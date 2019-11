Vanuit mijn ervaring als Chief Information Security Officer (CISO) was één van de grootste uitdagingen waarmee ik geconfronteerd werd het meten van de waarde van de investeringen van onze organisatie in cybersecurity. Gelukkig zijn er nu tools en methoden beschikbaar om cybersecurity specifieker in kosten en baten te vertalen, zodat CISO's gedetailleerder dan ooit kunnen zijn bij het meten van de effectiviteit van risicobeperking.

Door echte cijfers te koppelen aan cybersecurity - bijvoorbeeld hoeveel een inbreuk ons ​​kost, of hoeveel risico's we kunnen verminderen door deze specifieke investering te doen - kunnen CISO's samenwerken met de C-suite om beter geïnformeerde beslissingen te nemen.

Risicobeperking van cybersecurity is belangrijker dan ooit. Aangezien de meeste bedrijven digitale transformatie omarmen, kan de impact van een inbreuk enorm veel impact hebben, in de zin van van financiële schade, schade aan de merkreputatie en de goodwill van partners en klanten. Tegelijkertijd wordt het dreigingslandschap steeds geavanceerder, beter gefinancierd en beter gecoördineerd.

Voor CISO's en cybersecurity-teams in jouw organisatie moeten alle acties en investeringen worden genomen om het risico te beperken. Er zijn twee cruciale stappen die jouw teams moeten nemen:

Stap één is een volledige en grondige cybersecurity-risicobeoordeling. Zoals ik eerder heb opgemerkt, is het niet doen van een risicobeoordeling het grootste risico. Een deel van deze beoordeling is het meten van de staat van de cyberveiligheid van de organisatie met behulp van een breed scala aan variabelen die voldoen aan de best practices in de branche. Ik gebruik vaak het ISO 27001 Security Framework, dat 14 verschillende domeinen omvat, die elk een directe impact op het risico hebben. Deze omvatten beveiligingsbeleid, compliance, activabeheer, operationele beveiliging, leveranciersrelaties en andere belangrijke factoren. Het belangrijke punt voor bedrijfsleiders om te begrijpen is dat door het gebruik van ISO 27001 of een andere standaard als nulmeting, jouw teams kunnen meten waar de organisatie staat en gebieden kunnen identificeren die verbetering en extra investeringen nodig hebben. Andere geschikte meetmethoden zijn het National Institute of Standards Cybersecurity Framework en COBIT 5 For Information Security - zolang het framework begrijpelijk en meetbaar is voor het bestuur.

De tweede stap, nadat je jouw beoordeling hebt voltooid, is het ontwikkelen en implementeren van een strategie en een routekaart voor risicobeperking. De algemene strategie moet aansluiten bij de bedrijfsdoelstellingen, bijvoorbeeld inzicht bieden in de kosten van een mogelijke inbreuk en aantonen hoeveel risico de organisatie bereid is te tolereren, de "kroonjuwelen" te identificeren, enz. Bij het opstellen van de routekaart moeten de CISO en beveiligingsteams verwijzen naar het onderliggende kader, zoals ISO 27001, NIST of COBIT 5, om belangrijke risicosectoren te identificeren die moeten worden aangepakt. Dit kunnen factoren zijn zoals gebrek aan zichtbaarheid, gebrek aan controle, te veel complexiteit en gebrek aan personeel.

Vervolgens moet je de punten verbinden om de routekaart voor risicobeperking te koppelen aan werkelijke voordelen. Enerzijds is het vrij eenvoudig om naar de directe kosten van cybersecurity te kijken in termen van investeringen in technologieën, operaties en personeel. Anderzijds is de stap die voor CISO's nog steeds ongrijpbaar is, het specifiek meten van de financiële impact van die investering in termen van risicobeperking.

Dat is waar CISO's creatief kunnen zijn in het gebruik van tools en technologieën die tot hun beschikking staan. Daarnaast kunnen zij, om hun routekaarten meer inhoud te geven, hun relaties met toonaangevende cybersecurity-leveranciers benutten.

Beginnend met ISO 27001 of een ander industrieel standaardkader, kunnen CISO's een "holistische beveiligingsparaplu" creëren die meet waar, wanneer en hoe veranderingen in beleid, investeringen, personeel, enzovoort verbeteringen kunnen opleveren. Vervolgens kan de organisatie kijken naar de kosten die gepaard gaan met het aanbrengen van die wijzigingen en specifieke doelen en timing voor risicobeperkende initiatieven creëren.

Het moeilijkste is om deze investeringen te vertalen in daadwerkelijke, meetbare financiële effecten van risicobeperking. Eén van de methoden die ik effectief heb gevonden bij het meten van risicobeperking, is om gebruik te maken van geaccepteerd onderzoek uit de industrie en best practices.

Een hulpmiddel dat ik aanbeveel is het Cost of a Data Breach rapport uitgevoerd door Ponemon Institute namens IBM. Dit makkelijk toegankelijke openbare rapport biedt een schat aan informatie die CISO's kunnen gebruiken om de financiële impact van hun risicobeperkende investeringen te meten.

In het rapport 2019 Cost of a Data Breach waren de gemiddelde totale kosten van een datalek 3,92 miljoen dollar en de gemiddelde kosten per verloren record waren 150 dollar. Het rapport biedt uiterst nuttige gedetailleerde informatie, zoals:

Organisaties die tijdens de inbreuk een grote cloudmigratie ondergingen, zagen een kostenstijging van 300.000 dollar

Systeemcomplexiteit verhoogde de kosten van een inbreuk met 290.000 dollar

Encryptie verlaagde kosten na een data-inbreuk met gemiddeld 360.000 dollar

Bedrijfscontinuïteitsbeheer in de nasleep van een inbreuk verlaagde de totale kosten met gemiddeld 280.000 dollar

Het uitvoeren van uitgebreide testen van een crisisplan kan de kosten van een inbreuk met gemiddeld 1,23 miljoen dollar verlagen

Organisaties die automatisering niet hadden geïmplementeerd, ondervonden kosten na een data-inbreuk die 95 procent hoger waren dan inbreuken bij organisaties met een volledig geïmplementeerde organisatie

Dit zijn slechts enkele van de relevante metingen in het rapport. Door de kosten in dit onderzoek te extrapoleren en te koppelen aan investeringen, kunnen CISO's zakelijke besluitvormers een duidelijker beeld geven van de waarde die risicobeperking voor de organisatie biedt.

Om een ​​voorbeeld te nemen uit het bovenstaande: als uit de risicobeoordeling van cyberveiligheid blijkt dat codering een zwakte is, zou de organisatie 200.000 dollar in codering kunnen investeren om het risico met 360.000 dollar per jaar te verminderen. Of het zou X-bedrag kunnen investeren in uitgebreide IR-tests om het risico met gemiddeld 1,23 miljoen dollar per jaar te verminderen, afhankelijk van de grootte van het bedrijf, de regio en de industrie.

Het Ponemon-rapport biedt uitsplitsingen naar regio en industrie, zodat het voor CISO's gemakkelijker wordt om het onderzoek op hun specifieke organisaties toe te passen. En omdat het om cijfers gaat, kunnen CISO's visuele presentaties maken en gesprekken voeren in de taal van het bedrijf, dat wil zeggen de totale kosten en het rendement op de investering.

Door gebruik te maken van eenvoudige, algemeen aanvaarde methoden en onderzoek, zoals het ISO 27001 Security Framework, NIST, COBIT 5 en de Ponemon Cost of a Data Breach rapport, kunnen CISO's een veel duidelijker beeld schetsen van wat het bedrijf daadwerkelijk betaalt en bereikt voor investering in cyberveiligheid. Voor alle beslissers in de kamer hoef je geen genoegen te nemen met minder.