De toegevoegde waarde van de digitale transformatie is evident. Organisaties ontwikkelen nieuwe business modellen, leveren een betere klantervaring en stroomlijnen bedrijfsprocessen. Dat wil niet zeggen dat de digitale organisatie een zorgeloos bestaan tegemoet gaat. Nu devices, sensoren, machines en mensen meer dan ooit met elkaar verbonden zijn, komt netwerkbeveiliging onder druk te staan. Breng daarom de ROI en de risico’s van je huidige securitybeleid in kaart zodat je in staat bent gerichtere en effectievere maatregelen te nemen
De digitale transformatie zorgt er onder andere voor dat de connectiviteit met derden fors toeneemt. Organisaties werken samen met partners en klanten op verschillende niveaus en in uiteenlopende bedrijfsprocessen. Het aantal access points, waar data de organisatie inkomt en uitgaat, wordt aanzienlijk uitgebreid. Het gebied waarop een aanval kan plaatsvinden neemt navenant toe. Daar komt bij dat het lastig is inzicht te krijgen in de securitymaatregelen die partners hebben genomen. Dit is bijvoorbeeld in de supply chain het geval. Denk in dit opzicht ook aan enterprise applicaties en data die in een cloud-omgeving van een derde partij worden gehost. Hoe kijkt deze service provider aan tegen de business component van security? Zo zijn er dus tal van onzekerheden die zorgen voor verhoogde risico’s dat bedrijfsinformatie op verkeerde wijze gebruikt of ontvreemd wordt. Hoe hou je deze situatie beheersbaar?
Externe en interne bedreigingen
Om deze vraag te beantwoorden is het goed te weten hoe systemen en informatie nu veelal beveiligd worden. Informatie is het fundament van elke organisatie, ongeacht de industrie. Vooral in het digitale tijdperk. Het ondersteunt alle elementen van een organisatie en is zo bepalend voor het realiseren van doelstellingen. Deze informatie wordt verwerkt en opgeslagen in IT-systemen en wordt continu aangevallen. Externe maar ook interne bedreigingen in combinatie met kwetsbaarheden in de technologische infrastructuur leiden onherroepelijk tot risico’s voor de business. IDC heeft een whitepaper gewijd aan het in kaart brengen van de risico’s en de ROI van beveiligingsmaatregelen en -beleid. Hierin speelt het Verizon Risk Report, waarin onder andere securitybedreigingen vertaald worden naar een zakelijke context, een belangrijke rol.
Gevolgen voor de business
Beveiliging van informatiesystemen is lang afhankelijk geweest van twee vragen:
- Hoeveel is een organisatie bereid te besteden aan beveiliging?
- Hoe effectief zijn de tools die zij inzetten tegen steeds veranderende cyberdreigingen?
Tegenwoordig begrijpen organisaties het ‘hoe’ van het beveiligen van informatiesystemen. Wat ze niet (willen) begrijpen is waarom zij deze moeten beveiligen vanuit het oogpunt van bedrijfsrisico’s. Om weloverwogen beslissingen te nemen in het kader van risicobeheersing en beveiligingsuitgaven, is het cruciaal om inzicht te krijgen in de effectiviteit van de beveiligingsarchitectuur, het dreigingslandschap en bestaande kwetsbaarheden. Deze wetenschap moet je kunnen afzetten tegen de gevolgen voor de business. Het vervangen van de smartphones van het complete team field service engineers kost je misschien 40.000 euro. Daar staat tegenover dat je moet berekenen wat de gevolgen zijn wanneer kwetsbaarheden van de oude smartphone door cyberaanvallers worden uitgebuit. De oude smartphone werkt wellicht alleen maar op een oudere versie van een operating systeem waardoor sommige apps kwetsbaar worden. Wat zijn de gevolgen:
- Wat kost het je als dit zwakke punt in je infrastructuur wordt geëxploiteerd?
- Hoeveel omzet loop je mis?
- Wat is je reputatieschade?
- Moet je boetes betalen aan privacywaakhonden?
Als je al deze cijfers in kaart brengt, dan besef je al snel dat die fictieve 40.000 euro voor nieuwe smartphones heel snel wordt terugverdiend. Er zijn echter maar weinig organisaties die zo naar het beveiligingsvraagstuk kijken. En juist nu de complexiteit van de infrastructuur toeneemt door de digitale transformatie, zorgt deze aanpak ervoor dat security beheersbaar blijft. Dan kom je namelijk te weten welke onderdelen van je netwerk bedrijfskritisch zijn en dus hoge investeringen gerechtvaardigd zijn. Maar je weet ook waar de risico’s relatief klein zijn en je maatregelen kunt terugschroeven.
Tastbare resultaten
Er is dan ook behoefte aan een geïntegreerde, end-to-end analyse waarin enerzijds de harde investeringen in en resultaten van beveiligingsmaatregelen en anderzijds de ROI van deze investeringen zijn opgenomen. Dit is immers waar het management of de Raad van Bestuur op zit te wachten. Security wordt tot nog toe veel gezien als een kostenpost, noodzakelijk kwaad. Met een geïntegreerde security en business analyse kun je juist tastbare resultaten laten zien van investeringen. Het probleem is dat de huidige generatie tools beperkt blijven tot scanners die het netwerk op kwetsbaarheden controleren, platforms die bedreigingen analyseren en snapshots die inzoomen op industriegebonden security issues. Op zichzelf allemaal handige tools, maar ze bieden niet dat geïntegreerde inzicht van alle security-aspecten in combinatie met de gevolgen of de winst voor de business.
Betrokkenheid en bewustzijn
Het IDC whitepaper ‘Gaining Visibility into Risk and the ROI of Your Security Program’ zet verschillende tools op een rij en benoemt in het bijzonder het Verizon Risk Report. Dit platform biedt geautomatiseerde, continue monitoring en analyse van de inspanningen van een organisatie ten aanzien van cyber security. Dit platform maakt het mogelijk de huidige maatregelen die gericht zijn op preventie te identificeren en te evalueren. Hiaten, zwakten en risico’s worden blootgelegd en getoond via een dashboard met dagelijkse updates en drill-downmogelijkheden. Er ontstaat een realtime inzicht in de risico’s gekoppeld aan de impact voor de business. Zo heeft het management de tastbare gegevens waar het op kan sturen. En zo heeft de CISO het dashboard waarmee hij de betrokkenheid en het bewustzijn bij het securityvraagstuk op de werkvloer naar een hoger plan tilt.
