ICT heeft weleens de reputatie van een geldput. Het ongrijpbare securiy kan daar soms nog een schep bovenop doen. Hoeveel moet je investeren voor als er iets fout gaat? Een nieuw rapport geeft handgrepen om de businesscase te maken.
Het non profit instituut RAND Corporation is door netwerkleverancier Juniper ingeschakeld om het financiële plaatje van ict-beveiliging duidelijk te krijgen. De uitkomst van dit uitgebreide onderzoek door RAND is niet alleen een onderzoeksrapport: The Defenders Dilemma. Charting a Course Toward Cybersecurity.
Belangrijker – want praktisch toepasbaar – is dat het onderzoek ook een systematisch model geeft voor de economische onderbouwing van security. Daarbij is cybersecurity in z’n totaliteit bekeken: holistisch.
Denktank RAND stelt dat de kosten voor cybersecurity in de komende tien jaar met 38 procent zullen stijgen. Deze prognose is op basis van een heuristisch model.
Een belangrijke bevinding uit het RAND-onderzoek is dat securitytools een halfleven hebben: ze verliezen hun waarde. Wat eerst een goede bescherming biedt, voldoet na verloop van tijd niet meer.
Volgens het RAND-model wordt het risico dat een organisatie loopt, bepaald door een combinatie van drie factoren. Dit zijn de securitykosten plus de kosten van een cyberaanval plus de kans op zo’n aanval. De kosten worden bepaald door securitysoftware en -tools maar ook door training van werknemers, het beheer van BYOD (bring your own device) en bijvoorbeeld air gapping van kritieke systemen.
Mensgerichte investeringen, waaronder personeelstraining en het in dienst nemen van securityspecialisten, zorgen op termijn voor lagere beveiligingskosten. Voorkomen is goedkoper dan genezen.
Lees het hele verhaal van Jasper Bakker online of in ICT/Magazine van augustus.
