Security ROI is onzin (september 2008)

Schneier: Security ROI is onzin

Return on investment, beter bekend als ROI, is voor veel bedrijven de basis voor het nemen van beslissingen, toch is het in geval van IT-security onzin, aldus beveiligingsgoeroe Bruce Schneier. Veel bedrijven willen een ROI-model zien zodat ze weten dat hun security investering zich uitbetaalt. Vendors op hun beurt, zijn maar al te gretig om dit soort modellen te maken die "bewijzen" dat hun oplossing voor de beste ROI zorgt. "Het is in theorie een goed idee, maar in de praktijk voornamelijk onzin," laat Schneier weten. "ROI in een security context is onnauwkeurig. Security is geen investering die iets oplevert zoals een nieuwe fabriek. Het zijn kosten, die zich hopelijk door middel van kostenbesparingen uitbetalen. Security draait om het voorkomen van verlies, niet om inkomsten genereren." Nu is het niet zo dat bedrijven dan maar blind moeten investeren. "Bedrijven moeten nooit meer aan een beveiligingsprobleem uitgeven dan het probleem waard is. Daarnaast moet men ook geen problemen negeren die geld kosten als er goedkope manieren zijn om ze op te lossen. Een slim bedrijf benadert security zoals elke andere zakelijke beslissing: kosten tegenover baten."

Gegevens
Bij de klassieke aanpak bestaan de kosten van een beveiligingsincident uit zaken als tijd, geld, reputatie en competitieve voordelen, vermenigvuldigd met de kans dat een incident zich voordoet. Het optelsommetje bepaalt hoeveel een bedrijf aan het risico moet uitgeven om te voorkomen. Om de sommetjes te laten kloppen is veel data nodig en in het geval van computercriminaliteit ontbreekt die. "Er zijn geen goede misdaadcijfers voor cyberspace en weinig data over hoe beveiligingsmaatregelen die risico's voorkomen. We hebben zelfs geen cijfers over de kosten van incidenten." Een oorzaak van het ontbreken van data, is dat de dreiging te snel beweegt. "De eigenschappen van de dreigingen die we proberen te voorkomen, wijzigen zo snel dat we niet snel genoeg de data kunnen verzamelen. Tegen de tijd dat we de gegevens binnen krijgen, is er al een nieuw dreigingsmodel waar we niet voldoende data voor hebben. Dus kunnen we niet alle modellen maken." Het probleem wordt vergroot doordat het berekenen van bijzondere incidenten helemaal onmogelijk is.
Misleiding
Schneier haalt hard uit naar alle beveiligingsbedrijven die ROI-modellen hanteren. "De reden waarom de meeste ROI-modellen die je van security vendors krijgt onzin zijn. Is omdat hun model natuurlijk laat zien dat hun product of dienst financieel gezien verstandig is. Ze hebben echter de cijfers aangepast, zodat die bewering klopt." Managers moeten daarom analyses van mensen met een eigen agenda wantrouwen en resultaten alleen als een algemene richtlijn gebruiken. "Krijg je dus een ROI-model van je vendor, pak dan het framework en vul je eigen cijfers in. Laat de vendor je verbeteringen niet zien, hij zal veranderingen die zijn product minder kost-efficient maken niet als een verbetering beschouwen. En gebruik die cijfers als een algemene richtlijn, in combinatie met risk management en compliance analyses, bij het beslissen van welke producten en diensten je wilt aanschaffen."
Tags: bruce schneier