Sharing IT Best Practices with youSharing IT Best Practices with you
ROI beveiliging
Elke zakelijke onderneming moet een positief rendement op de investering opleveren om levensvatbaar te zijn. Daarom is het vooraf kunnen berekenen van de opbrengst op investeringen, ofwel ROI, van groot belang geworden voor het bedrijfsleven.
Dit uitgangspunt is een groot probleem voor IT-beveiliging geworden. Veel ondernemingen vereisen ROI-modellen om aan te tonen dat een bepaalde beveiligingsinvestering zichzelf terugbetaalt. In een reactie daarop leveren verkopers ROI-modellen aan die aantonen waarom hun specifieke beveiligingsoplossing het beste rendement biedt.
Het is niet juist om te spreken over “ROI”, in een beveiligingscontext. Beveiliging is geen investering die, zoals een nieuw computersysteem of nieuwe software, iets opbrengt. Het is een uitgave die hopelijk voor kostenbesparingen zorgt. Beveiliging gaat over het voorkomen van verliezen, niet over het maken van winst. Je kunt het vergelijken met een verzekering.
Maar zoals iedereen die jaarbegrotingen opstelt weet je dat tegenover kosten altijd inkomsten moeten staan. Hoewel beveiliging geen ROI kan opleveren, heeft het voorkomen van verliezen wel zeker invloed op het resultaat van een onderneming.
En een bedrijf zou dus alleen beveiligingsmaatregelen moeten implementeren die het bedrijfsresultaat positief beïnvloeden. Je hoeft niet meer aan een beveiligingsoplossing uit te geven dan het probleem waard is. Omgekeerd moet je problemen niet negeren als je ze goedkoop kunt voorkomen. Een slimme onderneming moet de ICT beveiliging aanpakken, omdat dat het enige zakelijke alternatief is: kosten versus voordelen.
De klassieke rekenmethode heet “jaarlijkse verliesverwachting” en is eenvoudig te gebruiken. Bereken de kosten van een potentieel beveiligingsincident in zowel tijd als geld. Neem daarbij ook de immateriële vaste activa zoals reputatie en concurrentievoordeel in mee. Vermenigvuldig dat met de kans dat het incident zich in een jaar voordoet. Het antwoord geeft aan hoeveel je moet investeren om het risico te verkleinen.
Als je bijvoorbeeld een winkel hebt met een kans van 10 procent om beroofd te worden en de kosten van een beroving zijn € 10.000, dan moet je € 1.000 per jaar aan de beveiliging uitgeven. Geef je meer uit, dan verspil je geld. Geef je minder uit, dan verspil je ook geld.
Natuurlijk moet die € 1.000 de kans op berovingen verkleinen om kosteneffectief te zijn. Als een beveiligingsmaatregel de kans op overval met 40 procent vermindert – tot 6 procent per jaar – dan zou je er niet meer dan 400 Euro aan moeten besteden. Een andere beveiligingsmaatregel, die de kans met 80 procent vermindert, is dan € 800 waard. Als twee beveiligingsmaatregelen beide de kans om beroofd te worden met 50 procent verminderen en één kost 300 euro en de andere 700 euro, dan is de eerste de moeite waard maar de tweede is dat niet.
De sleutel tot het maken van deze berekening is goede data. Als je een analyse uitvoert voor een beveiligingscamera in een supermarkt moet je eerst de criminaliteitscijfers in de buurt van de winkel kennen. Je moet een idee hebben hoeveel camera’s je nodig hebt om criminelen er van te overtuigen dat het beter is om een andere winkel te beroven. Je moet weten hoeveel een overval je kost: aan de goederen, aan tijd en ergernis, aan misgelopen verkoop, aan het moraal van de medewerkers.
Ook moet je weten hoeveel de camera’s kosten ten opzichte van het medewerkers moraal. Tevens moet je de alternatieven moet je in kaart brengen. Misschien is het verstandiger om de winkel ’s avonds te sluiten. Met al die gegevens kunt je achterhalen of de kosten van de camera lager zijn dan het inkomstenverlies als je de winkel ’s avonds sluit – ervan uitgaande dat een gesloten winkel niet wordt beroofd.
