Goede cybersecurity vraagt om denken op lange termijn en vanuit budget

Goede cybersecurity vraagt om denken op lange termijn en vanuit budget

02-05-2018 | door: Anne van den Berg

Goede cybersecurity vraagt om denken op lange termijn en vanuit budget

Drie jaar geleden verscheen het artikel ‘besteed 10 procent van het ICT-budget aan cybersecurity’ in Executive People, waarin Rhett Oudkerk Pool, CEO van cybersecurityspecialist Kahuna werd geciteerd. Dat percentage en die oproep blijven nog even relevant en actueel. ‘Het is lastig om in lange termijn risico’s te denken’, vertelt Rhett Oudkerk Pool. Maar als gedacht wordt vanuit budget, dan wordt één belangrijke drempel alvast weggenomen.

‘Onze hersenen zijn getraind voor korte termijn risico’s en overleving’, vertelt Rhett Oudkerk Pool. ‘Ze leven nog in de prehistorie, waarin we continu op onze hoede moesten zijn. We nemen ongelooflijk veel risico’s om onze overlevingskansen te vergroten. Stel, je moest kiezen tussen een been eraf of één procent kans overleven mét been, dan kozen we voor het laatste. We hebben de doelstelling er heel uit te komen. De beslissingen die we hiervoor nemen zijn in de huidige tijd niet rationeel, maar veelal irrationeel.’

Geen geld voor basishygiëne, wel voor nieuwe ontwikkelingen

Bedrijven worstelen dan ook met cybersecurity, omdat denken in lange termijn risico’s lastig is. ‘Ze vinden het moeilijk om structureel geld vrij te maken voor basale beveiliging’, vertelt Oudkerk Pool. Bedrijven besteden natuurlijk het geld liever aan korte termijn succes met nieuwe ontwikkelingen. Veel klanten van Kahuna zijn wel gedisciplineerd bezig met cybersecurity, maar toch moet elk jaar opnieuw gestreden worden om budget bij de CFO.

Het is logisch dat cybersecurity elk jaar weer moet meedingen naar budget, want geld kan maar één keer uitgegeven worden. Alleen zou een andere benadering, met als uitgangspunt een vast budget, zorgen voor een betere kijk op cybersecurity. Daarom pleitte Oudkerk Pool er drie jaar geleden al voor dat tien procent van het IT-budget toegewezen moest worden aan cybersecurity. ‘Dan draai je het om: dit heb ik beschikbaar en hoe kan ik dat geld het beste uitgeven’, vertelt Oudkerk Pool.

Comply, or explain

Die tien procent ging na het interview een heel eigen leven leiden, vertelt Oudkerk Pool. ‘Twee maanden later zei Angela Merkel, bondskanselier van Duitsland, hetzelfde. Het is fijn dat het niet alleen mijn boodschap is, maar dat ook zij dat zei. Begin op directieniveau met beveiliging door dat budget veilig te stellen. Hier geldt ook het generiek overheidsprincipe: comply, or explain. Zet die tien procent opzij of leg uit waarom je dat niet doet.’

Standaard tien procent van je IT-budget toewijzen aan cybersecurity is een alternatieve denkwijze, die overigens op andere vlakken al wel wordt toegepast: als de overheid een nieuw pand bouwt, wordt automatisch één procent voor kunst gealloceerd. ‘Het gaat om een normale maatschappelijke manier om dingen te organiseren. Je zet geld weg voor dingen die we belangrijk vinden. Of het nu gaat om kunst of beveiliging: wat we belangrijk vinden leggen we vast in budgetregels.’

Vier of vijf wegen naar Rome: welke is de beste?

‘Als je denkt vanuit een budget, kan je reverse engineeren’, vertelt Oudkerk Pool. Niet alleen vanuit risico en maatregelen, maar ook vanuit budgetsturing. ‘Er zijn vier of vijf wegen naar Rome en als je al deze routes naast elkaar legt, dan zie je dat sommige routes beter zijn dan anderen, ook op het vlak van budget. Het kan zijn dat de grootte van je IT-infrastructuur een bepaalde route ineens drie keer zo duur maakt. En dat een alternatief, die misschien niet direct op je vizier stond, een stuk goedkoper uitvalt.’

Vervolgens kan je ook je uitgaven verantwoorden: je weet wat je uitgeeft en je kan berekenen welke financiële schade je voorkomt met een investering in cybersecurity. ‘Ik noem dat Protection of Investment. Wat heb je allemaal geïnvesteerd in je bedrijf als het gaat om producten, machines en mensen en welke financiële schade kan je oplopen als je het niet goed beschermt? Zo kan je ook de Return of Investment (ROI) berekenen en de financiële verantwoording compleet maken.’

Liever reorganiseren dan beveiliging opschalen

De theorie is makkelijk, maar sommige bedrijven blijven worstelen met cybersecurity en de risico’s die ze mogelijk lopen. Dat heeft dus te maken met hoe onze hersenen werken. Maar door standaard te denken vanuit budget, wordt een belangrijke drempel weggenomen. Naast detectie en preventie van risico’s en aanvallen, kan IT overigens nog een stap ondernemen om security te verhogen, namelijk het ontzorgen van de eindgebruiker, vertelt Rhett Oudkerk Pool.

‘Als IT-specialist proberen wij goed te begrijpen wat de klant wilt. Wij monitoren bijvoorbeeld gedrag om goed te begrijpen waar het mis kan gaan en waarin de eindgebruiker nog niet goed ondersteund wordt. We zagen bijvoorbeeld bij een klant veel verkeer naar een Vietnamees social media platform met vervelende features vanuit legal en security perspectief. Dat was begrijpelijk, want het bedrijf had veel Vietnamezen in dienst, maar kende de risico’s niet. Of denk aan het delen van documenten: als je daar niets voor biedt, dan worden die bestanden via e-mail, Dropbox of WeTransfer verstuurd.’

Zoek een cybersecurityspecialist!

Cybersecurity is vanwege het diepere begrip van de klant een expertise, die je beter kan uitbesteden, vertelt Oudkerk Pool: ‘Preventie en detectie moet bijvoorbeeld ook belegd worden in de productiefase. Ook de gevaren blijven zich ontwikkelen. Leren en ontwikkelen zitten daarom ook in onze genen. Het is een specialistisch vak. Ga daarom te rade bij een partij die dit al twintig jaar doet.’

Terug naar nieuws overzicht