Beheer

Security
Kosten

Kosten van een datalek: veel meer dan die boete

Forrester: overtuig je baas met cijfers!

Grip krijgen op IT kosten, het kán © Pixabay, CCO public domain
11 september 2017

Forrester: overtuig je baas met cijfers!

Nog altijd worden organisaties getroffen door grote datadiefstallen. Vaak is de beveiliging niet op orde doordat de security-experts het algemeen management niet hebben kunnen overtuigen van de noodzaak hiervan. Een communicatieprobleem is vaak de oorzaak. Cijfers willen managers horen. En IT-security heeft die niet paraat.

In zijn rapport Calculate The Business Impact and Cost of A Breach 2017, beschrijft Forrester Research welke kosten een organisatie kan verwachten als gevolg van een cyberaanval. Daarmee kan een risc- danwel securitymanager het algemeen management uitleggen wat de potentiële kosten van een aanval zijn. Zo kan een business case worden opgesteld voor investeringen in databeveiliging en beveiligingsoperaties die nodig zijn om hun kritieke data te beschermen. Want met een cijfermatig onderbouwde business case in de hand, is algemeen management beter te overtuigen van de noodzaak om daar meer in te investeren.

Forrester geeft een lange lijst met indirecte en directe kosten waar een getroffen organisatie tegenaan kan lopen. Een aantal daarvan liggen voor de hand, maar vooral als het om indirecte kosten gaat, zitten er nare verrassingen tussen. Een greep uit die lijst met kosten:

Kosten voor response en notificaties

Hierbij gaat het om technische response zoals incident response-diensten en forensisch onderzoek, maar ook is het verstandig om extern goed te communiceren naar getroffen individuen, de overheid en regulatory bodies. Wie geen eigen pr-afdeling heeft, moet daarvoor een extern bureau inhuren.

Kosten door een lagere productiviteit en winst

Door downtime van de systemen of storingen kunnen medewerkers niet of niet volledig hun werk doen. Of ze moeten ander werk doen, zoals het gerust stellen van klanten en andere medewerkers. Grote aanvallen kunnen ook tot het ontslag leiden van medewerkers, tot aan het management toe. Er moeten dan weer extra kosten worden gemaakt om nieuwe mensen aan te trekken. En in de tijd voordat die er zijn, worden hun taken niet of zeker niet optimaal uitgevoerd.

Kosten voor rechtszaken en schikkingen

De juridische kosten die gemaakt moeten worden, kunnen fors oplopen. Dat komt doordat bij aanvallen waarbij persoonsgegevens zijn betrokken, de rechtszaken nog jaren kunnen voortslepen. Externe expertise is voor veel organisaties dan onmisbaar, maar duur.  Ook voor het treffen van schikkingen moet veel geld worden uitgetrokken.

Boetes

Niet alleen de boetes zelf zijn een flinke kostenpost, zeker als in mei 2018 de GDPR in gaat kunnen die oplopen tot 20 miljoen euro. Maar ook moeten veel kosten gemaakt worden om op de juiste manier beschuldigingen van wetgevers te weerleggen.

Kosten voor uitbreiding van de beveiliging en audits

Na de aanval moet de infrastructuur hersteld worden en vaak ook uitgebreid, zeker op het vlak van beveiliging. Daarnaast wordt steeds vaker van aangevallen organisaties geëist dat ze vaker en uitgebreider audits laten uitvoeren.

Herstel van het vertrouwen in het merk

Er valt omzet weg doordat klanten naar de concurrent lopen. Dan zijn er extra kosten om die klant terug te krijgen en om nieuwe klanten te werven als vervanging. Het wordt soms moeilijker om aan personeel te komen, waardoor weer hogere wervingskosten gemaakt moeten worden.

3 stappen

En wie vervolgens met al deze cijfers naar het algemeen management stapt om hen te overtuigen van de noodzaak van meer investeringen in IT-security moet, kan bij de schatting van de totale kosten het best de volgende stappen nemen.

  1. Bepaal wat de meest waarschijnlijke scenario’s zijn voor dataverlies
  2. Presenteer een paar scenario’s en geef duidelijk aan wat de aannames zijn die de basis vormen voor die scenario’s
  3. Zorg dat het algemeen management begrijpt waarom kosten variabel zijn en wat heel goed te kwantificeren is.
Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.