Het is niet langer voldoende om alleen te vertrouwen op elkaar om niet te maken te krijgen met cybersecurity incidenten – of nog erger: ransomware. Voor veel IT- en security personeel is het duidelijk: er moet geïnvesteerd worden in cybersecurity om veilig te werken, vertrouwen van klanten en leveranciers te winnen en grote incidenten te voorkomen. Het is de verantwoordelijkheid van het interne IT- en security team om de veiligheid van de organisatie te waarborgen, van het beschermen van gevoelige gegevens tot het waarborgen van de continuïteit van de operationele systemen. Maar hoe overtuig je het management om de nodige investeringen te doen in cybersecurity?
Een tekort aan een adequaat cybersecuritybeleid brengt aanzienlijke risico’s met zich mee voor organisaties. Allereerst is er het potentieel verlies van gevoelige gegevens. Dit kan niet alleen financiële gevolgen hebben doordat bijvoorbeeld werkzaamheden niet uitgevoerd kunnen worden, maar dit kan ook leiden tot reputatieschade en het verlies van het vertrouwen van klanten en partners. Als klantgegevens op straat belanden, zijn de klanten hier uiteraard niet blij mee. Daarnaast kunnen aanvallen de operationele continuïteit ernstig verstoren, met aanzienlijke productiviteitsverliezen tot gevolg. Denk aan personeel dat niet kan werken doordat bepaalde systemen offline zijn of aan data dat is versleuteld door ransomware, maar ook aan de kosten die gemoeid zijn met het herstellen van de organisatie. Deze risico’s zijn niet langer hypothetisch, maar vormen een reële dreiging die elke organisatie serieus moet nemen.
Om de urgentie van cybersecurityinvesteringen te benadrukken, is het nuttig om enkele recente voorbeelden van cyberaanvallen te bespreken. Denk bijvoorbeeld aan een ransomware-aanval op Anthura, zoals CW Greenport eerder schreef. Belangrijke gegevens werden ontoegankelijk gemaakt totdat een aanzienlijk bedrag aan losgeld werd betaald. Ook de grootschalige datalekken bij gerenommeerde technologiebedrijven laten zien dat zelfs de meest geavanceerde organisaties niet immuun zijn voor cyberaanvallen. Door deze voorbeelden te analyseren, wordt duidelijk dat adequaat beveiligingsbeleid en investeringen in cybersecurity geen luxe, maar een noodzaak zijn. En ondanks dat dit grotere organisaties zijn die slachtoffer geworden zijn van kwaadwillenden, worden kleinere organisaties zeker niet gespaard.
Voordelen op de lange termijn: kostenbesparing door het voorkomen van aanvallen en incidenten
Investeren in cybersecurity mag dan wel een grote uitgave lijken, maar het vormt een solide investering in de toekomstige stabiliteit van een organisatie. De kosten omvatten niet alleen de implementatie van beveiligingsmaatregelen zoals firewalls, antivirussoftware en beveiligde netwerkinfrastructuren, maar ook het trainen van personeel en het opzetten van een management systeem om cybersecurity te beheren. Hoewel deze aanvankelijke uitgaven significant kunnen lijken, moeten ze worden gezien als een verdedigingslinie tegen mogelijke verliezen en schade als gevolg van cyberaanvallen. Volgens een recent onderzoek van IBM kosten cyberincidenten gemiddeld ruim €4 miljoen euro, waarbij een uitgebreide investering in cybersecurity gemiddeld nog geen 10% van de mogelijke schade kost. En aangezien de kans op een hack 1 op 5 is, lijkt het een zeer nuttige investering. Zeker wanneer dit vergeleken wordt met andere soorten incidenten: de kans op een bedrijfsbrand is 1 op 8.000, de kans op een bedrijfsinbraak 1 op 250.
Een adequaat beveiligingsbeleid biedt een organisatie de mogelijkheid om kosten te besparen op de lange termijn. Door potentiële aanvallen af te weren voordat ze schade kunnen aanrichten, worden dure hersteloperaties en het betalen van losgeld vermeden. Bovendien vermindert een robuuste cybersecurityinfrastructuur de kans op datalekken, waardoor de organisatie bespaart op juridische en regelgevende boetes die gepaard gaan met inbreuken op gegevensbeveiliging. Een proactieve benadering van cybersecurity biedt aanzienlijke voordelen ten opzichte van een reactieve aanpak. Door te investeren in geavanceerde beveiligingsoplossingen en het actief monitoren van bedreigingen, kan een organisatie potentiële aanvallen identificeren en afwenden voordat ze schade kunnen aanrichten. Dit staat in schril contrast met de reactieve benadering waarbij pas wordt ingegrepen nadat een aanval heeft plaatsgevonden. Proactieve maatregelen minimaliseren niet alleen de schade, maar verminderen ook de hersteltijd en -kosten.
Hoe kan cybersecurity het beste besproken worden met de directie?
Het presenteren van een overtuigend voorstel aan het management vereist een zorgvuldige voorbereiding en een duidelijke communicatiestrategie. Begin met het benadrukken van de dringende noodzaak van cybersecurityinvesteringen, gebaseerd op de informatie zoals onder andere hierboven te vinden. Leg uit hoe de voorgestelde maatregelen de organisatie zullen beschermen tegen mogelijke bedreigingen en financiële verliezen. Wees specifiek ook over de voordelen die de investeringen in cybersecurity met zich meebrengen. Uiteindelijk blijft het een uitgave en is het belangrijk dat de directie snapt welke voordelen het met zich meebrengt. Bespreek de verwachte ROI (return on investment), gebaseerd op meetbare indicatoren zoals kostenbesparingen en incidentvermindering. Gebruik ook concrete voorbeelden en case studies om de waarde van de voorgestelde maatregelen te onderstrepen. Het is belangrijk om voorbereid te zijn op mogelijke bezwaren of vragen van het management. Anticipeer op zorgen over kosten, implementatietijd en potentiële verstoring van operationele processen. Bied gedegen oplossingen en benadruk hoe de voorgestelde investeringen op lange termijn de organisatie zullen versterken en beschermen.
Eerder schreef CW Greenport een artikel met handige tips om cybersecurity met de directie te spreken. Dit kan gebruikt worden om meer budget te vragen voor het investeren in cybersecurity, waarmee alle organisaties een stuk veiliger worden.