Privacy- en security- jaarbudgetten: Hoe pak je het aan?

Privacy- en security- jaarbudgetten: Hoe pak je het aan?

Budgetten 

In eerdere jaren hebben we regelmatig gezien dat bij de budgettering een adequate inschatting en budgetaanvraag voor privacy en security nog wel eens tussen wal en schip raakt. Of er wordt vergeten budget aan te vragen, of niet alle wensen zijn meegenomen. De basis voor een goede budgettering is natuurlijk een goed jaarplan. Realistisch, niet te veel of te hoge ambities, maar zeker ook niet te weinig. Ben jij op de hoogte van de laatste ontwikkelingen? En weet jij al wat je gaat doen in het jaar 2022 en welk budget je daarvoor nodig hebt? 

Budget: waar begin je?

Het is niet altijd makkelijk om een begin te vinden voor je budgetaanvraag. Er zijn twee routes wat mij betreft. De eerste is uitgaan van je verbeter- of jaarplan. Op basis van dat plan ga je de acties plannen en maak je een schifting in wat je zelf kan doen en in wat je liever uitbesteedt. Dan is het prijzen opvragen bij organisaties die het voor je kunnen doen. Hoe je omgaat met kosten vertel ik verderop. 

In het geval je geen verbeter- of jaarplan hebt, is het zaak om deze te maken. Het is de beste houvast. Een goed begin om te komen tot een jaarplan is het (laten) uitvoeren van een assessment of audit. En dan het liefst door een externe partij(Audittrail?😋); dan krijg je het eerlijkste inzicht in de situatie nu. Misschien niet altijd het leukste of meest positieve inzicht, maar wel het eerlijkste. 

Op basis van de bevindingen en aanbevelingen, eventueel gecombineerd met de verbeterpunten uit de managementletter, stel je een meerjarenplan op, dat logischerwijs leidt tot een jaarplan.

Plannen

Wees realistisch wat je in het jaar wil en gaat bereiken. Kijk dus ook kritisch naar de capaciteit en overige projecten. Als het net aan past, zal het niet passen. Een tip: kijk ook van de andere kant naar je aanstaande of lopende projecten: vaak kan je daar al een aantal verbeteracties onderbrengen. Weet dat als je ambitie te hoog is, je de externe capaciteit moet bijschalen. Dat kan, maar heeft natuurlijk wel een prijskaartje. 

Dat plan heb je als je een (interne) audit of assessment hebt gedaan of hebt laten doen. Daar tel je de verbeterpunten bij op .

Budget & jaarplan: wat zit er in?

Veel kosten rondom security en privacy zijn al opgenomen in de IT- en bedrijfsvoering budgetten en soms al in de kosten van de outsourcingspartij. Je wilt weten welke kosten al opgenomen zijn, zodat je later niet voor verrassingen komt te staan. Een voorbeeld van een aantal kosten:

- techniek: kosten van applicaties, vervanging, uitbreiding. Kosten van firewall, spamfilter, etc.
 - mensen: kosten van (extra) personeel dat zich bezig houdt met security en privacy.
 - verzekeringen zoals cybersecurity verzekeringen
 - inhuur – voor projecten en extra ondersteuning, het uitvoeren van audits, assessments en pentests.
 - ad hoc ondersteuning, knowledge as a service zoals de Audittrail helpdesk
 - bewustzijn – zoals e-learning, pubquizes, phishingtests

Denk er ook over na wat er binnen de organisatie gebruikelijk en wenselijk is qua investerings- en exploitatiebudgetten. Veel dienstverlening is inmiddels ook ‘as a service’ af te nemen en soms zelfs in combinatie als managed service. Dat maakt budgettering ook flexibel.

Heb je hulp nodig bij het opstellen van je jaarplan en jaarbudget? Laat het gerust weten, wij helpen er graag bij!

Op donderdag 28 oktober geef ik over dit onderwerp een webinar. Hier ga ik uitgebreider in op bovenstaande. Schrijf je nu in!

Over de schrijver
Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.
Reactie plaatsen