Hoeveel moet een organisatie spenderen aan cybersecurity? Wat zijn de argumenten om extra budget vrij te maken voor deze belangrijke tak van sport, die je als onderneming maar beter onder de knie kunt hebben om problemen te voorkomen? Cybersecurity-dienstverlener Nixu heeft er een heldere visie op. Cybersecurity is in een nieuwe fase aangekomen, vindt Nixu. Hang er een verdienmodel aan!
Sinds een wereldwijde hack in 2017 in de Rotterdamse haven enkele grote containerterminals platgelegde, zal geen IT-manager het nog in zijn hoofd halen om het belang van cybersecurity te bagatelliseren. De schaamteloosheid waarmee cybercriminelen destijds huishielden in meerdere havens, droop er vanaf. Met een strak georganiseerde ransomware-aanval werden computersystemen ontmanteld, onder meer van de Deense containergigant Maersk, die twee grote terminals op de Maasvlakte bezit. Bij Maersk konden containerschepen niet laden en lossen. De hack kostte het bedrijf honderden miljoenen euro’s, wist NRC destijds te melden.
Gevalideerde businesscases
Kan zoiets ook bij ons gebeuren? Deze vraag wordt door cybersecurity-bedrijf Nixu met een weloverwogen ‘nee’ beantwoord. Er is namelijk veel geavanceerde technologie beschikbaar om hacks buiten de deur te houden. Maar er is wel een cultuuromslag nodig in organisaties, anders blijft het paniekvoetbal en zwalken organisaties van incident naar incident.
Cybercriminaliteit bij de wortel aanpakken vraagt volgens Nixu om meer bewustzijn van de risico’s bij het management. In de board wordt het nog te vaak gezien als een kostenpost. Het budget voor veiligheid moet volgens Nixu gerelateerd zijn aan het totale IT-budget. Dan kunnen er gevalideerde businesscases gebouwd worden, inclusief return on investment (ROI). Veiligheidsbeleid dat is uitgelijnd in de organisatie, met een meetbare ROI, meetbare investeringen en meetbare verbeteringen, betaalt zich onherroepelijk terug.
Nyenrode
Nixu heeft 400 specialisten in dienst en commerciële vestigingen in Finland, Zweden, Denemarken en Nederland (en een support-afdeling in Roemenië). In oktober 2019 voerde het bedrijf een onderzoek uit met Nyenrode Business University. CIO’s van enkele wereldwijd opererende Nederlandse organisaties in de industrie, retail, overheidssector en financiële dienstverlening werden ondervraagd over veiligheid, risico’s en bedrijfsvoering. Conclusie van het onderzoek? Cybersecurity kan een katalysator zijn voor ondernemingen omdat het gewoon een uniek verkoopargument is. Eigenlijk is dat heel logisch. Wie wil er nou zakendoen met, laten we zeggen, een internet-betaaldienst die zijn zaakjes niet op orde heeft?
Nixu helpt organisaties hun eigen ROI te berekenen. Voor specialist Thomas Wong is het dagelijkse kost. Wong werkt vanuit standplaats Kopenhagen samen met zijn klanten aan praktische oplossingen voor bedrijfscontinuïteit, gemakkelijke toegang voor digitale diensten en bevorderen van gegevensbescherming. Hij krijgt veel vragen over de mate waarin geïnvesteerd moet worden in cyberveiligheid. Wong: “Dat is altijd de discussie. Wij hebben geen klanten met ongelimiteerde budgetten, zo simpel is het. Hun geld kunnen ze maar één keer uitgeven. Daarom vraag ik hen altijd vooraf te beoordelen wat ze voor hun investering terug willen hebben. Die discussie wordt te weinig gevoerd in organisaties.”
Roadmap
Wong en zijn collega’s monitoren veiligheidsrisico’s binnen bedrijfsprocessen, dammen deze in en verhelpen ze waar nodig. Verder worden organisaties geholpen bij hun digitaliseringsproces en transformatie naar de cloud. Cybersecurity loopt als een rode draad door alles heen. De aanpak is pragmatisch. Op basis van de strategie, risicoanalyse en vereiste volwassenheid van de organisatie kan een roadmap worden opgesteld om doelstellingen en nieuwe mogelijkheden in kaart te brengen. De roadmap koerst op rentabiliteit. Naar mate de veiligheidsrisico’s naar beneden gaan, worden de contouren voor ROI langzaam maar zeker helder.
Wong maakt het niet ingewikkeld: “Mijn werk is eigenlijk heel simpel. Ik stel de juiste vragen. Waarom maak je een bepaalde keuze? Wat is je doel? Ligt je doel in lijn met de strategie van de organisatie? En waar steek je energie in? Ik constateer best vaak dat er veel energie wordt gestoken in de verkeerde dingen. Stel: het testen van een programma. ‘We moeten testen!’, hoor ik dan. Als ik vraag wat er gebeurt als het programma wordt getroffen door een hack, blijkt het niet zo’n ramp te zijn. Terwijl ondertussen de kroonjuwelen gevaar lopen. Dus ja, iedere beslissing over veiligheid moet geld opleveren, en iedere actie moet gebaseerd zijn op de juiste data.”
In deze whitepaper leggen we uit hoe u uw investeringen kunt optimaliseren en de resultaten kunt meten. Download de whitepaper.