag of het wijs en verstandig is om informatiebeveiliging te sturen op geld en/of tijd. Zouden we niet beter kunnen sturen op de kwaliteit ervan? Hoewel het antwoord op de vraag misschien volmondig 'ja' lijkt, ligt dat toch wat weerbarstiger. We moeten kijken naar de ondersteunende rol van informatiebeveiliging binnen de organisatie.
Laten we eerst nog even kort ingaan op de gevolgen van het sturen van beveiliging op andere aspecten dan kwaliteit. Sturen we op geld dan blijkt dat er veelal onvoldoende budget beschikbaar is waardoor het niet realistisch is dat er tijdig een, volgens onze normen, goede beveiliging wordt afgeleverd. We zullen onacceptabele risico's blijven lopen. Sturen we daarentegen op tijd dan zijn de deadlines meestal te strak waardoor het niet realistisch is om binnen het beschikbare budget een bepaalde mate van beveiliging te leveren die aan onze eisen voldoet. Ook in dit geval blijven we onacceptabele risico's lopen. Gaan we echter sturen op kwaliteit, wat dat dan ook moge zijn, van de beveiligingsmaatregel, dan zullen we zien dat het meer geld en tijd in beslag zal nemen om de beveiligingsmaatregel daadwerkelijk goed te implementeren. Daarentegen neemt de kans enorm toe dat we het onderkende risico ook daadwerkelijk afdekken. De keuze over wat een onacceptabel risico is, is echter veelal niet aan ons als beveiligers, maar aan het management. Wel is het onze verantwoordelijkheid om ze op de mogelijke gevolgen te wijzen. Of anders gezegd: het besluit over het compromis dat we bereid zijn te sluiten voor de variabelen geld, tijd en kwaliteit ligt bij het management.
De keuze om te kiezen voor een bepaald stuurelement hangt dus erg af van de vraag waarom de organisatie eigenlijk aan informatiebeveiliging doet en wat we daarbij onder kwalitatief goede beveiliging verstaan. Willen we 'compliant' zijn dan kunnen we inderdaad (of misschien zelfs wel beter) sturen op geld en/of tijd waarbij het voor de buitenwereld lijkt of we het goed voor elkaar hebben maar we in de praktijk accepteren dat we risico's lopen. Willen we echter 'in control' zijn en de operationele risico's die onze bedrijfsprocessen kunnen bedreigen echt beheersen, dan kunnen we wellicht beter sturen op de kwaliteit. De kunst is om het optimum te vinden waarbij 'geld', 'tijd' en informatiebeveiliging in evenwicht zijn binnen het compromis van het management.
Voordat je aan je volgende informatiebeveiligingsklus begint, is het misschien een goed idee om jezelf en je opdrachtgever nog even de vraag te stellen wat het doel eigenlijk is: willen we 'compliant' zijn of toch liever 'in control'? Dat scheelt een berg frustratie en miscommunicatie en de kans dat de resultaten als een succes worden gezien neemt toe.
Is duidelijk wat het doel van informatiebeveiliging is, dan heb je de volgende twee keuzes. Of er wordt gestuurd op het juiste sturingselement en je kunt aan de slag. Of je moet de opdrachtgever teleurstellen en de opdracht terug geven…tenzij hij of zij natuurlijk bereid is alsnog voor het best passende sturingselement te kiezen. En dat hoeft dus niet altijd 'kwaliteit' te zijn als de bijbehorende risico's maar worden begrepen.
De kwaliteit van informatiebeveiliging: 'compliant' of 'in control'…ook dat is een keuze.