Q
terug

Waarom besteden we security niet uit?

Nederland en Europa zijn al een tijdje van slag. Iedereen moet inmiddels voldoen aan de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) en die stelt stevige eisen aan de security. Voldoen we daar echt allemaal aan? Security is ook nog eens vaak op andere manieren in het nieuws, hebben we de boel echt wel onder controle? Er wordt veel geschreven  over privacy en security. Wat je allemaal moet doen om aan alle eisen te voldoen. Natuurlijk moet je je aan de wet houden, alles wat je (niet) doet moet legaal zijn, maar je moet ook nog eens kunnen uitleggen dat alles wat je (niet) doet deugt, dat het legitiem is.

Dat valt allemaal niet mee. Je moet er zo langzamerhand veel van afweten, en dat is lastig, want het is natuurlijk niet onze kerncompetentie. Je moet er duidelijke ideeën over hebben, je moet weten wat je wel en niet wil. Om een goed niveau van security te hebben, kun je eigenlijk niet zonder schaalvoordeel: je hebt enorm veel verschillende soorten vakmanschap nodig, je moet tentakels hebben in de hele wereld, zodat je op tijd weet dat er zich weer iets kwaadaardigs voordoet, opdat je adequaat bent voorbereid op het volgende incident. Je moet op basis daarvan trends onderkennen, opdat je proactief en reactief bekende en onbekende bedreigingen kunt weerstaan en je moet een heel apparaat van mensen en computercapaciteit in stand houden. Dat kunnen zelfs de meeste grote organisaties helemaal niet, laat staan de rest!

Complexiteit is ouderwets

De meeste organisaties hebben eigenlijk helemaal geen keus. Als je privacy en security op orde wilt hebben, dan moet je security uitbesteden. Grote leveranciers van security hebben enorm veel schaalvoordeel, waar de meeste organisaties niet aan kunnen tippen. Ze hebben veel meer specialisten in dienst en dus ook in veel meer verschillende specialismen. Ze zijn (bijna) wereldwijd aanwezig en zijn dus veel eerder op de hoogte als er nieuwe bedreigingen opdoemen, ze hebben goed georganiseerde continue alertheid en via hen maak je als organisatie deel uit van een grote community met enorm veel lerend vermogen. Ze kunnen zich tools veroorloven die je jezelf niet kunt veroorloven. Al die succesvolle grote internet- en IT-bedrijven, zoals Adyen, Airbnb, Apple, Bol, Booking, Google, Knab, Netflix, Samsung en Uber, hebben met elkaar gemeen dat ze dingen veel eenvoudiger voor je maken. Complexiteit is ouderwets. Zoals jullie jullie klanten complexiteit uit handen nemen (toch?), zo kun je voor alles dat voor jullie te complex is, partijen vinden die dat jullie uit handen nemen. Bijvoorbeeld op het gebied van privacy en security.

Bedrijven die security leveren, maken het voor jullie veel gemakkelijker om aan de normen te voldoen, ze zorgen ervoor dat je het sneller op orde hebt en ze leveren een kwaliteit/prijs- verhouding die je zelf nooit kan bereiken. Dat realiseren steeds meer organisaties zich. Met een jaarlijkse groei van 20% is security het snelst groeiende segment voor uitbesteding

En toch, als je besluit om security uit te besteden, ben je geheid veel duurder uit dan je nu bent. Uitbesteding drijft de kosten op. Laten we eerlijk zijn, bijna iedereen loopt op het gebied van security flink achter. Goede security is duur, wat heet, het is hartstikke duur. Als je uitbesteedt wordt je security niet duurder, maar je gaat wel veel meer betalen. Dat komt omdat je veel meer security krijgt. Als je in plaats van een appel voor een euro, vier appels koopt voor drie euro, worden de appels niet duurder, maar je gaat wel meer betalen. Je krijgt zoveel meer security, dat het ondanks de lagere kosten per unit, in totaal veel duurder wordt. En je krijgt zoveel meer security, omdat je die security nodig hebt. De security bij veel organisaties lijkt op de dijken van New Orleans vijftien jaar geleden. Lekker goedkoop en wachtend op de komende rampen…

Expliciete keuzes

Security kun je, kortom, maar het beste uitbesteden. Dat betekent niet dat je niks hoeft te doen. Net als bij alle uitbestedingen moet je goed weten wat je wil. Strategie en beleid moet je zelf doen, al zijn er gelukkig wel frameworks die je daarbij kunnen helpen. Je zult moeten vaststellen wat je allemaal moet doen om aan de wet te voldoen en hoe je dat wil bereiken. Maar hopelijk vind je dat niet genoeg en stel je zelf ook eisen aan je security. Dan moet je wel weten waar je kwetsbaar bent en wat je er inhoudelijk voor over hebt om die kwetsbaarheid te beschermen. Je zult een securitycultuur moeten hebben in je organisatie, maar hoe wil je dat die er uit ziet en hoe zorg je ervoor dat je die beoogde cultuur ook daadwerkelijk krijgt? Hoe ga je hierover communiceren met je klanten en andere stakeholders? Eerlijk en transparant? Of toch iets minder dan dat? Ik heb in mei een heleboel berichten gekregen van organisaties waar ik iets mee te maken heb. Sommigen vertellen eenvoudig (!) en eerlijk wat ze allemaal doen, andere, best veel trouwens, wekken bij mij een heleboel argwaan door juist niet eenvoudig, eerlijk en transparant te zijn. In plaats van me af te vragen of dat wettelijk wel ok is, vraag ik me dan vooral af of ik nog wel met die partij te maken wil hebben. Privacy en security zijn zaken waar je een heleboel expliciete keuzes moet maken, ook als je het uitbesteed. Maar het domste dat je kan doen is om al die keuzes impliciet te maken en om security zelf te blijven doen.

Complexiteit is ouderwets en security is zo complex geworden dat je het maar beter niet zelf kan doen. Security organiseren is erg duur, maar New Orleans heeft laten zien dat wachten op de dijkdoorbraak nog veel duurder is.

Auteurs: Bart Stofberg (organisatieveranderaar bij Quint Wellington Redwood) en Eus Pontenagel (partner bij Quint Wellington Redwood)