Het is een veelgehoorde kreet in organisaties: we gaan op zoek naar ‘laaghangend fruit’. Daar wordt dan mee bedoeld dat we op zoek gaan naar dingen om te doen die op korte termijn en zonder al te veel moeite een zichtbaar resultaat opleveren.
Ook in de informatiebeveiliging is laaghangend fruit beschikbaar, meestal verkrijgbaar als tool of product, te koop bij een woud aan leveranciers dat zich richt op de ‘groeimarkt’ informatiebeveiliging. Met glimmende folders proberen sommige leveranciers een eenvoudige en snelle fruithap te bieden, die prima bruikbaar is in het dagelijkse werk. “Veilig e-mailen”, “datalek-preventie software” en een “Virusverzekering” zijn allemaal dingen die we voorbij zien komen. Kijken-klikken-kopen en klaar zou u denken! En de organisatie weer een stukje veiliger, of niet?
Wij denken van niet en signaleren twee problemen met laaghangend fruit: meestal hangt het niet zo laag als op het eerste gezicht lijkt en het is vrijwel nooit de uitkomst van een geïntegreerde en risicogebaseerde aanpak.
Informatiebeveiliging is in de eerste plaats risicomanagement. En bij risico’s geldt: de belangrijkste risico’s pakt u als eerste aan. Door op zoek te gaan naar laaghangend fruit slaat u de risicoinschatting over en kijkt u naar de kosten en de moeite die horen bij het aanpakken van een probleem. “Denken in oplossingen” is volgens ons alleen een goed idee als er een goede probleemdefinitie aan vooraf gaat.
Hoe verleidelijk laaghangend fruit ook is, het is zaak om eerst te kijken wat nodig is en pas dan te kijken naar welke oplossingen daarvoor de beste zijn. Om risico’s weg te nemen is meestal een combinatie van maatregelen op het vlak van techniek, mensen en processen nodig. Laaghangend fruit is alleen interessant als de organisatie er rijp voor is. En…als deze de oplossing is bij het geconstateerde risico.
Toch is niet al het laaghangende fruit slecht. Na een risicoanalyse kunnen maatregelen naar voren komen die met weinig moeite en tegen lage kosten een groot deel van het geconstateerde risico afdekken. Het laaghangende fruit is dan een middel en geen doel. Het doel van informatiebeveiliging is het beheersen van risico’s, niet zo veel mogelijk doen tegen zo laag mogelijke kosten. Onze oproep aan gemeenten: Weersta de verleiding van het laaghangende fruit en houd koers in uw plan van risicobeheersing, weloverwogen en geredeneerd vanuit een integrale aanpak!
Nausikaa Efstratiades, Hoofd IBD