U bent securitymanager en op een dag vraagt uw directie u om inzichtelijk te maken wat security nou allemaal oplevert. U kent het adagium: ‘meten is weten’. Maar wat ga je dan meten? En hoe?
In mijn columns over securitymetingen van februari 2016 en februari 2018 deed ik al kort uit de doeken dat security meetsystemen nogal eens gebaseerd zijn op foute of onbetrouwbare principes.
Tsja, daar sta je dan als rechtgeaard securitymanager tegenover een directie die in termen van kosten en winstgevendheid denkt. Zoals zo velen gaat u wat Googelen op security metrieken en komt u, net zoals velen vóór u, al snel tot de conclusie dat security metrieken vooral een ICT aangelegenheid zijn. Dat komt door de simpele reden dat ICT een baaierd aan getallen produceert, waarmee je allerlei leuke sommetjes kunt maken. Dat cybersecurity desondanks nog steeds een ramp is, doet vermoeden dat zelfs een vloedgolf aan meetbare data nog niet leidt tot veilige systemen. U bent dus gewaarschuwd!
Iedereen heeft een vaag beeld van security
Maar de eerste vraag die u uzelf moet stellen is, wat is security eigenlijk? Want uw basisprobleem is dat iedereen op alle niveaus in de organisatie een vaag en gefragmenteerd beeld heeft van security. Proef op de som: vraag eens aan tien willekeurige mensen in uw organisatie – uw directeur incluis – wat zij onder security verstaan en u krijgt tien verschillende antwoorden. Zie hier, uw eerste grote uitdaging: zonder een gezamenlijk beeld binnen uw organisatie komt u hier nooit uit.
Dan komt uw tweede grote probleem: Als u een gezamenlijk beeld heeft wat security is, dan gaat u zich afvragen hoe en met welke parameters u dat gaat meten en wat is het verband tussen wat u meet en wat het is? Met andere woorden, wanneer u het aantal pogingen tot inbraak wilt verminderen, moet u zich eerst afvragen hoe u het aantal pogingen tot inbraak gaat definiëren en vervolgens gaat meten. Dat is veel lastiger dan het lijkt, waardoor vele collega’s terugvallen op algemeen geaccepteerde definities of methodes. Een valkuil waar velen in trappen, want er bestaat niet iets dat zomaar algemeen toepasbaar is, zeker niet in de security.
Lastig hè? Ik geef u een voorbeeldje. De Cybersecurity Task Force van de overheid van Naardervenne ontdekte het tijdens een proefproject, waarin hun geavanceerde OV anti-terrorisme reizigersscanners aan medische dossiers werden gekoppeld. Er werd ontdekt dat forensen die met een aansteker op zak reisden een verhoogde kans op longkanker hadden. Per gemeentelijk decreet zijn toen alle aanstekers verboden om de zorgkosten te verlagen. Wat denkt u, zou het helpen?
U kunt zelf goed nadenken, of naar een adviseur om de hoek stappen om dit varkentje voor u te wassen volgens een ‘geaccepteerde methode’. De keuze is aan u.
> Lees meer blogs van Civis Sollicitus