Regelmatig wordt mij de vraag gesteld of ik kan aangeven of investeren in informatiebeveiliging wel zinvol is. Wanneer is het een investering en wanneer wordt het een ordinaire kostenpost? Met andere woorden: hoe bepaal je de business case bij informatiebeveiliging?
Business case
Een business case of een haalbaarheidsstudie is een projectmanagement-term waarin de zakelijke afweging om aan een project of taak te beginnen beschreven wordt. In de business case worden de kosten tegen de baten afgewogen, rekening houdend met de risico’s. Vaak wordt aan de hand van de business case besloten om wel of niet te starten en/of verder te gaan met een project (Bron: https://nl.wikipedia.org/wiki/Business case). Het gaat er dus om dat je kosten, baten en eventuele risico’s in kaart brengt.
Met welke kosten moet je rekening houden?
De kosten zijn vaak snel inzichtelijk te maken. Ook wij kunnen eenvoudig aangeven wat security dienstverlening aan eenmalige en maandelijkse bedragen vergt. Je kunt dan eenvoudig doorrekenen wat de investeringen na 12, 36 of zelfs 60 maanden zijn. Op dit moment stellen onderzoekers dat je ongeveer 10% van je totale IT-budget zou moeten vrijmaken voor informatiebeveiliging.
Welke baten zijn er?
Om de baten te bepalen moet je bij informatiebeveiliging verder kijken dan de financiële baten. Informatiebeveiliging levert namelijk in veel gevallen niet gelijk meer geld op.
-
De kans op een digitale inbraak wordt kleiner
Wanneer een organisatie haar informatiebeveiliging op orde heeft, dan wordt de kans op een digitale inbraak kleiner. Daardoor worden de (mogelijke) gevolgen van een digitale inbraak dus ook minder heftig.
Hierbij een aantal mogelijke gevolgen:
- Downtime of onbeschikbaarheid. Wanneer er in een netwerk of webapplicatie ingebroken wordt, dan kan dit betekenen dat het netwerk of webapplicatie onbereikbaar wordt voor de gebruikers. Werknemers kunnen simpelweg niet werken en klanten kunnen niet meer online kopen. Dit leidt tot productiviteitsverlies en/of sterk verminderde omzet. De meeste organisaties weten wel hoeveel omzet zij per dag via hun webshop of webapplicatie realiseren, of wat een dag productiviteitsverlies kost. Stel dat een digitale inbraak tussen de een en vijf dagen downtime veroorzaakt, dan is de rekensom eenvoudig te maken.
- Onderzoek- en herstelwerkzaamheden.Wanneer een netwerk of webapplicatie niet beschikbaar meer is, dan zijn er specialisten nodig om de boel weer op orde te brengen. Enerzijds zijn er specialisten nodig die onderzoeken hoe de digitale inbraak heeft kunnen plaats vinden, wat de gevolgen zijn en wie de daders waren. Anderzijds zijn er specialisten nodig die het netwerk of webapplicatie weer gaan opstarten zodat er “gewoon” gewerkt of verkocht kan worden. Vaak gaat het om werkzaamheden die meerdere dagen in beslag nemen van meerdere specialisten. Daarnaast zullen de gebruikers nog geregeld verstoringen ervaren door het onderzoek, of doordat delen van het netwerk nog niet beschikbaar gesteld kunnen worden.
- Verlies van intellectueel eigendom. Ontwikkelprocessen, intellectueel eigendom, klantgegevens, mantelovereenkomsten en andere voor concurrentie interessante informatie zijn via het bedrijfsnetwerk toegankelijk. Wat gebeurt er met een bedrijf als een directe concurrent niet de research & development investeringen hoeft te doen, maar wel hetzelfde product tegen een fractie van de prijs op de markt kan brengen? Wat betekent het, als de inhoud van mantelovereenkomsten of aanbestedingen bekend worden bij de concurrentie? Ook daar is relatief eenvoudig aan te rekenen.
- Imagoschade.Bedrijven die aan hun klanten moeten melden dat zij niet kunnen leveren door een digitale inbraak kunnen imagoschade oplopen bij hun klanten en toeleveranciers. Helemaal als er (persoons)gegevens buitgemaakt zijn door de digitale inbreker. Wat betekent het als een klant haar vertrouwen in een organisatie verliest en geen diensten of producten meer afneemt? 80% van de omzet wordt vaak gerealiseerd door 20% van de klanten, wat nou als net die 20% het vertrouwen verliest?
