Als er een maand lang geen brand is, heb je dan een brandweerkorps nodig? En als er een jaar geen brand is? Of drie jaar? Of als er nog nooit een brand is geweest?

In een brandweerkorps investeer je juist als er géén brand is, zodat de benodigde reddingsmiddelen meteen ter beschikking staan als dat wel nodig is. Alleen zo kan de schade beperkt blijven.

Met cybersecurity werkt het net zo. Zolang er geen bedreiging is, voelt het wellicht overbodig om geld uit te geven aan beveiliging. Je investeert echter in security en het mitigeren van risico’s, omdat als er wél een bedreiging is en het gaat fout, de gevolgen gigantisch kunnen zijn. Met de toename van cyberdreigingen steekt de discussie over investeringen in security steeds vaker de kop op, aangezien bedrijven gedwongen worden hierin meer te investeren dan voorheen. De wereld is echter veranderd, dus de budgetten moeten ook mee veranderen. Je budget voor online marketing is toch ook niet meer hetzelfde als 10 jaar geleden?

Schade in het kwadraat

Het Ponemon Institute berekende, op basis van een inventarisatie van ruim 500 organisaties, dat de gemiddelde kosten van een data breach in 2019 bijna $4 miljoen bedragen. Die financiële impact heeft vooral te maken met de kosten die geassocieerd worden met het verhelpen van het beveiligingslek en het verhinderen van eenzelfde lek in de toekomst. Maar denk bijvoorbeeld ook aan de kostbare tijd van medewerkers die niet aan het werk kunnen of de verminderde bereikbaarheid van je organisatie.

Wellicht nóg belangrijker dan de financiële impact, is de imagoschade. Datalekken moeten verplicht gemeld worden en de kans is dan ook groot dat de media hier aandacht aan besteden. Het kan zijn dat data op straat zijn komen te liggen, waardoor klantgegevens in verkeerde handen terechtkomen. Dat kan ervoor zorgen dat de betrouwbaarheid van je organisatie in twijfel wordt getrokken, wat niet alleen gevolgen heeft voor je huidige klanten, maar ook voor potentiële nieuwe klanten.

Tenslotte kan de Autoriteit Persoonsgegevens ook nog eens een boete opleggen. Die kan oplopen tot 4 procent van de wereldwijde jaaromzet. Dat dit geen loos dreigement is, bleek toen eerder dit jaar de eerste boete van €460.000 werd opgelegd op basis van de privacywetgeving AVG.

Een sprekend voorbeeld is Maersk, waar in juni 2017 de ransomware ‘NotPetya’ de hele bedrijfsvoering platlegde. De geschatte schade bij Maersk was $300 miljoen en de wereldwijde schade wordt zelfs geschat op meer dan $10 miljard. Maar Maersk zelf leed vooral ook enorme imagoschade, waarvan de impact tot de dag van vandaag gevoeld zal worden.

Wat mag preventie kosten?

Uit dit voorbeeld blijkt dat security veel meer is dan het eenmalig veilig inrichten van je IT-omgeving. Je moet alles ook continu bij- en onderhouden.

De belangrijkste lessen:

  • Focus niet alleen op het tegenhouden van indringers van buitenaf, maar monitor ook je interne bedrijfsnetwerk. De kans is namelijk aanwezig dat de bedreiging al binnengedrongen is.
  • Zorg voor een gedegen identiteits- en toegangsbeheer, zodat indringers bij binnendringen niet direct toegang hebben tot je gehele IT-omgeving.
  • Zorg dat je de capaciteit beschikbaar hebt om op het moment dat je een bedreiging detecteert, deze ook kunt elimineren.

Het is duidelijk dat de kosten enorm zijn wanneer het fout gaat, maar de vraag blijft hoeveel preventie mag kosten. Enerzijds word je door regelgeving zoals de AVG verplicht om te investeren in beveiliging, anderzijds moet dit, met het oog op financiën en imagoschade, sowieso een vast onderdeel van je IT-beleid zijn. De hoogte van investeringen in beveiligingsmaatregelen zou gelinkt moeten zijn aan het risico dat ermee gemoeid is.

