Wat is de ‘businesswaarde’ van security?
Regelmatig hoor je organisaties vragen naar de ‘ROI van security’. Maar vertegenwoordigt deze terminologie wel het juiste perspectief?
Mijn voorstel: laten we eens vanuit een andere bril naar security kijken. Over ROI spreek je vooral wanneer je software ontwikkelt of aankoopt om je investering terug te verdienen en vervolgens winst te maken. Begrijpelijk, want als een oplossing kosten met zich meebrengt, vraag je je af wat je ervoor terugkrijgt.
Maar met deze vraag drijf je eigenlijk af van de essentie van securitymaatregelen. Want wat is nu de échte waarde van digitale veiligheid? Is dat monetaire winst… of iets heel anders?
Investeren in de fundering
Laten we even teruggaan naar de kern: securitymaatregelen tref je om chaos te voorkomen. Een cyberaanval kan werkprocessen stagneren of zelfs je hele organisatie stilleggen. De gevolgen zijn vaak groot. Medewerkers raken in paniek, je lijdt reputatieschade, je verliest klanten en je kan boetes van toezichthouders krijgen.
Securitymaatregelen tref je om het risico op dergelijke problemen te beperken. Ja, je investeert erin. Maar dát wat je ervoor terugkrijgt, is niet directe winst. Het is de fundering die je nodig hebt om je organisatie te laten draaien en zo winst te maken. Waar die fundering uit bestaat? Rust, regelmaat, stabiliteit, klantvertrouwen en compliance. Oftewel, de randvoorwaarden voor het runnen van een gezonde organisatie.
Verklaar jij je organisatie vogelvrij?
Wat als je nu níet in securitymaatregelen investeert? Tegenwoordig is het dan niet meer de vraag óf, maar wannéér je organisatie wordt getroffen door een cyberaanval.
“Maar het gaat al jaren goed,” zeg je nu misschien. En dat klopt. Maar cyberaanvallen zijn aan de orde van de dag. Kwaadwillenden zoeken actief naar ingangen om organisaties aan te vallen. Dag en nacht, vanuit alle hoeken van de wereld. Eigenlijk loop je dus zonder schild rond op een slagveld waar de kogels en kanonnen in het rond vliegen. Je hebt je organisatie vogelvrij verklaard. En wanneer je op vrijdagmiddag concludeert dat er wéér een week voorbij is zonder cyberaanval, trek je de champagnefles open…
Dat is ook best een overwinning. De vraag is alleen: wil je op die manier een organisatie runnen?
Want laten we even bekijken waar je jezelf aan blootstelt. Op een willekeurige dinsdagochtend is het zover: kwaadwillenden zijn je systemen binnengedrongen en hebben alles platgelegd. Je kan geen producten meer produceren of klanten bedienen. Medewerkers zitten met de handen in het haar. De toezichthouder wijst je erop dat je niet aan wet- en regelgeving hebt voldaan. En alsof dat allemaal nog niet erg genoeg is, krijgt de media er lucht van. Binnen luttele uren staat je organisatie slecht op de kaart.
Wat is er dan nog over van je businesswaarde? Die wordt gegenereerd door de producten die je vervaardigt en verkoopt. Daar heb je een gebouw, stroom, een noodgenerator en werkende ICT-systemen voor nodig. Valt een van deze elementen weg, dan is het ook gedaan met je businesswaarde.
En de investeringen die je hebt gedaan in allerlei applicaties, maar níet in security? De ROI dáárop kun je voorlopig vergeten, want die applicaties zijn allemaal stilgelegd.
Zonder continuïteit geen business
De echte businesswaarde van cybersecurity is continuïteit. Zonder continuïteit heb je immers geen business.
Over drie jaar ROI behalen op je investering in securitymaatregelen? Dat doe je niet. Maar je creëert wel een situatie waarin je de komende drie jaar (én daarna) ROI uit andere investeringen blijft halen.
Gelukkig merken wij dat steeds meer organisaties cybersecurity door deze bril zien. Het bewustzijn is er. Dat is een goede ontwikkeling, want zo houden we kwaadwillenden veel beter buiten de organisatiedeur!