Nieuw economisch model helpt bedrijven om slimmer te investeren in de bescherming van hun organisatie

1433938217317

Juniper Networks en RAND Corporation publiceren een uitgebreid onderzoeksrapport. Dit biedt nieuwe inzichten in de economische uitdagingen, afwegingen en eisen waarmee bedrijven te maken krijgen in de strijd tegen steeds complexere cyberbedreigingen. 

Volgens de economische en beveiligingsexperts van RAND hebben chief information security officers (CISO’s) te maken met een uiterst chaotisch beveiligingslandschap. Ze hebben hierdoor moeite met het identificeren van de meest effectieve en kostenefficiënte manieren om beveiligingsrisico’s te beheren. Een verontrustende bevinding is dat veel bedrijven steeds meer geld uitgeven aan beveiligingsoplossingen, zonder er vertrouwen in te hebben dat deze hun infrastructuur daadwerkelijk veiliger maken.

Volgens Juniper Networks is dit te wijten aan het gebrek aan een effectieve methode voor het berekenen van de kosten van investeringen in beveiligingsoplossingen en –personeel. Daarbij komen ook de potentiële kosten van gegevenslekken, die per definitie onzeker en onvoorspelbaar zijn. CISO’s hebben behoefte aan een betere manier om inzicht te krijgen in de belangrijkste variabelen die van invloed zijn op de kosten van ICT-beveiliging. Ook zijn zij graag op de hoogte van de opties die tot hun beschikking staan om hun organisatie te beschermen. Om hierin te voorzien ontwikkelde RAND een economisch model dat voor het eerst de factoren en beslissingen in kaart brengt die op de beveiligingskosten van invloed zijn. Dit model wordt uiteengezet in “The Defender’s Dilemma: Charting a Course Toward Cybersecurity”, het nieuwe onderzoeksrapport in een tweedelige reeks.

De zakelijke kosten van het beheer van cybersecurity-risico’s zullen volgens het model van RAND de komende 10 jaar met 38 procent toenemen. Juniper Networks is van mening dat het tijd is voor bedrijven om hun beveiliging en risicobeheer als een bedrijfsactiviteit te benaderen. Net zoals als de modellen voor het realiseren van strategische marketing- en verkoopdoelstellingen, hebben beveiligingsteams behoefte aan een methode die hen meer inzicht biedt. Dit helpt ze om de economische aspecten van het beheer van beveiligingsrisico’s, de variabelen die daar een rol bij spelen en de investeringen die ze moeten doen om hun ICT-infrastructuur beter te begrijpen en effectiever te beschermen.

Juniper Networks geeft vijf kernfactoren waarmee bedrijven volgens het model van RAND rekening moeten houden bij het optimaliseren van hun beveiliging:

