Gartner: 'Managers zien security steeds vaker als cruciaal voor omzetgroei'

Dit meldt Paul Proctor, Distinguished Vice President Analyst bij Gartner tijdens de sessie ‘CFO: Manage the Business Value of Cybersecurity Investments’ op de Gartner CFO & Finance Executive Conference. Proctor lichtte toe hoe een aanpak voor cybersecurity kan worden ontwikkeld die bescherming in evenwicht brengt met hardlopen het bedrijf. Hij stelt dat CFO's een cybersecurityhouding moeten vinden die zij kunnen verdedigen ten opzichte van zakelijke belanghebbenden.

'Perfecte bescherming bestaat niet'

“Er bestaat niet zoiets als perfecte bescherming”, zei Proctor. “Ongeacht hoeveel een organisatie uitgeeft, ze kan de volgende dag nog steeds worden gehackt, dus de echte vraag is: kunnen financiële leiders de keuzes die ze op het gebied van cybersecurity hebben gemaakt verdedigen tegenover hun belangrijkste stakeholders?”

Leidinggevenden moeten een houding op het gebied van cyberbeveiliging ontwikkelen die zij kunnen verdedigen tegenover aandeelhouders, toezichthouders, werknemers, klanten en partners in het geval van een incident. Dit resulteert in een effectievere cyberbescherming. De beste manier om dit te doen is door cyberbeveiliging te beschouwen als een bedrijfsinvestering.

Bedrijfswaarde bepalen

Dit betekent dat CFO's de bedrijfswaarde van cyberbeveiliging moeten bepalen met behulp van resultaatgerichte maatstaven en een bedrijfswaardebenchmark. “De opkomst van benchmarks voor beschermingsniveaus is een cruciale stap in de ontwikkeling van een cyberbeveiligingsnorm voor zorgvuldigheid”, aldus Proctor.

Hierdoor kunnen CFO's weloverwogen cybersecurity-investeringen doen die een evenwicht bieden tussen de noodzaak om hun bedrijf te beschermen en runnen, terwijl ze ook beter kunnen omgaan met de eisen die de Chief Information Security Officer (CISO) stelt aan het budget.

“Het behandelen van cybersecurity op een manier die meetbare beschermingsniveaus combineert met de behoeften van het bedrijf, die Protection-Level Agreement (PLA)-beslissingen worden genoemd, creëert een verdedigbaarheid van de implementatie ervan”, aldus Proctor. “Dit soort gedefinieerde overeenkomsten leidt tot betere investeringsbeslissingen op het gebied van cyberbeveiliging, een betere uitvoering en een veiligere wereld in het algemeen.”

Op een andere manier rapporteren

In plaats van te rapporteren over het aantal aanvallen dat een organisatie ontvangt, zouden leidinggevenden bijvoorbeeld moeten rapporteren over het aantal dagen dat kritieke systemen moeten worden gepatcht. Dit heeft een directe lijn met de waardepropositie van patching, namelijk het beperken van het aantal dagen dat een kwetsbaarheid beschikbaar is voor hacking. Vervolgens kunnen leidinggevenden de kosten van snellere patching afwegen tegen de verminderde risico's voor kritieke systemen. Dit is een zakelijke beslissing die is gebaseerd op een meetbaar beschermingsniveau.

“Als de PLA van een organisatie bedoeld is voor het 30 dagen patchen van kritieke systemen, en die systemen worden na 35 dagen gehackt via een niet-gepatchte kwetsbaarheid, dan is dat een controlefout: de beveiliging en IT zijn er niet in geslaagd de overeenkomst na te komen”, aldus Proctor. “Als dezelfde kwetsbaarheid echter binnen 25 dagen wordt gehackt, is dat het resultaat van een beslissing over bedrijfsrisico’s: een concrete, meetbare, afdwingbare bewering van risicobereidheid.”

Twee maatstaven voor waarde van cybersecurity

Er zijn twee maatstaven voor de waarde van cyberbeveiliging: de eerste is de levering van operationele waarde, en de tweede is het beoogde beschermingsniveau. Beide zijn belangrijk om weerbaarheid voor leidinggevenden te creëren. Hebben ze verdedigbare doelen uitgekozen? Hebben IT en beveiliging het gewenste beschermingsniveau opgeleverd?

“De organisatie moet bewuste beslissingen nemen over wat ze zal doen, en nog belangrijker, wat ze niet zal doen om zichzelf te beschermen”, aldus Proctor. “Er moet rekening worden gehouden met het resterende risico, en naarmate het bedrijf groeit, moeten CISO’s, CFO’s en andere leidinggevenden voortdurend opnieuw beoordelen hoeveel risico passend is.”