Beveiligen met beleid
Trendvolgers soms onnodig duur uit
03 maart 2005 | Dominique Deckmyn
Het is een wat vreemde situatie. Geen enkel IT-project kan vandaag de dag nog doorgaan zonder spijkerharde bewijzen van return on investment. Maar als het over beveiliging gaat, wordt vaak blindelings geïnvesteerd in de nieuwste trends.
Het verzoenen van IT-beveiliging en corporate governance is niet altijd even makkelijk.
Hoeveel bedrijven gemiddeld uitgeven aan IT-beveiliging, daarover lopen de cijfers uiteen. Vaak spreekt men van rond de acht procent van het IT-budget. David Aron van onderzoeksbureau Gartner denkt dat het iets meer is. "Bedrijven weten niet precies wat ze uitgeven aan IT security. Ik vermoed dat het eigenlijk tien tot twaalf procent van het IT-budget is." Vooral de kosten aan mankracht worden vaak verwaarloosd in de optelsom, meent Aron.
Maar er is een groter probleem. "Het geld wordt niet uitgegeven aan de juiste dingen", zegt hij. Wat ontbreekt, is
portfolio management ofwel het voortdurend afwegen van investeringsprojecten en het toekennen van prioriteiten.
Zo wordt er volgens Aron doorgaans te veel in firewalls geïnvesteerd en niet genoeg in business continuity. De uitgaven aan hardware en software voor beveiliging zullen zich stabiliseren, meent Aron, maar we zullen meer uitgeven aan diensten rond beveiliging, en dus zal het totale kostenplaatje nog omhoog gaan.
Georges Ataya is voorzitter van de ISACA (Information Systems Audit and Control Association). Hij pleit voor een betere beleidsvoering op het gebied van IT-beveiliging. Hij ziet enkele positieve tekens.
"Er is meer interesse voor de zakelijke redenen om in beveiliging te investeren. Bedrijven doen slimmere IT security-investeringen, ze doen het niet meer blindelings. Ze stellen zich de vraag waarom ze in een bepaalde technologie zouden moeten investeren. Maar wat meestal nog ontbreekt is risk assessment."