  • Veel beveiligingsoplossingen verouderen snel en nemen daardoor in waarde af: Cybercriminelen ontwikkelen voortdurend andere manieren om nieuwe detectietechnieken zoals sandboxing en antivirustechnologieën te kunnen omzeilen. Bedrijven moeten hierdoor steeds meer geld aan beveiligingsoplossingen uitgeven om het bestaande beschermingsniveau op peil te houden. De effectiviteit van technologieën die vatbaar zijn voor tegenmaatregelen, neemt volgens het model van RAND over een periode van tien jaar met 65 procent af. De kosten die bedrijven hieraan uitgeven, in verhouding tot de totale beveiligingskosten stijgt daarmee met 16,2 procent tussen het eerste en tiende jaar. Bedrijven moeten daarom investeren in oplossingen die minder vatbaar zijn voor tegenmaatregelen. Het is daarnaast zaak om zich te focussen op het automatiseren en stroomlijnen van het beveiligingsbeheer en het afdwingen van beleidsregels binnen het bedrijfsnetwerk.
  • Investeren in het personeel zorgt voor kostenbesparingen op de lange termijn: Bedrijven hebben veel baat bij mensgerichte investeringen in de beveiliging, zoals technologieën voor het automatiseren van het beveiligingsbeheer en –processen. Dit lijkt misschien tegenstrijdig, maar deze automatisering leidt tot het vrijmaken van personeel voor activiteiten waar hun talent beter wordt benut. Daarnaast loont het wanneer bedrijven ook investeren in geavanceerde beveiligingstraining voor het hele personeel en het inhuren van meer beveiligingsprofessionals. Volgens het model van RAND zijn organisaties met uiterst effectieve beveiligingsmechanismen en –medewerkers in staat om de kosten van het beheer van cyberrisico’s in het eerste jaar met 19 procent terug te dringen en met 28 procent in het tiende jaar.
  • Er bestaat geen universele aanpak: De kans is groot dat bedrijven niet de optimale strategie hanteren voor hun investeringen in cyberbeveiliging. Deze strategieën zijn onder meer afhankelijk van de bedrijfsomvang, het type bedrijfsinformatie en de effectiviteit van het beveiligingspersoneel. Volgens het onderzoek van RAND hebben kleine tot middelgrote bedrijven het meeste baat bij basistools en –beleidsregels. Terwijl grote ondernemingen en prominente doelwitten behoefte hebben aan een compleet spectrum van beleidsregels en –tools, gezien het verhoogde risico op aanvallen.
  • The Internet of Things (IoT) stelt bedrijven voor een dilemma: Volgens RAND zal IoT van invloed zijn op de totale beveiligingskosten. Het is echter onduidelijk of dit een positieve of negatieve invloed zal zijn. Bedrijven die de juiste beveiligingstechnologieën en beheertechnieken op IoT toepassen, zouden op de lange duur zelfs kostenbesparingen kunnen realiseren. Bij bedrijven die hier geen aandacht aan besteden, kan de financiële schade als gevolg van cyberaanvallen de komende 10 jaar met 30 procent toenemen.
  • Het verhelpen van kwetsbaarheden in software levert forse kostenbesparingen op: Volgens het model van RAND is het grote aantal kwetsbaarheden in bedrijfsapplicaties en –systemen een van de belangrijkste factoren van hoge beveiligingskosten. Als het aantal kwetsbaarheden in software kan worden gehalveerd, zullen de totale beveiligingskosten volgens het model met 25 procent afnemen. Bedrijven moeten de beveiliging van de applicaties die zij gebruiken kritisch onder de loep nemen en betere beveiligingstests en patching van de softwareleveranciers moeten eisen.

Om het economische model van RAND tot leven te brengen introduceert Juniper Networks een nieuwe interactieve tool. Deze tool biedt bedrijven een richtlijn voor het effectief investeren van hun tijd en geld. Het model geeft inzicht in de belangrijkste gebieden waar zij controle op kunnen uitoefenen om de potentiële kosten terug te dringen.

Het rapport ‘The Defender’s Dilemma: Charting a Course Toward Cybersecurity’ is samengesteld door Martin Libicki, Lillian Ablon en Timothy Webb, beveiligingsexperts bij RAND Corporation. Het rapport is gebaseerd op diepte-interviews met CISO’s over het huidige en toekomstige bedreigingslandschap. Deze interviews werden tussen oktober 2013 en augustus 2014 afgenomen. Het rapport bouwt voort op de bevindingen van het eerste rapport in de tweedelige, door Juniper Networks gefinancierde onderzoeksreeks, ‘Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar’. Dit rapport biedt een overzicht van de economische beweegredenen van aanvallers en de geraffineerde ondergrondse zwarte markt die zij in het leven hebben geroepen om hun slagkracht te vergroten.

 
Meer over
Lees ook
Kaspersky publiceert eerste Transparency Report

Kaspersky publiceert eerste Transparency Report

Kaspersky zet zich in voor meer transparantie en heeft informatie openbaar gemaakt over verzoeken die het heeft ontvangen van overheids- en wetshandhavingsinstanties en gebruikers om gegevens en technische expertise in 2020 en het eerste halfjaar van 2021.

Proofpoint Human Factor-rapport over het huidige dreigingslandschap

Proofpoint Human Factor-rapport over het huidige dreigingslandschap

Proofpoint presenteert zijn jaarlijkse Human Factor-rapport. Hierin zijn de drie belangrijkste aspecten van gebruikersrisico's (kwetsbaarheid, aanvallen en privileges) uitvoerig geanalyseerd. Daarnaast beschrijft het rapport hoe de gebeurtenissen van 2020 het huidige dreigingslandschap hebben veranderd

Cisco Global Networking Trends Report 2021: van continuïteit naar veerkracht

Cisco Global Networking Trends Report 2021: van continuïteit naar veerkracht

Het Cisco Global Networking Trends Report 2021 ziet een hernieuwde nadruk op IT-flexibiliteit als belangrijkste algemene trend om de veerkracht van het bedrijf te vergroten. In tegenstelling tot de huidige inspanningen op het gebied van bedrijfscontinuïteit, hebben organisaties veerkracht nodig om goed te kunnen inspelen op onvoorziene en ingrijpe1