De werkelijke waarde van security

De tot nu toe besproken waarde van goede security ligt vooral in het achterwege blijven van kosten, zoals boetes en schadeclaims. Voorheen werd security enkel gezien als een kostenpost, waarvan de resultaten niet eens zichtbaar zijn: goede security kenmerkt zich immers door de áfwezigheid van incidenten. En de waarde van wat niet zichtbaar is, kun je maar moeilijk meten.

Security geniet dus vaak nog steeds niet de strategisch waarde van bijvoorbeeld HR of Marketing & Sales. Bij security vraagt men zich enkel af: voldoen we aan alle eisen? Maar security is nu, in de tijd van datagedreven en cloud-gebaseerd werken, zoveel méér. Goede beveiliging heeft een hogere waarde dan enkel kostenpreventie; een toegevoegde, strategische waarde. Moderne security kan namelijk nieuwe mogelijkheden creëren, die een directe bijdrage leveren aan bedrijfsdoelstellingen als versnelling en procesverbetering.

De businesscase van security

Zodra organisaties zich realiseren dat security een rendement op investeringen kan opleveren, wordt het een heel andere zaak. Ten eerste kan security een positief effect hebben op de omzet. Goede beveiliging verhoogt immers het vertrouwen en de loyaliteit van klanten en kan nieuwe klanten doen besluiten voor jouw organisatie te kiezen. Zeker als je inmiddels ingezet hebt op de transformatie naar een betrouwbare, datagedreven business.

Ook verhoogt de prompte, adequate afhandeling van incidenten de totale snelheid van je organisatie. Processen blijven soepel verlopen en worden zelfs versneld, bijvoorbeeld door passwordless inloggen, perfect geregelde just-in-time datatoegankelijkheid en continue datamonitoring. De security diensten van Microsoft combineren op deze manier gebruiksgemak met een hoge mate van security. Door de implementatie van goede security is er geen productiviteitsverlies.

Ten slotte kan risicobeheersing ertoe bijdragen om tot een compliant organisatie te komen en ook dat moet worden meegenomen bij het maken van de business case.

Geïntegreerde totaaloplossing

Om voornoemde (toegevoegde) waarde van security ten volle te benutten, is het dus belangrijk om dit als een geïntegreerde totaaloplossing te zien. Ga daarbij dan ook niet op zoek naar een aparte partij voor antivirusbeveiliging, een volgende voor een mailwasstraat en weer een volgende voor een compliance scan van je werkplek. Wanneer je dit namelijk juist bij één partij afneemt, heeft dit zowel voordelen voor de technische integratie tussen deze diensten, als ook voor de kosten van de totaaloplossing.

Met de Microsoft 365 E5 licentie staat het volledige Microsoft dienstenpakket tot je beschikking. Met de geïntegreerde oplossingen bespaar je vaak geld ten opzichte van puntoplossingen en het levert een enorme risicobeperking op.

Wanneer je enkel gebruik wilt maken van de security features uit de E5 licentie, maar geen behoefte hebt aan andere diensten zoals bijvoorbeeld Enterprise Voice of Power BI, dan is er ook een mogelijkheid om alleen de security features van de E5 licentie af te nemen als uitbreiding op je E3 licentie. Hiermee bespaar je geld ten opzichte van de aanschaf van de volledige licentie.

Dus: eigen brandweer of laten blussen?

De vraag die je jezelf moet stellen, is of je als organisatie zelf een heel ‘brandweerkorps’ gaat installeren, of dat je de brandbeveiliging juist als complete dienst gaat afnemen. In dat laatste geval biedt InSpark het cloud-native Cloud Security Center.

Deze volledige managed security oplossing maakt gebruik van de nieuwste security features van Microsoft. Hiermee ben je altijd verzekerd van de laatste updates en wordt jouw cloud omgeving 24/7 bewaakt vanuit ons Security Operations Center.

SHARE
Lennart Nordin
Share

Gerelateerde blogs

Whitepaper: Moderne Cloud Security

Whitepaper: Moderne Cloud Security

In deze whitepaper lees je hoe een dergelijke moderne en zeer noodzakelijke cloud security aanpak eruitziet. We vertellen je hoe je in drie stappen tot een succesvolle, moderne cloud security strategie komt én hoe je deze het beste omzet in de IT-omgeving van jouw organisatie.

Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!