Het inschatten van storingen, hackers en rampen

Wat kost, in geld, een forse computerstoring? Hoe duur is het om hackers van het netwerk te weren? Het zo precies mogelijk inschatten van het antwoord op die vraag is een van de expertises van het ICT-adviesbureau Telindus. Voor vrijwel iedere bedreiging of ramp is een kostenplaatje te bedenken.

Het lastigste in te schatten is imagoschade, vertelt Wilbert Pijnenburg, een van Telindus' beveiligingsdeskundigen. Het is het enige risico dat hij niet in geld weet uit te drukken. Voor de andere bedreigingen helpt hij bedrijven met het kwantificeren van de kosten en baten.

Hij verdeelt daartoe de maatregelen in twee groepen. De eerste ingrepen helpen riciso's voorkomen en de tweede helpen de nadelige gevolgen van gebeurtenissen te beperken. Een firewall is een voorbeeld van de eerste categorie: die houdt hackers buiten. Een brandmelder hoort tot de tweede groep. Die voorkomt geen brand, maar kan wel helpen de ramp te beperken.

Pijnenburg en zijn collega's weten bijna alle ICT-beveiligingsrisico's in geld uit te drukken. Waarom doen ze dat? Het geeft een bedrijf een notie hoe duur risico's zijn, en hoe kostbaar het kan worden als ze een bepaalde maatregel nalaten. En ze krijgen een indruk of de kosten in balans zijn met de inperking van de gevaren.

Personeelsonderzoek

Telindus gebruikt bij het opzetten van hun zogenoemde ISAMM (Information Security Assessment & Monitoring Method) geen standaardlijstje met mogelijke digitale en niet-digitale gevaren. Wel lopen ze een uitgebreide lijst aan mogelijkheden af. Die risico-analyse volgt NEN 7510 of ISO 17799, vertelt Pijnenburg, en het opstellen ervan duurt een week of twee.

Nee, daarmee jagen wij een klant geen schrik aan. We gaan juist samen na welke zaken moeten tellen. Als bijvoorbeeld een beveiligingsonderzoek voor nieuwe personeelsleden geen issue is voor een bedrijf, dan hoef je de kosten voor zo'n systeem gewoon niet mee te rekenen. Maar je wil wèl zeker weten dat die overweging is gemaakt.

Telindus maakt onder meer veel werk van het in kaart brengen van de waarde van informatie-dragers. Dat kan de hele ICT-infrastructuur zijn, papieren documenten of een enkele USB-poort.

Hoe duur is verlies van informatie? Hangt er vanaf, is een schijf stuk, en ben je daardoor de gegevens die erop stonden kwijt? Of is een laptop zoekgeraakt en nu mogelijk in handen van een buitenstaander?

Hoe duur is data-integriteit? Hangt er opnieuw van af. Is het een interne fout, of heeft iemand van buiten toegang gehad? Hoe duur is een ramp? Lastig, vertelt Pijnenburg. We proberen onder meer in te schatten wat het kost als een belangrijke server een uur, een dag of een jaar niet te gebruiken is.

Paranoia

Pijnenburg en zijn collega's stellen met zo'n checklist zeker dat een bedrijf geen belangrijke risico's over het hoofd ziet. Wij maken de lijst compleet, en rekenen voor of het interessant is om maatregelen te nemen. Zijn de kosten lager dan de opbrengst van de risicoreductie, dan is het voor een bedrijf interessant om de maatregel te overwegen. En dat hangt uiteraard af van het risico-appetijt. Welk risico durft een bedrijf te nemen?