Hoeveel geld moet je investeren in cybersecurity?
Blog
Investeren in cybersecurity
Er zijn dit jaar twee nieuwe firewalls nodig van een A-merk en het contract voor de antivirus loopt af. Zijn er nog meer fancy cybersecuritytools beschikbaar? Ja, die hebben wij ook nodig! Zet die ook maar op de lijst. En die security awareness-training kan wel op het budget van HR. Hoppa, begroting gereed. Zo kunnen we weer een jaar vooruit en zeggen dat we veilig zijn… toch?Helaas gaat het bij veel organisaties nog op deze manier in zijn werk. De directie geeft een taakstellend budget af voor cybersecurity en vraagt aan IT wat er nodig is. Die op hun beurt gaan shoppen. De TCO stapelt alleen maar op, net als het gevoel van schijnveiligheid.
Het is te vergelijken met het hebben van een enorm en luxe slot op je voordeur, maar ook de mogelijkheid om met de ladder – die open in je achtertuin ligt – zo via de open badkamerraam naar binnen te klimmen. Gegarandeerd dat je belangrijkste bezittingen alsnog gestolen worden. En ook dat mooie camerasysteem in je hal – waarvan je de beelden één keer per dag terugkijkt – blijkt helaas geen functie te hebben.
Risk assessment and roadmap
Er moet dus echt iets veranderen, maar wat? Het is belangrijk om te beginnen met dit probleem op een andere manier te benaderen. Breng in kaart wat echt belangrijk is voor de organisatie. Kijk vanuit een business perspectief naar de primaire bedrijfsprocessen en inventariseer vervolgens welke informatiesystemen deze processen ondersteunen. Waar word je het hardst geraakt?
Wanneer je de risico’s met de grootste impact op een rij hebt, is het belangrijk om een scan uit te laten voeren op de plek waar je het meest kwetsbaar bent. Met het hebben van deze inzichten ben je in staat om de gevolgschade te taxeren in het geval een risico zich voordoet. Door de kosten van de noodzakelijke maatregelen ertegenover te zetten heb je een business case, wat je als leidraad kunt gebruiken om je investeringen te onderbouwen aan de directie en het bestuur.
Kies je strijd in cybersecurity
Natuurlijk kun je niet alles tegelijk aanpakken. Door je risico’s inzichtelijk te maken, weet je waar je prioriteiten liggen. Zet ze op volgorde in de tijd en maak op die manier een roadmap precies op jouw organisatie afgestemd. Dat maakt het transparant, voorspelbaar en bestuurbaar. En dit is belangrijk, want bijna dagelijks zien we voorbeelden voorbijkomen in de pers. E-commerce-bedrijven waar creditcardgegevens van klanten worden ontvreemd, datalekken van patiëntgegevens bij zorginstellingen, complete productiestraten die stilliggen als gevolg van een aanval.
Cybersecurity is allang geen IT-feestje meer. Cybercriminaliteit is de snelst groeiende sector in de digitale economie. Dus kijk naar je business risico’s, richt je investeringen op wat echt belangrijk is en ga beleidsmatig en planmatig te werk!
Auteur: Marcel Schipper
Marcel Schipper is Commercial Lead bij Telindus Security. Marcel begeleidt organisaties met het verbinden van hun business doelen met innovatieve IT-toepassingen en een veilige bedrijfsvoering. Met een achtergrond in Bedrijfskundige Informatica en een brede expertise in business consultancy, cloud, managed services en cybersecurity, heeft Marcel de juiste kennis in huis. In zijn lange loopbaan heeft hij ervaring opgedaan in onder andere de zorgsector, e-commerce, zakelijke dienstverlening en industrie.