Hoe een businesscase van beveiliging te maken

Hoe een businesscase van beveiliging te maken

Heeft ICT weleens de reputatie van een geldput, het ongrijpbare securiy kan daar soms nog een schep bovenop doen. Security valt te zien als een vage verzekering: hoeveel moet je investeren voor als er iets fout gaat? Een nieuw rapport geeft handgrepen om de businesscase te maken.

Het non profit instituut RAND Corporation is door netwerkleverancier Juniper ingeschakeld om het financiële plaatje van ict-beveiliging duidelijk te krijgen. De uitkomst van dit uitgebreide onderzoek door RAND is niet alleen een onderzoeksrapport: The Defenders Dilemma. Charting a Course Toward Cybersecurity.

Belangrijker – want praktisch toepasbaar – is dat het onderzoek ook een systematisch model geeft voor de economische onderbouwing van security. Daarbij is cybersecurity in z’n totaliteit bekeken: holistisch. CIO’s en it-managers kunnen dit model benutten om algemene bestuurders binnen hun eigen organisatie te overtuigen met businessargumenten.

Dreigingen, FUD en scepsis

ICT-security heeft niet alleen te maken met cyberdreigingen zoals georganiseerde misdaad. De beveiliging van geautomatiseerde bedrijfsmiddelen kampt ook met FUD (fear, uncertainty and doubt) en daaruit voortgekomen scepsis. Bestuursraden en financiële directeuren kunnen zich afvragen of de vrees voor cybergevaren niet overtrokken is en of beveiliging wel de hoge prijs waard is. “CISO’s (chief information security officers – red.) hebben business metrics nodig”, stelt technisch directeur Nico Siebelink van Juniper Networks.

“CISO’s hebben het gevoel dat hackers, de aanvallers, de overhand krijgen. Dit ondanks flinke investeringen die ze hebben gedaan in cybersecurity”, zegt Siebelink. Hij vertelt dat het voor ict-bestuurders en -managers dus de vraag is wáárin ze moeten investeren, waarin voorál. Hij bevestigt dat security als een verzekering is: “Hoe ga je de premie bepalen?”

Het halfleven van tools

Het budget voor security is immers zeker niet oneindig. Ondertussen lijken aanvallers wel steeds meer middelen tot hun beschikking te hebben. Denktank RAND stelt dat de kosten voor cybersecurity in de komende tien jaar met 38 procent zullen stijgen. Deze prognose is op basis van een heuristisch model.

Onderzoeker en securitykenner Chris van ‘t Hof legt uit dat RAND geen absolute cijfers hanteert. “De kosten voor cybersecurity zijn nu 1 en over tien jaar dus 1,38.” De daadwerkelijke stijging – laat staan de concrete bedragen – verschillen per organisatie. Voormalig RAND-onderzoeker Van ‘t Hof stelt dat ict-beveiliging meer is dan een verzekering: “Je zult met security altijd kosten maken”. De kunst is om de balans te vinden. “Tussen te weinig uitgeven ‘want we worden toch wel aangevallen’ en teveel uitgeven.”

Een belangrijke bevinding uit het RAND-onderzoek is dat securitytools een halfleven hebben: ze verliezen hun waarde. Wat eerst een goede bescherming biedt, voldoet na verloop van tijd niet meer. Deze afwaardering wordt veroorzaakt door voortgaande ontwikkelingen bij aanvallers én bij eigen ict-gebruik. Zo is oudere software vaak niet ontworpen met oog voor security en modern internet-enabled gebruik. RAND becijfert dat de effectiviteit van beveiligingstools over een periode van tien jaar zo’n 65 procent afneemt.

Toch geen negatieve uitgave

Van ‘t Hof spreekt de notie tegen dat cybersecurity een negatieve businessuitgave is; constante hoge uitgaven puur en alleen om verliezen te voorkomen of te beperken. De winst van cybersecurity valt volgens hem op twee manieren te zien: als eigen winst/verliesrekening of als relatief ten opzichte van gelijkwaardige organisaties. Laatstgenoemde kan heel waardevol zijn voor bijvoorbeeld webwinkels, die hun klanten dan betere beveiliging kunnen bieden.

