Volgens RAND zullen de zakelijke kosten van het beheer van cybersecurity-risico’s de komende tien jaar met 38% toenemen. Het is tijd voor bedrijven om hun beveiliging en risicobeheer als een bedrijfsactiviteit te benaderen. Net zoals de modellen voor het realiseren van strategische marketing- en verkoopdoelstellingen, wordt het tijd dat er een methode komt die inzicht biedt in de uitgaven voor ICT-beveiliging.
Midden- en kleinbedrijf
Juniper Networks heeft op basis van het door RAND ontwikkelde model een interactieve tool ontwikkelt, die ondernemers direct inzicht biedt waar zij tijd en geld in moeten stoppen. “Het mkb heeft niet zoveel applicaties nodig en heeft ook minder computers, dus het gaat daar meer om de vraag ‘waar loop ik het grootste risico’?”, zegt Nico Siebelink van Juniper Networks. “Voor een kleine ondernemer draait het om de vraag: welke waarde moet ik verdedigen? Is dat de klant, is dat de reputatie van het bedrijf of zijn dat de contacten met grotere organisaties?”
5 kernfactoren
Juniper Networks heeft op basis van het model van RAND vijf kernfactoren geformuleerd, waarmee bedrijven bij de optimalisatie van hun beveiliging rekening moeten houden.
- Beveiligingsoplossingen verouderen snel en nemen daardoor in waarde af
Cybercriminelen ontwikkelen voortdurend andere manieren om nieuwe detectietechnieken zoals sandboxing en antivirustechnologieën te kunnen omzeilen. Bedrijven moeten hierdoor steeds meer geld aan beveiligingsoplossingen uitgeven om het bestaande beschermingsniveau op peil te houden. De effectiviteit van technologieën die vatbaar zijn voor tegenmaatregelen, neemt volgens het model van RAND over een periode van tien jaar met 65 procent af. In verhouding tot de totale beveiligingskosten stijgen die kosten met 16,2 procent tussen tussen het eerste en tiende jaar. Bedrijven moeten daarom investeren in oplossingen die minder vatbaar zijn voor tegenmaatregelen. Het is daarnaast zaak om te focussen op het automatiseren en stroomlijnen van het beveiligingsbeheer en het afdwingen van beleidsregels binnen het bedrijfsnetwerk.
- Investeren in personeel levert op lange termijn kostenbesparingen op
Bedrijven hebben veel baat bij mensgerichte investeringen in de beveiliging, zoals technologieën voor het automatiseren van het beveiligingsbeheer en –processen. Dit lijkt misschien tegenstrijdig, maar deze automatisering leidt tot het vrijmaken van personeel voor activiteiten waar hun talent beter wordt benut. Daarnaast loont het wanneer bedrijven ook investeren in geavanceerde beveiligingstraining voor het hele personeel en het inhuren van meer beveiligingsprofessionals. Volgens het model van RAND zijn organisaties met uiterst effectieve beveiligingsmechanismen en –medewerkers in staat om de kosten van het beheer van cyberrisico’s in het eerste jaar met 19 procent terug te dringen en met 28 procent in het tiende jaar.
- Mkb heeft meeste baat bij basistools en -beleidsregels
De kans is groot dat bedrijven niet de optimale strategie hanteren voor hun investeringen in cyberbeveiliging. Deze strategieën zijn onder meer afhankelijk van de bedrijfsomvang, het type bedrijfsinformatie en de effectiviteit van het beveiligingspersoneel. Volgens het onderzoek van RAND hebben kleine tot middelgrote bedrijven het meeste baat bij basistools en –beleidsregels. Terwijl grote ondernemingen en prominente doelwitten behoefte hebben aan een compleet spectrum van beleidsregels en –tools, gezien het verhoogde risico op aanvallen. - The Internet of Things (IoT) stelt bedrijven voor een dilemma
Volgens RAND zal IoT van invloed zijn op de totale beveiligingskosten. Het is echter onduidelijk of dit een positieve of negatieve invloed zal zijn. Bedrijven die de juiste beveiligingstechnologieën en beheertechnieken op IoT toepassen, zouden op de lange duur zelfs kostenbesparingen kunnen realiseren. Bij bedrijven die hier geen aandacht aan besteden, kan de financiële schade als gevolg van cyberaanvallen de komende 10 jaar met 30 procent toenemen. - Verhelpen van kwetsbaarheden in software levert 25% kostenbesparingen op
Volgens het model van RAND is het grote aantal kwetsbaarheden in bedrijfsapplicaties en –systemen een van de belangrijkste factoren van hoge beveiligingskosten. Als het aantal kwetsbaarheden in software kan worden gehalveerd, zullen de totale beveiligingskosten volgens het model met 25 procent afnemen. Bedrijven moeten de beveiliging van de applicaties die zij gebruiken kritisch onder de loep nemen en betere beveiligingstests en patching van de softwareleveranciers eisen.
Interactieve tool
Om het economische model van RAND tot leven te brengen introduceert Juniper Networks een nieuwe interactieve tool. Deze tool biedt bedrijven een richtlijn voor het effectief investeren van hun tijd en geld. Het model geeft inzicht in de belangrijkste gebieden waar zij controle op kunnen uitoefenen om de potentiële kosten terug te dringen.
Directe toegang tot de interactieve tool »
(Engelstalig, gebruikstijd: max. 5 minuten) Je krijgt meteen het resultaat te zien (voorbeeld hieronder):