Beheer

Security

Nuchter beslissen over investeren in 
IT-beveiliging

13 mei 2015

Lawrence Gordon, net als zijn collega Martin Loeb hoogleraar aan de University of Maryland, legde het Gordon-Loeb-model uit aan bezoekers van de NCSC ONE-conferentie vorige maand in Den Haag. “Het uitgangspunt is dat 100 procent beveiliging niet bestaat. Investeringen in IT-beveiliging moeten gebaseerd zijn op een afweging van kosten en baten. De beveiliger kan wel vragen om 20 miljoen, hij concurreert daarmee met andere afdelingen en een organisatie kan dat geld maar één keer uitgeven. Ooit kwam een IT-beveiliger hoogst verontwaardigd naar me toe omdat zijn baas weigerde om miljoenen te steken in security. ‘Mijn baas snapt niks van beveiliging’, zei hij. ‘Nee, jij snapt niets van bedrijfseconomie’, heb ik tegen hem gezegd.”

Het Gordon-Loeb-Model is gebaseerd op drie componenten:

  1. De potentiële verliezen door een aanval, ofwel de potentiële besparingen,
  2. De lekken of bedreigingen,
  3. De productiviteit van de investering.

Hoe de kosten van een aanval kunnen worden berekend, was problematisch, vertelt Gordon. Hij hoopte dat een aanval teruggezien kon worden in de daling van de koersen van een getroffen organisatie, dat zou een prima kwantificering opleveren. “Maar dat blijkt maar weinig invloed te hebben op de koersen. Jammer.”

De moeite die het kost om de baten van IT-beveiliging te kwantificeren maakt het ook moeilijk voor de beveiligers om het management te overtuigen dat er een hoger budget moet komen. “Het zijn vooral besparingen die je moet zien te verkopen. IT-beveiliging levert geen extra omzet op, terwijl het daar vaak om draait binnen een bedrijf. Daar komt bij dat cybersecurityprojecten nog moeilijker zijn in dit opzicht. Want doe je het goed, dan is er geen aanval waarmee je kunt laten zien dat die schade zo hoog had kunnen zijn. ‘Misschien heeft niemand ons aangevallen dit jaar’, kun je dan te horen krijgen. De impact en risicofactoren zijn onmogelijk goed te meten, zeker vooraf. Afwachten zou een rationele optie zijn. Je ziet dan ook dat pas na grote aanvallen meer geïnvesteerd wordt. J.P Morgan verhoogde zijn budget van 250 naar 500 miljoen dollar en Target verhoogde het tot 100 miljoen. Met ons model kun je de investering ook rationaliseren.

Je kunt stellen dat je steeds meer baten hebt van almaar stijgende investeringen in beveiliging. Maar de stijging van de baten gaat maar tot een bepaald niveau even hard met de kosten mee omhoog.”

Zo komt het model uit op de grens van 37 procent van de verwachte schade als maximum voor investeringen in IT-beveiliging. “Investeer in je beste beveiligingsprojecten; dan haal je er het meeste uit. Moet je veel geld steken in de beveiliging van een project met zeer gevoelige gegevens die moeilijk te beveiligen zijn, doe dat dan niet. Dat kost te veel geld en is daarom geen goede zakelijke beslissing. Hierbij heb je heel snel de top bereikt van de baten van je investering, terwijl de kosten maar blijven stijgen.” Het geld kan beter gestoken worden in projecten die wel goed te beveiligen zijn tegen lagere kosten.

Gordon maakt overigens een nuchter behoud bij de geldigheid van zijn eigen model. “Ik geloof niet dat je hiermee precies kunt berekenen wat een bedrijf moet uitgeven aan zijn cybersecurity. Niet meer dan een derde van je verwachte kosten van een aanval investeren in bescherming werkt in het algemeen. Maar als je één grote aanval krijgt, die heel veel schade toebrengt, zakt dit model in elkaar. Het is geen voodoo.”

Wie het model wil gebruiken, kan het beste de volgende vier stappen doorlopen:

  1. Schat wat de mogelijke schade is van een aanval voor alle datasets van een organisatie. Geef daarbij aan of datasets van hoge, middelmatige of lage waarde zijn.
  2. Bepaal voor elke dataset hoe waarschijnlijk het is dat ze gestolen worden en hoe kwetsbaar die dataset daarvoor is. Deel dat weer in in drie categorieën van hoge, middelmatige tot lage waarschijnlijkheid.
  3. Maak nu een schema waarin alle mogelijke combinaties van 1 en 2 staan.
  4. Focus je uitgaven op de projecten die de meeste netto baten bieden, ofwel waar een bepaalde hoeveelheid geld de potentiële verliezen het meest verkleint.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!