Hoe worden cybersecurity-investeringen een business-beslissing?

Het is al een bekend verhaal, maar nog steeds actueel: beveiliging is geen technisch probleem, het is een keuze. “Maar de meeste organisaties behandelen het niet als zodanig," zegt Paul Proctor, Distinguished VP Analist bij Gartner. "Sterker nog, ze denken dat beveiliging een soort magie is en dat beveiligingsprofessionals een toverspreuk kunnen uitspreken om de organisatie te beschermen. Met andere woorden, ze begrijpen het niet. En omdat ze het niet begrijpen, ontstaat er een scheve verhouding in de manier waarop een organisatie beveiliging behandelt en erin investeert."

"De realiteit is dat je al je beschikbare budget aan bescherming kunt uitgeven en nog steeds morgen gehackt kunt worden. Dat komt omdat wij de hackers niet onder controle hebben. Wat we wél onder controle hebben, zijn onze investeringen. Je kunt meer geld uitgeven en beter beschermd zijn. Je kunt besparen en minder beschermd zijn. Maar tussen die twee uitersten bestaat geen perfecte bescherming. Je kunt je niet zomaar uit dit probleem kopen. Veel organisaties hebben dat geprobeerd."

Zakelijke waarde

Daarnaast, zegt hij, kun je het probleem niet negeren. "Dit is een cruciaal punt: je hebt klanten, aandeelhouders, regelgevers en partners die eisen dat je een bepaald niveau van bescherming biedt. De manier waarop we dat nu aanpakken, is door ons blind te staren op compliance. We krijgen een lijst van zaken die we moeten kopen, en vervolgens schaffen we die aan. En dan vragen we ons af waarom we nog steeds gehackt worden.”

"Het probleem is dat CISO's en CIO's de zakelijke waarde van een beveiligingsinvestering niet kunnen uitleggen aan hun Chief Financial Officer. En juist daardoor kunnen we geen volwassen gesprek voeren over cybersecurity-investeringen die worden geleid door zakelijke overwegingen."

Om dit gesprek te vergemakkelijken, heeft Gartner zogenaamde "outcome-driven metrics" ontwikkeld. "Een outcome-driven metric meet hoe goed een organisatie daadwerkelijk beschermd is. We meten nu de verkeerde dingen, en compliance dwingt ons om steeds meer technologie aan te schaffen. Dus moeten we de vraag stellen: hoe maken we die keuze mogelijk? Wat we daarvoor nodig hebben, is de juiste manier van meten."

Patching

Hij neemt patching als voorbeeld. "De outcome-driven metric voor patching—die een beschermingsniveau weerspiegelt—is de patchingfrequentie. Of, eenvoudiger gezegd: het aantal dagen dat het duurt om kritieke systemen met kritieke patches te updaten. Het is een continue meting. Organisaties geven elke dag enorme bedragen uit aan patching, maar het cijfer dat echt telt is: hoe snel patchen we kritieke systemen? De dag dat een patch beschikbaar komt, hoe lang duurt het dan voordat we deze hebben geïmplementeerd?"

"Ik leg dit als volgt uit aan CEO’s: wanneer je telefoon een melding geeft dat er een update nodig is, kan die update belangrijk zijn voor je beveiliging. Zit je in een vergadering, dan installeer je hem waarschijnlijk niet meteen. Maar als je het niet na die vergadering doet, of die dag, of de dag erna, of zelfs pas volgende week, dan verleng je de tijd waarin hackers toegang kunnen krijgen tot je telefoon. Wat is dus de enige factor die bepaalt hoeveel risico de CEO loopt? Het aantal dagen dat het duurt voordat hij die ene update installeert. Dit is een microvoorbeeld van het bredere probleem."

"Patching binnen een grote onderneming werkt precies hetzelfde, alleen is het vele malen complexer en duurder dan een CEO die op ‘update’ drukt op zijn telefoon. De vraag die een CEO aan de CIO zou moeten stellen, is dan ook: Hoe snel patchen wij onze systemen? Hoe lang laten we onze systemen openstaan voor hackers? Dit zorgt voor een compleet nieuw gesprek."

CIO

“Vanuit het perspectief van de CIO is al het geld dat aan patching wordt besteed bedoeld om één doel te bereiken: het verminderen van de tijd waarin een kwetsbaarheid kan worden uitgebuit. Alle middelen—het budget, de mensen, de processen en de technologie—zijn gericht op het realiseren van dat ene doel. Door die specifieke uitkomst te meten, weten we niet alleen wat we hebben bereikt in termen van bescherming, maar krijgen we ook inzichten voor toekomstige investeringsbeslissingen. Het komt uiteindelijk neer op het afwegen van beschermingsniveaus en kosten. En dat is precies wat nodig is om cybersecurity als een zakelijke beslissing te behandelen."

Het vaststellen van deze outcome-driven metrics vereist een verandering in de manier van denken binnen de organisatie. "Ten eerste moeten we de juiste meetmethoden implementeren. Ten tweede verandert dit de governance—de manier waarop we beslissingen nemen. En ten derde moeten we onze manier van denken aanpassen. Dit is een fundamentele verschuiving. We noemen dit de ‘executive narrative’. Dat is hoe zakelijke besluitvorming werkt."

Besparen

"We zeggen al twintig jaar dat we een balans moeten vinden tussen bescherming en bedrijfsvoering. Maar op dit moment hebben we nog niet de juiste middelen om die balans écht te creëren. Het idee achter de outcome-driven aanpak is dat deze metrics het beschermingsniveau meten. En die beschermingsniveaus maken het mogelijk om een bewuste afweging te maken tussen bescherming en kosten. Dit verandert de manier waarop we beslissingen nemen."

"Uiteindelijk betekent het dat ik als CIO met de directie afstem dat we een patchingtermijn van bijvoorbeeld dertig dagen hanteren en daar een miljoen euro aan uitgeven. Dit operationaliseert de waarde van cybersecurity. Ik ben dan verantwoordelijk voor het behalen van dat doel. En dat heeft een belangrijk effect: wanneer ik kan aantonen dat ik 30-daags patchen kan realiseren voor een miljoen euro, kan de CFO volgend jaar vragen: ‘Kun je het voor 800.000 euro doen?’ Op dat moment hebben we cybersecurity als een operationele waarde verankerd. De bescherming blijft hetzelfde, maar we besparen geld."