Het staat buiten kijf dat cyberaanvallen directe impact hebben op de omzet en reputatie van bedrijven. De gevolgen zijn duidelijk zichtbaar: Jaguar Land Rover (JLR) alleen al heeft een daling van 24,2 procent in de verkoopvolumes gemeld in de drie maanden tot 30 september, grotendeels als gevolg van het aanhoudende cyberincident, schrijft ITPro.
De kosten van het datalek van JLR in augustus zouden zelfs nog hoger kunnen uitvallen. Gezien de aanzienlijke verstoring van de productie en toeleveringsketen bij JLR, zou deze aanval kunnen uitgroeien tot het duurste cyberincident in de Britse geschiedenis, met een kostenplaatje van zo'n 2 miljard euro, volgens het Cyber Monitoring Centre. Ook de BBC besteedde veel aandacht aan de cyberaanval:
Cybersecurity in 2028: ruim 427 miljard euro
Volgens IBM's Cost of a Data Breach Rapport schat men dat de kosten van een cyberaanval in 2025 gemiddeld zo'n 5 miljoen euro bedragen. Tegelijkertijd zullen de wereldwijde uitgaven aan cybersecurity dit jaar met 12,2 procent stijgen tot maar liefst 427 miljard euro in 2028, aldus analisten van IDC.
Toch sluiten stapsgewijze budgetverhogingen voor cybersecurity niet altijd aan op de dreigingen waarmee CISO's worden geconfronteerd. Ondanks situaties zoals bij JLR en vele andere bedrijven ervaren CISO's vaak een minimaal of geheel niet stijgend budget om dreigingen tegen te gaan, blijkt uit onderzoek. Wat ook blijkt, is dat directies vaak onvoldoende inzicht hebben in de rol die beveiliging binnen het bedrijf speelt.
Luister ook: Cybersecurity: 'Hacken is gewoon een heel makkelijk businessmodel'
Geen strategische investering
„Het onderwerp wordt vaak gezien als een kostenpost in plaats van een strategische investering," zegt Meredith Griffanti, wereldwijd hoofd cybersecurity en data-privacycommunicatie bij FTI Consulting. Slechte communicatie tussen CISO's en directie verergert het probleem. „Securityteams en besturen spreken vaak compleet verschillende talen," merkt Scott Walker, chief architect bij Orange Cyberdefense, op. „Waar CISO's praten over kwetsbaarheden en dreigingsvectoren, zijn directies geïnteresseerd in omzet, marge en de blootstelling aan risico's."
Tegelijkertijd vinden CISO's het soms lastig om de return on investment (ROI) aan te tonen die nodig is om extra budget los te krijgen. „In plaats van terug te komen om vorderingen te tonen op punten die gefinancierd zijn, verschijnen ze weer met zo'n te uitgebreide PowerPoint, waardoor het probleem blijft bestaan," aldus Griffanti.
De directie overtuigen
Om het gesprek te veranderen en de directie te overtuigen van de noodzaak tot investeren, kunnen CISO's, volgens Ben Davison, oprichter van Axiologik, gebruikmaken van praktijkvoorbeelden om specifieke punten te illustreren en de gevolgen te benoemen. Zo leidde het ontbreken van multi-factor authenticatie (MFA) bij Colonial Pipeline tot het beruchte datalek uit 2021, waarvoor een losgeld van 5 miljoen euro werd betaald.
Daarnaast kunnen technische modellen worden gehanteerd om de ROI van beveiligingsinvesteringen te kwantificeren, waaronder return on security investment (ROSI), zegt Davison. „Dit geeft inzicht in de kosten van investeringen in maatregelen ten opzichte van de waarschijnlijke impact als die investering niet zou zijn gedaan," legt hij uit.
Lees ook: Waarschuwingen en advies van experts: dit is wat een CEO moet weten over cybersecurity
Om risico's te vertalen naar termen die een directie begrijpt, adviseert Davison soms basale vragen te stellen als 'hoe kwetsbaar zijn wij voor phishing?' en 'als iemand ons netwerk binnendringt, hoe gevoelig zijn we dan voor een ransomware-aanval? CISO's moeten streven naar een eenvoudig, herhaalbaar raamwerk voor rapportages aan het bestuur. Griffanti: „Het gaat om de huidige dreigingsomgeving, het risicoprofiel van het bedrijf en de getroffen mitigerende maatregelen om het te beschermen."
CISO’s moeten streven naar een eenvoudig, herhaalbaar raamwerk voor rapportages aan het bestuur
Meredith Griffanti wereldwijd hoofd cybersecurity en data-privacycommunicatie FTI Consulting
Verder adviseert Griffanti om jaar na jaar de belangrijkste initiatieven overzichtelijk te presenteren. „Kom hier regelmatig op terug met voortgangsrapportages. Zijn bepaalde initiatieven vertraagd, leg dan uit waarom en wat nodig is om weer op schema te komen."
Lees ook: AI-agents hebben enorme gevolgen voor securityteams, dit is wat IT-leiders moeten weten
Veiligheid verhogen met een beperkt budget
Zelfs met extra investeringen blijft het bedrijfslandschap voorlopig waarschijnlijk krap wat betreft budgetten. In dat licht doen organisaties er goed aan een risicogestuurde aanpak te hanteren en zich te focussen op de fundamenten van een solide cyberprogramma. Dat begint met een inventarisatie van bedrijfsmiddelen, zodat het cybersecurityteam weet wat er beschermd moet worden, legt ze uit. Andere basisvoorzieningen zoals sterke toegangscontrole en een zorgvuldig patchmanagementprogramma moeten eveneens bovenaan de prioriteitenlijst staan, adviseert Griffanti.
Je kunt risico’s nooit volledig elimineren, dus je moet eerst voorbereid zijn op het ergste en existentiële dreigingen prioriteren
Ben Davison Consultancybureau Axiologik
Bij beperkte budgetten is het zaak te richten op de meeste waarde voor je geld. Davison: „Je kunt risico's nooit volledig elimineren, dus je moet eerst voorbereid zijn op het ergste en existentiële dreigingen prioriteren. Dit betekent ervoor zorgen dat je data zijn geback-upt en beschermd tegen ransomware, en dat je controles en monitoring implementeert om exfiltratie van gegevens tegen te gaan. Ook moet je weten hoe je diensten na een incident herstelt."
Training in bewustwording onder medewerkers en het betrekken van leidinggevenden bij actuele dreigingen is ook een absolute must. Tevens helpt een goed opgesteld en regelmatig getest incident response- en crisiscommunicatieplan om operationele en reputatiebestendigheid te waarborgen.
Lees ook: Chief Information Security Officer (CISO) belangrijker binnen boardroom
Ontvang elke week het beste van BusinessWise in je mailbox, ook over technologie, ook over cybersecurity. Schrijf je hier nu gratis in:
