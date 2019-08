Hoe meet je de waarde van een investering in cybersecurity? Hoe wordt die waarde weerspiegeld in de manier waarop cybersecurity is ingebouwd in de managementstructuur en bedrijfscultuur binnen een organisatie?

Ik stel deze vragen op basis van een paar recente ervaringen en observaties.

Ik was in gesprek met een CFO en hij beschreef zijn investering in cybersecurity als een "verzonken kostenpost". Zijn standpunt was dat de organisatie veel had geïnvesteerd in cybersecurity, maar daar geen concrete resultaten van zag. De website KrebsonSecurity deed onlangs een onderzoek naar de top 100 internationale bedrijven en ontdekte dat slechts 5 procent een CISO of CSO in het executive leadership team van het bedrijf had opgenomen.

Hoewel dit twee verschillende gebeurtenissen zijn, ben ik van mening dat deze nauw met elkaar verbonden zijn. Als een organisatie cybersecurity niet als een strategische investering ziet, zal het de mensen die verantwoordelijk zijn voor cybersecurity niet behandelen als onderdeel van het strategische team. Wanneer cybersecurity-leiders binnen een bedrijf geen deel uitmaken van het uitvoerende team, zal de organisatie niet de kennis en de toewijding hebben om cybersecurity als een strategische investering te zien.

Het is een vicieuze cirkel die erg achterhaald is. Als jouw organisatie cybersecurity nog steeds als verzonken kosten beschouwt, is het tijd om je houding te veranderen. En als je cybersecurity-leiders nog niet hebt verwelkomd in de executive suite, is het tijd om de rode loper voor hen uit te rollen.

Géén verzonken kosten

Verzonken kosten zijn kosten die al zijn gemaakt en niet meer kunnen worden terugverdiend. Als jouw organisatie door deze lens naar cybersecurity kijkt, loop je het risico dat je de waarde van je investering meet op basis van hoeveel je hebt uitgegeven, in plaats van op de voordelen die deze investering voor je organisatie oplevert.

Het grootste risico van het beschouwen van cybersecurity als een verzonken kostenpost is passiviteit. Met andere woorden, je denkt dat je veilig bent omdat je nog geen grote cyberaanval hebt gehad. Onthoud echter deze stelregel: iedereen is kwetsbaar.

Trap ook niet in de valkuil van de gedachte dat een investering in cybersecurity slechts een verzekering is die de organisatie beschermt tegen rampen. In de huidige datagestuurde, mobiele, en wereldwijd verbonden economie is cybersecurity een zogenaamde 'faciliterende' technologie die je in staat stelt om zaken te doen. Het is de basis voor alles wat je doet.

Als een organisatie een nieuwe applicatie ontwikkelt die gebruikmaakt van Big Data Analytics om de klantervaring te verbeteren, dan heeft die applicatie alleen waarde als klanten zich veilig voelen bij het gebruik ervan. Als een organisatie gebruikmaakt van public cloud resources om ontwikkelingsprocessen te versnellen en IT-kosten te verlagen, werkt dat alleen als er geen sprake is van significante beveiligingsrisico's.

De realiteit is dat cybersecurity niet alleen behoort tot de kosten van het zakendoen; het is een essentieel element voor bedrijfsinnovatie en digitale transformatie. Denk aan elk bedrijf dat technologie heeft ingezet om een gevestigde industrie te verstoren: Uber, Airbnb en Netflix zijn drie voor de hand liggende voorbeelden. Zonder een constante, voortdurende en strategische inzet van cybersecurity werken hun bedrijfsmodellen simpelweg niet.

De investering optimaal benutten

Een ander risico van het beschouwen van cybersecurity als een verzonken kostenpost is dat jouw organisatie mogelijk kansen mist en middelen verspilt. Veel bedrijven kopen bepaalde beveiligingstechnologieën in om aan een compliance- of auditvereiste te voldoen. De verzonken kostenmentaliteit is: "We hebben dit compliance-probleem opgelost, laten we verder gaan."

Het risico van deze aanpak is dat je niet de volledige waarde van je investering kunt operationaliseren. Compliance staat niet gelijk aan security en als je strikt genomen je investeringen ziet vanuit een compliance-perspectief, gebruik je misschien slechts 10% of 15% van de mogelijkheden. Dat is een onnodige verspilling.

In plaats daarvan kan je investeringen in cybersecurity resultaatgericht aanpakken. Stel dat een bedrijf klanten verbeterde mobiele mogelijkheden wil bieden door middel van geavanceerde analytics. Hoe helpt een investering in cybersecurity het bedrijf dan om dat doel te bereiken? Wat zijn de noodzakelijke investeringen in mensen, processen en technologieën die het bedrijf vooruit helpen in deze richting?

Met een resultaatgerichte aanpak kan je nauwer samenwerken met je technologiepartners om cybersecuritydoelstellingen, en dus bedrijfsdoelstellingen, te bereiken. Als je cybersecurity als een verzonken kostenpost beschouwt, heeft de partner minder waarde te bieden. Maar als je cybersecurity ziet als een voortdurende investering in de toekomst van je bedrijf, dan kan de partner helpen de waarde van je investering in cybersecurity te maximaliseren. De partner heeft ervaring in meerdere industrieën en heeft er belang bij om ervoor te zorgen dat jouw investeringen in cybersecurity maximale bedrijfswaarde opleveren.

Een cultuur van cybersecurity creëren

Tot slot, als cybersecurity-leiders binnen je organisatie nog steeds niet worden gezien als de kern van het executive management team, is het tijd om dit opnieuw te evalueren en deze personen in te zetten zodat zij kunnen bijdragen aan de organisatie op een meer strategisch niveau. Het draagt allemaal bij aan het opbouwen van een 'cultuur van cybersecurity' in de organisatie en het erkennen dat investeringen in cybersecurity geen verzonken kosten zijn, maar investeringen in de toekomst van je organisatie.