Innovatie & Strategie

Dit is een bijdrage van Telindus
Security
Telindus_Security

Bouw een businesscase rond cybersecurity

In de IT-wereld is een gouden regel. Als je wil dat mensen tools en applicaties gaan gebruiken, moet je goed uitleggen wat de toegevoegde waarde is

3 juni 2019
Door: Telindus, partner

In de IT-wereld is een gouden regel. Als je wil dat mensen tools en applicaties gaan gebruiken, moet je goed uitleggen wat de toegevoegde waarde is

Er zijn dit jaar twee nieuwe firewalls nodig van een A-merk en het contract voor de antivirus loopt af. Zijn onze smartphones al adequaat beveiligd? De tablets van de buitendienst, daar hebben we Mobile Device Management tooling voor nodig. Kent iemand nog meer fancy cybersecuritytools? Ja, zet die maar op de lijst. En die security awareness-training kan wel op het budget van HR. Dit is in een notendop het proces rondom de totstandkoming van een cybersecurity begroting bij talloze organisaties. Iedereen tevreden, we kunnen weer een jaar veilig verder. De praktijk leert dat deze gefragmenteerde en weinig gestructureerde aanpak ruimte laat voor kwetsbaarheden en weinig inzicht geeft in het rendement van security-investeringen.

In de IT-wereld is een gouden regel. Als je wil dat mensen tools en applicaties gaan gebruiken, moet je goed uitleggen wat de toegevoegde waarde is. Laat zien welke voordelen medewerkers kunnen realiseren, voor hun eigen werkomgeving en voor de onderneming. Maak de businesscase inzichtelijk en geef duidelijk aan wat de IT-investeringen opleveren aan besparingen, productiviteit, efficiency en klantgerichtheid. Het liefst in euro’s onder de streep en in termen van terugverdientijden. In het geval van security zou je goed in kaart kunnen brengen welke (financiële) verliezen je lijdt, als je investeringen juist niet doet. Voer je deze exercitie niet uit, dan loop je het risico dat applicaties niet geaccepteerd worden en dus niet gebruikt. De investering is tevergeefs.

Schijnveiligheid

Dit is exact wat we zien gebeuren als het gaat om investeringen in maatregelen voor cybersecurity. De directie geeft een taakstellend budget af voor cybersecurity en vraagt aan IT wat er nodig is. IT gaat op zijn beurt shoppen. De totale eigendomskosten stapelen zich alleen maar op, net als het gevoel van schijnveiligheid.

Slot op de deur

Deze situatie is te vergelijken met het hebben van een groot, hightech slot op je voordeur, waarbij je tevens de mogelijkheid biedt om met een ladder - die klaar ligt in je achtertuin - via het openstaande badkamerraam naar binnen te klimmen. Gegarandeerd dat je belangrijkste bezittingen alsnog gestolen worden. Het state-of-the-art camerasysteem in je hal, waarvan je de beelden één keer per dag terugkijkt, blijkt helaas geen waarde te hebben.

Risico-inventarisatie

Tijd voor een radicaal andere aanpak. Het is in de eerste plaats belangrijk dit probleem op een andere manier te benaderen. Breng in kaart wat echt belangrijk is voor de organisatie. Kijk vanuit een business perspectief naar de primaire bedrijfsprocessen en inventariseer vervolgens welke informatiesystemen deze processen ondersteunen. Waar word je het hardst geraakt in het geval van een datalek of een cyberaanval?

Wanneer je de risico’s met de grootste impact op een rij hebt, is het belangrijk om een scan uit te voeren op de plek waar je het meest kwetsbaar bent. Met deze inzichten ben je in staat de gevolgschade te taxeren in het geval zich een inbreuk voordoet. Door de kosten van de noodzakelijke maatregelen ertegenover te zetten heb je een businesscase, die je als leidraad kunt gebruiken om je investeringen te onderbouwen aan de directie en het bestuur. Tegelijkertijd kun je medewerkers bewust maken van het belang van security-tools. Zorg dat zij weten wat de gevolgen kunnen zijn en de acceptatie en het gebruik gaan omhoog.

Security roadmap

Natuurlijk kun je niet alles tegelijk aanpakken. Door je risico’s inzichtelijk te maken, weet je waar je prioriteiten liggen. Zet ze op volgorde in de tijd en maak op die manier een roadmap precies op jouw organisatie afgestemd. Dat maakt het transparant, voorspelbaar en bestuurbaar. Dit is belangrijk, want bijna dagelijks zien we voorbeelden voorbijkomen van e-commercebedrijven waar creditcardgegevens worden ontvreemd, van patiëntgegevens die (onbewust, maar toch) gelekt worden bij zorginstellingen en van complete productiestraten die stilliggen als gevolg van een ransomware-aanval.

Cybersecurity is allang geen IT-feestje meer. Cybercriminaliteit is de snelst groeiende sector in de digitale economie. Dus kijk naar je business risico’s, richt je investeringen op wat echt belangrijk is en deel de inzichten met collega’s. Alleen dan zullen zij doordrongen zijn van de ernst van cybersecurity.

 

 

Reactie toevoegen