Hoeveel geld moet ik investeren in cybersecurity?

26 feb 2019
Marcel Schipper door Marcel Schipper

Er zijn dit jaar twee nieuwe firewalls nodig van een A-merk en het contract voor de antivirus loopt af. Zijn er nog meer fancy cybersecuritytools beschikbaar? Ja, die hebben wij ook nodig! Zet die ook maar op de lijst. En die security awareness-training kan wel op het budget van HR. Hoppa, begroting gereed. Zo kunnen we weer een jaar vooruit en zeggen dat we veilig zijn… toch?

Helaas gaat het bij veel organisaties nog op deze manier in zijn werk. De directie geeft een taakstellend budget af voor cybersecurity en vraagt aan IT wat er nodig is. Die op hun beurt gaan shoppen. De TCO stapelt alleen maar op, net als het gevoel van schijnveiligheid.

Het is te vergelijken met het hebben van een enorm en luxe slot op je voordeur, maar ook de mogelijkheid om met de ladder – die open in je achtertuin ligt – zo via de open badkamerraam naar binnen te klimmen. Gegarandeerd dat je belangrijkste bezittingen alsnog gestolen worden. En ook dat mooie camerasysteem in je hal – waarvan je de beelden één keer per dag terugkijkt – blijkt helaas geen functie te hebben.

In onze whitepaper geven wij door middel van een voorbeeld een beeld hoe een organisatie torenhoge kosten kan besparen door te investeren in security.

 

Risk assessment and roadmap

Er moet dus echt iets veranderen, maar wat? Het is belangrijk om te beginnen met dit probleem op een andere manier te benaderen. Breng in kaart wat echt belangrijk is voor de organisatie. Kijk vanuit een business perspectief naar de primaire bedrijfsprocessen en inventariseer vervolgens welke informatiesystemen deze processen ondersteunen. Waar word je het hardst geraakt?

Wanneer je de risico’s met de grootste impact op een rij hebt, is het belangrijk om een scan uit te laten voeren op de plek waar je het meest kwetsbaar bent. Met het hebben van deze inzichten ben je in staat om de gevolgschade te taxeren in het geval een risico zich voordoet. Door de kosten van de noodzakelijke maatregelen ertegenover te zetten heb je een business case, wat je als leidraad kunt gebruiken om je investeringen te onderbouwen aan de directie en het bestuur.

Kies je strijd in cybersecurity

Natuurlijk kun je niet alles tegelijk aanpakken. Door je risico’s inzichtelijk te maken, weet je waar je prioriteiten liggen. Zet ze op volgorde in de tijd en maak op die manier een roadmap precies op jouw organisatie afgestemd. Dat maakt het transparant, voorspelbaar en bestuurbaar. En dit is belangrijk, want bijna dagelijks zien we voorbeelden voorbijkomen in de pers. E-commerce-bedrijven waar creditcardgegevens van klanten worden ontvreemd, datalekken van patiëntgegevens bij zorginstellingen, complete productiestraten die stilliggen als gevolg van een aanval.

Cybersecurity is allang geen IT-feestje meer. Cybercriminaliteit is de snelst groeiende sector in de digitale economie. Dus kijk naar je business risico’s, richt je investeringen op wat echt belangrijk is en ga beleidsmatig en planmatig te werk!

In een interview in het RTL Z programma De Barometer leg ik samen met mijn collega Ton Baeten uit wat de gevaren zijn van cybercriminaliteit en hoe het uitbesteden van de security helpt.