Effectiviteit security-maatregelen simpel meten

Dat is het advies van Andrew Jacquith, senior analyst bij marktvorser Forrester. Jacquith geeft onmiddellijk toe dat het moeilijk is om de effectiviteit van de security-maatregelen binnen een organisatie goed te meten. "Vaak hebben we de neiging om beslissingen te nemen op basis van emoties. Emoties zijn echter geen goede raadgever."

In plaats daarvan is het volgens Jacquith veel verstandiger om simpele en consistente maatstaven te ontwikkelen die voor iedereen zijn te begrijpen. Bijvoorbeeld: "Welk percentage van de laptops is voorzien van anti-malwareprogramma's, hoe vaak is er geprobeerd het netwerk binnen te dringen gedeeld door het aantal gebruikers van het netwerk, of hoeveel inbraakpogingen werden er ontdekt door het systeem in plaats van dat ze later bij toeval werden ontdekt."

Het bestuur van een organisatie kan veel meer met dergelijke simpele indicatoren dan met de vaak ingewikkelde security-maatstaven die veel organisaties nu gebruiken. "De directie heeft niet veel tijd. Bestuurders willen simpele antwoorden waarop ze kunnen vertrouwen", aldus Jacquith. "Vooralsnog is de security-industrie niet echt goed geweest in het ontwikkelen van zo'n niet-technische uitleg van de security-situatie."