Redactie - 02 december 2021

F-Secure: Wat is de Return-on-Investment van cybersecurity?

F-Secure: Wat is de Return-on-Investment van cybersecurity? image

Als je nooit brand hebt gehad, dan is het lastig om te pleiten voor automatische sprinklers. Datzelfde geldt helaas voor cybersecurity. IT-managers hebben vaak een zware taak om CFO’s te overtuigen om budget vrij te maken. Als het niet lukt, is een cyberverzekering dan een oplossing? Robert Scholten, Benelux Business Manager MDR bij F-Secure: ‘Een verzekering zou een aanvulling kunnen zijn, maar met cybersecurity leg je de basis.’ 

Bedrijven die nog nooit zijn aangevallen, die nog nooit het effect van ransomware hebben gevoeld, vinden het lastig om budget vrij te maken voor cybersecurity, vertelt Robert Scholten van F-Secure. ‘Als je nooit brand hebt gehad, dan zijn de gesprekken over het installeren van automatische sprinklers moeilijk.’ Maar heeft een aanval plaatsgevonden en heeft het bedrijf het overleefd? Dan staan ze vooraan in de rij.

De 5 stappen van het FAIR-assessment
Het probleem is dat het voor CFO’s onduidelijk is hoeveel risico een bedrijf loopt en hoe hoog de schade kan oplopen. Dan wordt het overtuigen van die CFO veel ingewikkelder. Daarom helpt F-Secure CIO’s en IT-managers een security assessment te doen, zodat in vijf stappen duidelijk wordt: wat zijn de risicoscenario’s en de dreigingsbronnen? Wat kan een consequentie zijn? En welke kosten en gevolgen hangen daaraan vast?

‘Ik houd niet van scare tactics, maar als je echt wilt weten wat de return on investment op cybersecurity is, moet je helderheid krijgen over de impact van een potentiële aanval’, vertelt Scholten. ‘Wij bieden een stappenplan waarbij het hele bedrijf wordt doorgelicht om vervolgens te bepalen waar risico’s worden gelopen en wat de financiële impact kan zijn als aanvallers processen stilleggen of data gijzelen.’

Cybersecurity staat gelijk aan operationele continuïteit
Idealiter doe je zo’n assessment als bedrijf. Het wordt misschien geïnitieerd en geleid vanuit IT, maar cybersecurity draait om operationele continuïteit. Dus dat betekent dat alle afdelingen worden doorgelicht om de risico’s en gevolgen te kunnen doorrekenen. ‘Het gaat niet alleen om het kunnen herstellen van applicaties en data, maar ook om kosten die nodig zijn om reputaties te managen of klantenservice op te schalen.’

F-Secure gebruikt het marktleidende risicoframework van FAIR Institute, genaamd Factor Analysis of Information Risk. Het framework bestaat uit vijf stappen: het identificeren van mogelijke risico’s, het berekenen hoe vaak verlies plaatsvindt in een bepaald tijdsframe, berekenen hoe groot het verlies kan zijn, berekenen hoeveel budget een bedrijf nodig heeft om een aanval te boven te komen. En berekenen wat de ROI van een MDR-oplossing is.

Welke kans heb je op bedrijfsspionage?
‘Het identificeren van risico’s, de eerste stap, is bedrijfsgebonden, want welke apparaten en applicaties zijn verbonden met het internet, hoe afhankelijk ben je van het internet voor je operatie, heb je bijvoorbeeld een webshop, hoe ziet je infrastructuur eruit en hoe ziet het aanvalslandschap eruit? Kijk ook naar je medewerkers: wat is het risico op bedrijfsspionage of mensen die fouten maken? Hoe groot zou die impact kunnen zijn?’

Stappen twee en drie draaien om het berekenen van het verlies dat je loopt op basis van een aantal scenario’s en het berekenen hoe groot dat verlies kan zijn. Dat betekent dat je gaat kijken naar je zwakke plekken en scenario’s bedenkt hoe, wanneer en hoe vaak het mis kan gaan. ‘Het kost wat tijd om het uit te werken, maar de vraag is simpel: als je wordt getroffen, hoeveel kost het je dan per dag?’

Hoeveel kost het om weer operationeel te zijn?
Maar als de aanval is geweest, je die gedetecteerd hebt en weer probeert op te krabbelen: welk budget heb je nodig om weer operationeel te zijn? Daar draait stap vier om. ‘Denk daarbij niet alleen aan eventuele apparaten die je moet vervangen of een back-up die je moet terugzetten, maar ook aan imagoschade: hoe zorg je ervoor dat klanten niet overstappen naar de concurrent? En: hoe beperk je de schade voor de hele keten?’

De laatste stap, stap vijf, gaat over de ROI van securityoplossingen. ‘Voor elk risicoscenario berekenen we hoe een MDR-oplossing het verlies vermindert’, vertelt Scholten. ‘We helpen ze overigens niet alleen met die stap, maar met de gehele berekening. Enerzijds zodat ze weten hoe ze bedreigingen en kwetsbaarheden kunnen identificeren. Anderzijds omdat wij veel data beschikbaar hebben op basis waarvan de verliezen ingeschat kunnen worden.’

Is een cyberverzekering een goed idee?
Net als ISO-certificeringen om securitymaatregelen te documenteren wordt ook het assessment steeds meer gemeengoed in de markt. Toch kiezen steeds meer bedrijven om zich te verzekeren tegen cyberaanvallen. Slimme keuze? Scholten: ‘Wij hebben gezien dat MDR overlapt met verschillende aangeboden cyberverzekeringen, bijvoorbeeld als het gaat om incident- en responsediensten.’

‘Daarnaast geldt ook dat als security optimaal is geregeld en het beleid klopt, een extra verzekering alleen een eventuele toevoeging is. En als klanten van ons een verzekering in overweging nemen, dan staan wij altijd klaar om met ons assessment advies te geven en helderheid te creëren. Zeker in het geval van een aanval staan wij met onze incident- en responsedienst altijd klaar, klant of geen klant.

Verzamel data om een goede beslissing te maken
Je kunt dus beter zelf automatische sprinklers en brandwerende deuren kopen en zelf de brand blussen dan een brandverzekering afsluiten? Scholten: ‘Niet per se, maar voordat je een goede beslissing kan maken of ze elkaar aanvullen, moet je de feiten in kaart hebben. Als je niet in kaart brengt wat je risico’s zijn, welke gevaren je financieel loopt en hoeveel het herstel kost, dan zal je nooit weten of je de juiste keuze hebt gemaakt.’

Auteur: Anne van den Berg

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024