Mensen, wat zijn we in de informatie technologie toch gek op acroniemen. Zo hebben we al weer een tijd het prachtige SIEM, hetgeen staat voor Security Incident and Event Management. Na jaren van al dan niet juist en zinvol implementeren van tal van technische maatregelen om de risico's die we geïdentificeerd hebben met onze digitale informatievoorziening, komt natuurlijk onvermijdelijk de vraag naar boven:”Wat hebben we hier nu mee bereikt, is onze organisatie veiliger geworden?”
Omdat het aan de hand van logfiles uit de firewall, intrusion prevention of andere systemen moeilijk te herleiden valt welke potentiele bedreigingen op de business afgewend zijn, is er een al lange tijd behoefte aan management gereedschap, dat de risico's die de business loopt kan correleren met de informatie uit de diverse beveiligingssystemen en het vigerende informatiebeveiligingsbeleid.
Hoe kun je nu een idee krijgen, of de investering in een dergelijke technologie gerechtvaardigd is.
Enkel aandacht voor de technische aspecten is niet voldoende. Kennis van de werkzaamheden van de organisatie (de “business”) is van groot belang. Vraag je af wat ze doen en hoe, waar wordt het geld verdiend? Op welke systemen draaien de belangrijkste toepassingen, is men zich bewust van fraude gevoeligheid? Natuurlijk zijn dit niet alle relevante vragen, maar het gaat er om dat dergelijke informatie nodig is om de verbanden te leggen die niet slechts bijdragen aan de beveiliging, maar ook waarde creëereen voor de organisatie.
Op basis van deze verbanden is het mogelijk om de informatie te verkrijgen die een aanwijzing geeft of de investering in SIEM te rechtvaardigen is.
Hoeveel security events zijn opgemerkt door de SIEM oplossing en wat zijn de de verliezen die geleden worden als gevolg van het niet of te laat opmerken? Zal de beschikbaarheid van de informatievoorziening verbeteren? Welke fraude pogingen worden nu wel gesignaleerd en hoeveel verlies is daarmee voorkomen?
Het lijkt erop, dat hiermee een weerwoord gegeven kan worden aan de dooddoener:”Informatiebeveiliging kost alleen maar geld, je krijgt er niets concreets voor terug”, maar het zal tegelijkertijd het ontbreken van beleid en zinloze maatregelen inzichtelijk maken. Het is kortom geen heilige graal, maar een belangrijk instrument om inzicht te verkrijgen in de stand van zaken rondom informatiebeveiliging.
