In samenwerking met en in opdracht van Juniper onderzocht RAND Corporation, een Amerikaanse non-profitorganisatie die beleidsprocessen en de besluitvorming verbetert door middel van onderzoek en analyse. Dat heeft geresulteerd in een onderzoeksrapport, dat nieuwe inzichten biedt in de economische uitdagingen, afwegingen en eisen waarmee bedrijven te maken krijgen in de strijd tegen steeds complexere cyberbedreigingen.
Chief information security officers hebben te maken met een zeer chaotisch beveiligingslandschap. Ze hebben hierdoor moeite met het identificeren van de meest effectieve en kostenefficiënte manieren om beveiligingsrisico’s te beheren. Dat heeft als gevolg dat bedrijven in de rat-race tegen de steeds geraffineerder optredende cybercriminelen wel steeds meer geld uitgeven aan beveiligingsoplossingen, maar zonder enige zekerheid of vertrouwen dat die hun infrastructuur daadwerkelijk veiliger maken.
Oorzaak van deze ongewenste situatie is volgens Juniper het ontbreken van een effectieve methode voor het berekenen van de kosten van investeringen in beveiligingsoplossingen en –personeel. Daarbij komen ook de potentiële kosten van gegevenslekken, die per definitie onzeker en onvoorspelbaar zijn. Ciso’s hebben behoefte aan een betere manier om inzicht te krijgen in de belangrijkste variabelen die van invloed zijn op de kosten van ICT-beveiliging. Ook willen zij graag (beter) op de hoogte zijn van de opties die tot hun beschikking staan om hun organisatie te beschermen. Om hierin te voorzien ontwikkelde RAND een economisch model dat voor het eerst de factoren en beslissingen in kaart brengt die op de beveiligingskosten van invloed zijn. Dit model wordt uiteengezet in ‘The Defender’s Dilemma: Charting a Course Toward Cybersecurity’, het nieuwe onderzoeksrapport dat volgt op het eerste rapport ‘Markets for Cybercrime Tools and Stolen Data: Hackers Bazaar,’ van een jaar geleden.
Volgens het door RAND opgestelde model zullen de zakelijke kosten van het beheer van cybersecurity-risico’s de komende 10 jaar met 38 procent toenemen. Dit is niet zozeer een absoluut cijfer, zo zei technical director Nico Siebelink tijdens de perspresentatie van het onderzoek, maar het kan wel degelijk als richtinggevend worden beschouwd. “De nummer één zorg bij bedrijven is de mogelijk reputatieschade die ze lijden als ze het slachtoffer worden van een cyberaanval. Om die te voorkomen moeten ze op zoek naar onontdekte kwetsbaarheden, die zowel van buitenaf als van binnenuit op ze af kunnen komen. Voor de business is innovatie – waarmee een concurrentievoordeel kan worden behaald – vaak belangrijker dan security. De ciso moet maar zien hoe hij die twee met elkaar in evenwicht brengt.”
Juniper Networks heeft dan ook op basis van de onderzoeksgegevens een online tool ontwikkeld, die de ciso in staat stelt om beveiliging en risicobeheer als een bedrijfsactiviteit te benaderen. “Net zoals als de modellen voor het realiseren van strategische marketing- en verkoopdoelstellingen, hebben beveiligingsteams behoefte aan een methode die hen meer inzicht biedt. Dit helpt ze om de economische aspecten van het beheer van beveiligingsrisico’s, de variabelen die daar een rol bij spelen en de investeringen die ze moeten doen om hun ICT-infrastructuur beter te begrijpen en effectiever te beschermen. Onder meer door de eigen security-situatie te kunnen vergelijken met hun peers in de industrie kunnen ze een betere balans tussen investeringen in tools, geavanceerde beveiligingstraining en het inhuren van securityprofessionals. Zo kunnen ze een meer op feiten gebaseerde business case ontwikkelen en daarmee de bedrijfstop overtuigen van de noodzakelijke toename van de beveiligingsbudgetten in de komende jaren.”
Lees hier het uitgebreide artikel. Klik hier voor de interactieve tool van Juniper Networks.
Het rapport “The Defender’s Dilemma: Charting a Course Toward Cybersecurity” is samengesteld door Martin Libicki, Lillian Ablon en Timothy Webb, beveiligingsexperts bij RAND Corporation. Het rapport is gebaseerd op diepte-interviews met CISO’s over het huidige en toekomstige bedreigingslandschap. Deze interviews werden tussen oktober 2013 en augustus 2014 afgenomen.