Omdat er niet genoeg goede data is, is zo’n berekening voor cybersecurity aanzienlijk moeilijker. Er zijn geen goede criminaliteitsgetallen voor cyberspace en we hebben veel minder gegevens over hoe individuele veiligheidsmaatregelen – of specifieke configuraties van tegenmaatregelen – die risico’s verminderen. We hebben zelfs geen gegevens over de kosten per incident.
Een van de problemen is dat cyberaanvallen vaak maar kort duren. Het is gebeurd voor je er erg in hebt. De data van incidenten die zich zo snel voordoen moet ook snel worden verzameld. Tegen de tijd dat we wat data krijgen, is er alweer een nieuwe bedreiging waarvoor we niet genoeg data hebben. Zo kunnen we geen ROI-berekeningen maken.
Er is nog een probleem, en dat is dat de berekeningen niet kloppen voor zeldzame incidenten en incidenten met hoge schades. Stel je voor dat de naam van je bedrijf in de krant komt na een ernstig cybersecurity-incident. De kosten – reputatiekosten, verlies van klanten, enz. – bedragen € 20 miljoen. Veronderstel ook dat de kans 1 op 10.000 per jaar is dat zoiets gebeurt. De formule zegt dan dat je niet meer dan € 2.000 mag uitgeven om dat risico aan te pakken.
Verder denkt je CFO misschien wel dat een dergelijk incident slechts 10 miljoen euro zou kosten. Je kunt niets bewijzen omdat jullie gewoon aan het schatten zijn. Hij halveert simpelweg je beveiligingsbudget. Aan de ander kant kan een medewerker een rapport vinden waarin wordt gesteld dat de kans op dit incident feitelijk 1 op 1.000 is. Als je dit nieuwe getal aanvaard dan mag de security oplossing plotseling 10 keer zo veel kosten en dan is het nog steeds een goede investering.
Het wordt erger wanneer je te maken krijgt met nog zeldzamere incidenten waarbij de schades nog hoger kunnen zijn. Stel je voor dat je verantwoordelijk bent voor de terrorismebestrijding bij een chloorfabriek. Wat zijn de kosten dan voor je bedrijf bij een grote en zeer dodelijke explosie? 100 miljoen euro? 1 miljard euro? 10 miljard euro? En de kans: 1 op honderdduizend, 1 in een miljoen keer, 1 op 10 miljoen? Afhankelijk van het beantwoord op deze vragen – en elk antwoord is eigenlijk een gok – mag je elk jaar ongeveer 10 tot 100.000 euro uitgeven om dat risico te verminderen.
Een ander voorbeeld: De veiligheid van een vliegveld. Stel dat alle nieuwe veiligheidsmaatregelen van het vliegveld de wachttijd bij de gate met 30 minuten per passagier verhogen. Dan betekent dat wachttijd bij op het vliegveld ons gezamenlijk 10 duizenden jaren aan extra wachttijd gaat kosten. Met een levensverwachting van 80 jaar en de verhoogde wachttijd kost dit meer dan 500 mensenlevens per jaar. De vraag is dus of de verhoogde beveiliging op het vliegveld niet meer mensenlevens kost dan terrorisme? Het medicijn is erger dan de kwaal!
Deze voorbeelden tonen aan dat de meeste ROI-modellen die je van security verkopers krijgt nonsens zijn. Natuurlijk tonen ze aan dat hun product of dienst financieel zinvol is: ze hebben de cijfers daarvoor wel op een rij.
Dit betekent niet dat security analyses nutteloos zijn, maar het betekent dat je:
1. Cijfers die afkomstig zijn van mensen met een verkoopagenda moet wantrouwen en
2. De cijfers alleen als algemene richtlijn moet gebruiken.
Dus als je een ROI-model van je leverancier krijgt, vul dan de cijfers van je eigen bedrijf en omgeving in. Gebruik de uitkomsten als een algemene handleiding en beslis samen met de risicobeheerder welke beveiligingsproducten en diensten je wil kopen.
Dit artikel verscheen eerder in CSO Magazine.
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.