Siebelink van Juniper twijfelt of security een USP (unique selling point) zal zijn voor veel organisaties. “Voor online-banken wel, maar verder?” Van ‘t Hof meent dat betere beveiliging wel meetelt voor bedrijfsbusiness (B2B), maar niet voor consumenten (B2C). Een organisatie zal na een hack in de regel wel veiliger dan de concurrentie zijn, maar wat bij consumenten vooral na-ijlt is het feit dát ze zijn gehackt. “Dat is jammer”, verzucht Van ‘t Hof.

Zelfhulptool

Het RAND-onderzoek heeft ook geleid tot een interactieve zelfhulptool. Opdrachtgever Juniper heeft deze ontwikkeld op basis van het RAND-model voor ict-security. CIO’s, CISO’s en ict-managers kunnen daarmee informatie over hun eigen organisatie invoeren om te kunnen inschatten waar en hoeveel ze moeten investeren in ict-beveiliging. De investeringsgebieden die de tool dan aandraagt, omvatten vier gebieden.

Daaronder niet alleen traditionele ict-middelen zoals firewalls, virusscanners en netwerkmonitorende systemen. Juist ook ‘zachtere’ middelen komen aan bod. Denk aan opleidingen en trainingen voor zowel it-medewerkers als gewone werknemers. Daarnaast kan securitybudget nuttig worden besteed aan beter beleid voor BYOD en het Internet of Things (IoT). Een gepaste combinatie kan het risico verminderen. Daarbij moet voor CEO’s, CFO’s en andere non-ict-bestuurders wel duidelijk onderbouwd worden wat het risico is.

Rekensom voor risico

Volgens het RAND-model wordt het risico dat een organisatie loopt, bepaald door een combinatie van drie factoren. Dit zijn de securitykosten plus de kosten van een cyberaanval plus de kans op zo’n aanval. De kosten worden bepaald door securitysoftware en -tools maar ook door training van werknemers, het beheer van BYOD (bring your own device) en bijvoorbeeld air gapping van kritieke systemen. Laatstgenoemde is het fysiek scheiden en offline halen van bepaalde systemen. Daardoor is er een ‘luchtgat’ tussen kritieke informatie en het onveiligere bedrijfsnetwerk, dat weer verbonden is met het onveilige internet.

De kosten voor een organisatie die een cyberaanval heeft ondergaan, komen vooral neer op de waarde van de bedrijfsdata plus de te verwachten reputatieschade. Hoeveel is welke informatie waard en wat is de schade die de organisatie lijdt als gegevens worden gestolen of op internet worden geopenbaard? Siebelink stipt aan dat ook de maatschappelijke rol van een organisatie hierin meespeelt.

Terugverdienen

Ten slotte is de kans op een cyberaanval een variabele die wordt beïnvloed door onder meer het aanvalsoppervlak van een organisatie. Hoeveel systemen zijn er in gebruik, met welke software en welke kwetsbaarheden daarin? Het elimineren van kwetsbaarheden zorgt al voor veel vooruitgang op securitygebied. Het halveren van het aantal kwetsbaarheden brengt volgens RAND een cybersecuritybesparing van 25 procent.

Daarnaast zorgen mensgerichte investeringen, waaronder personeelstraining en het in dienst nemen van securityspecialisten, op termijn voor lagere beveiligingskosten. “Je kunt niet alles oplossen met technologie”, bezweert Siebelink. Volgens het RAND-model kunnen organisaties met een hoge security-ijverigheid (diligence) de kosten daarvoor al met 19 procent beperken in het eerste jaar en met 28 procent tegen het tiende jaar. Dit in vergelijking met organisaties die security verwaarlozen. Voorkomen is uiteindelijk goedkoper dan genezen wat ICT-beveiliging betreft.