- Boetes. De autoriteit persoonsgegevens mag boetes opleggen wanneer er een datalek met persoonsgegevens is geconstateerd. In 2017 is de boete nog maximaal € 800.000,- en kan alleen bij hoge uitzondering worden opgelegd. In mei 2018 wordt de Algemene Verordening Gegevensbescherming van kracht, de mogelijke boetes kunnen dan oplopen tot een percentage van de wereldwijde (!) omzet. Ook de kans op een boete wordt aanzienlijk hoger doordat de autoriteit meer mogelijkheden krijgt om deze uit te delen.
-
Compliancy
Door informatiebeveiliging op orde te hebben, is de kans groter dat een organisatie voldoet aan informatiebeveiliging normen zoals de ISO27001, NEN7510, BIG, BIR, BIWA en de OWASP richtlijnen. Een organisatie kan eenvoudiger aan een auditor, accountant of andere geïnteresseerde aantonen dat zij ‘in control’ is. Daardoor kan de audit druk (en daarmee gemoeide kosten) verlaagd worden. Ook is de kans dat de certificering ook voor een nieuwe periode wordt toegekend hoger. Daarnaast merken wij dat accountants steeds vaker vragen hoe een organisatie geborgd heeft dat haar primaire IT-systemen blijven werken. Ieder bedrijf is tegenwoordig namelijk een IT-bedrijf. Zonder dat de primaire dienst misschien niets met IT-diensten te maken heeft, zijn bedrijven zo afhankelijk geworden van werkende email, internet, CRM- en ERP-systemen, dat zij serieuze schade oplopen bij downtime. Het is een kwestie van tijd voordat accountants hier ook opmerkingen over zullen gaan maken in hun beschrijving van continuïteit verwachting in de jaarrekening.
-
Permission to play
Wij merken dat steeds meer klanten aan hun leveranciers vragen hoe zij hun informatiebeveiliging op orde hebben. Kun je dat niet aantonen, dan geldt dat voor sommige klanten als knock-out criterium. Informatiebeveiliging zal daardoor steeds meer basis hygiene worden. Iets wat je gewoon op orde moet hebben om überhaupt zaken te kunnen doen. Eenvoudig kunnen aantonen dat je je zaakjes op orde hebt kan ervoor zorgen dat je een hogere gunningskans op een deal hebt.
-
Korting op verzekeringspremie
Een aantal verzekeraars bieden zogenaamde Cyberrisco verzekeringen. Wanneer een organisatie aan kan tonen dat zij informatiebeveiliging bovengemiddeld goed op orde heeft gaan verzekeraars er vanuit dat het risico op een digitale inbraak lager is. Daardoor wordt de kans dat zij moeten uit keren ook aanzienlijk lager. Dat leidt weer tot korting op de verzekeringspremie.
Welke risico’s zijn er?
Voor het bepalen van de business case zijn niet alleen de kosten en baten relevant. Ook het in kaart brengen van de risico’s die de business case bedreigen zijn belangrijk.
Het risico dat de kosten oplopen is eenvoudig te mitigeren door langlopende contracten tegen vaste maandelijkse bedragen af te sluiten. Daarnaast moet er vooraf met de dienstverlener afgesproken wat er gebeurt als de scope van de opdracht wijzigt.
Het risico dat de baten tegenvallen is vaak wat moeilijker te bepalen. Want hoe weet je dat er geen digitale inbraak heeft plaatsgevonden doordat je je zaken goed op orde had? Daarnaast krijg je geen garantie dat er nooit een digitale inbraak plaats zal vinden, of dat je altijd fluitend door de audits komt of er meer klanten door krijgt. Aan de andere kant is wel te stellen dat digitale inbrekers net zo te werk gaan als “gewone” inbrekers. Als er twee huizen naast elkaar staan waarbij het ene huis met grind omgeven is en er een hond in het huis aanwezig is, dan zal de inbreker sneller bij de buren gaan kijken. Zo werkt het met digitale inbraken niet anders.
Conclusie
Er valt dus best goed te rekenen aan de business case voor informatiebeveiliging. Met een aantal eenvoudige “stel dat…” scenario’s is eenvoudig te bepalen wat de financiële consequenties zijn als je je zaken niet goed op orde hebt. Vermenigvuldig die consequenties met de kans waarop het scenario werkelijkheid zou kunnen worden en je hebt een goede basis voor een business case.