Je leest de afgelopen tijd steeds vaker over de Return on Investment (ROI) van cybersecuritymaatregelen. Logisch, want technologie-aanbieders willen cybersecurity niet positioneren als een kostenpost zonder opbrengsten. Maar hoe zuiver is die discussie eigenlijk?
Return on investment is van oorsprong een economisch begrip. Je investeert een bedrag, en wil graag weten of de return positief uitpakt. Wanneer een nieuwe productielijn voor kunststoffen 15 miljoen kost, en je die binnen vier jaar terugverdient, dan is dat waarschijnlijk een goede beslissing.
De return van cyberinvesteringen is het verkleinen van de kans dat je geconfronteerd wordt met potentieel desastreuze schadeposten.
Bij cybersecurity investeringen zijn de kosten keihard te specificeren, maar is de opbrengst minder eenvoudig vast te stellen. Dat komt omdat de opbrengst voor een belangrijk deel wordt uitgedrukt in het voorkomen van schade door ransomware, datadiefstal of sabotage. Door allerlei internationale onderzoeken weten we inmiddels steeds beter wat de financiële impact is van een cyberincident, zelfs per bedrijfstak. Die loopt uiteen van tonnen tot tientallen miljoenen.
Een opbrengst die je niet kunt zien of aanraken?
De return van cyberinvesteringen is dus het verkleinen van de kans dat je geconfronteerd wordt met potentieel desastreuze schadeposten. De combinatie van een statistische kans en de return dat iets niet gebeurt voelt compleet anders dan de winstgevendheid van een nieuwe productielijn, die tastbare goederen produceert.
Cyberinvesteringen lijken deels verwant met bedrijfsverzekeringen, waarbij je ook gecalculeerd anticipeert op risico’s waarvan je de kans dat ze zich voordoen niet 100 procent kunt beïnvloeden (maar zonder up-to-date brandpreventie ben je onverantwoord bezig).
Een belangrijk ander aspect van cyberinvesteringen is dat ze praktisch gezien deels verplicht zijn, net zoals ARBO-maatregelen of emissiebeperkende technieken. Normen als ISO, NEN7510 of BIO zijn niet optioneel voor organisaties, en vragen investeringen, ongeacht de opbrengst.
‘Better security makes businesses run faster’
Het is dan ook geen wonder dat de cyberindustry de opbrengsten steeds vaker ook positief wil framen. “Better security makes businesses run faster”, zegt de CISO van de financiële gigant Charles Schwab. Wie het snelst op de markt kan komen met een innovatieve app die state-of-the-art beveiligd is kan kostbaar marktaandeel winnen.
Wie effectieve cybersecuritymaatregelen gelijk op kan laten lopen met broodnodige digitale transformaties in primaire processen, kan voor blijven lopen op de concurrentie. Maar ook hier geldt: het is niet eenvoudig om op die bijdrage van cybersecurity een bedrag te plakken en dus de ROI-rekensom te maken.
Tasten we dan helemaal in het duister en is cybersecurity een bodemloze put zonder concrete opbrengsten?
Tasten we dan helemaal in het duister en is cybersecurity een bodemloze put zonder concrete opbrengsten? Gelukkig niet, en er zijn veel praktische aanknopingspunten om intern een goede ROI-discussie te voeren in bestuurs- of directiekamers.
De procentuele hoogte van cybersecurity-budgetten van met jou vergelijkbare organisaties kan een goed startpunt zijn. Eén ander gegeven staat ook als een paal boven water: niets doen is geen optie, want dan ben je binnen dagen of zelfs uren het slachtoffer van een cyberaanval.
Je zult dus een relatie moeten leggen tussen investeringen en het maximaal verkleinen van het risico en de impact van een cyberaanval. Dat is de belangrijkste opbrengst in de ROI-discussie. Een cyberstrategie als Zero Trust kan je helpen om risico en impact aantoonbaar te verkleinen, kijk bijvoorbeeld naar de meest recente IBM en Ponemon studie over de financiële impact van Zero Trust.
ZERO TRUST DICTIONARY
In deze toonaangevende guide voor Zero Trust-terminologie behandelen we de volgende onderwerpen: