Daar gaan we weer. Net nadat de wereld zichzelf uit de totale economische stilstand van de COVID-19 pandemie, doemt het R-woord op aan de horizon.
We hebben gezien dat ons dagelijks leven de afgelopen 6 maanden werd geraakt door grootschalige inflatie. Boodschappen, gas, gewone goederen, alles is duurder dan vroeger. Om dit tegen te gaan, zijn bedrijven aan het terugschroeven. Terugschalen van hun investeringen in mensen, kijk naar juni voor bewijs daarvan in de technische sector. Wekelijkse berichten over bedrijven die meer willen doen met minder. Het is de aard van zaken.
Wat betekent dat voor de veiligheid?
“Veiligheid kan toch niet zo veel kosten?”
Vanaf mijn dagen als CISO ontdekte ik dat de realiteit voor de meesten veiligheidsbeoefenaars is dat ze maar al te goed de worsteling met tools en budgetten kennen. In veel organisaties bedragen de budgetten voor informatiebeveiliging doorgaans minder dan 20% van de totale IT-budgetten.
Breid dat uit tot de totale bedrijfsinkomsten, InfoSec-budgetten zijn doorgaans een half procent van de totale inkomsten.
Het lijkt niet te registreren bij besturen dat beveiliging een levende, ademende business unit is. Elke CISO (inclusief ikzelf) kan u vertellen dat InfoSec inderdaad zijn eigen business unit is en voortdurende investeringen vereist om zijn operationele efficiëntie te behouden.
Oké, hoe breng je die boodschap naar huis als bezuinigingen de keuze van het bedrijf lijken te zijn?
Geen enkele CISO of leider op het gebied van beveiliging is perfect. Verkoop en evangelisatie zijn krachtige hulpmiddelen die leiders moeten onderhouden en ontwikkelen. We weten allemaal dat cybercriminelen dat niet doen "doe het rustig aan" gewoon omdat de economie het overal moeilijk heeft. Dat argument is aan dovemansoren gericht voor besturen en besluitvormers.
Wat moet worden aangepakt is: InfoSec als business-enabler. InfoSec als een manier om de organisatie veilig en met vertrouwen slanker en efficiënter te laten werken. Maak een pitch over hoe met voortdurende investeringen in beveiliging, leidt tot sneller meer doen met minder. Metrieken zijn geweldig, maar zorg ervoor dat u evalueert wat uw ECHTE verhaal vertelt, niet het verhaal dat de organisatie in gevaar brengt.
Onthoud, tijd en economie eb en vloed. Deze tijden gaan voorbij en pleit ervoor dat uw organisatie het licht aan het einde van de tunnel niet uit het oog verliest.
Tot de volgende keer!
