Waarom ROI-denken in cybersecurity juist leidt tot alert factories
Het denken in termen van Return on Investment (ROI) binnen cyber security kan leiden tot een overmatige focus op verantwoording van uitgaven, wat kan resulteren in teveel marktruimte voor “alert factories.” In deze eerste column deelt Renza Grüter haar persoonlijke ervaringen en inzichten over hoe deze benadering kan worden heroverwogen en vervangen door een meer gebalanceerde aanpak. Ze hoopt hiermee een nieuwe zienswijze te inspireren die helpt om onze security posture beter in balans te houden, nu en in de toekomst.
ROI en risicomitigatie
Stel je voor, als (klant)organisatie doe je een risicoanalyse. Op basis van je risk appetite en beschikbare budget kies je voor een passende set van mitigerende maatregelen. Bij het ROI principe moet je kunnen aantonen dat investeringen zich terugbetalen. Bijvoorbeeld door het kwantificeren van schade en verliezen als gevolg van cybercrime of non-compliance. Dit schept direct een wat ingewikkelde incentive. Je kunt namelijk vaak niet aantonen dat de schade is voorkomen. Ofwel, als aanvallen worden voorkomen, is de ROI positief. Als er geen aanvallen waren, lijkt de investering achteraf onnodig. Laten we daarmee ophouden!
Het gevolg?
Opvolgend aan de selectie van maatregelen, worden vervolgens nieuwe processen ingericht, interne expertise aangevuld en/of producten of diensten zullen worden ingekocht. Dit alles wordt vervolgens vastgelegd in een SLA.
Het issue van Service Level Agreement (SLA) denken
Laten we het voorbeeld nemen dat een organisatie voor risico mitigatie kiest voor een dienstverlener met een Security Operations Center (SOC). Het budget is 100.000 euro per jaar en het eisenpakket wordt opgesteld. Dit pakket is o.a. gericht op compliance vereisten zoals certificeringen, en op gewenste Service Level Agreement (SLA) facetten zoals, beschikbaarheid, communicatie, escalatie, integratie van processen en borging van juiste afhandelingen en potentiële remediation bij incidenten.
Het ROI denken is nu verzwaard met het SLA denken! De leverancier moet tijd en geld besteden aan bewijsvoering van correcte levering van de dienstverlening, want de klant moet intern de ROI kunnen bewijzen. Ook als de klant een jaar de mazzel heeft om geen specifiek doel te zijn van criminelen.
Het addertje onder het gras
Er blijkt een vraag te zijn, die zelden tot nooit gesteld wordt. Niet in de selectiefase en zelfs niet na start van de dienstverlening of zelfs tijdens de jaren van levering. Die vraag is: ‘Is het toegekende inkoopbudget gelijk aan de kosten die gemaakt worden?’ Ofwel, hoeveel tijd besteedt een klant in zijn of haar eigen (security) operatie als klant van een dergelijke dienstverlener? Wie houdt deze kosten bij? En staan deze totale kosten dan nog steeds in verhouding tot de risico’s die deze afdekt? Is de mitigatie nog wel in balans?
Ik heb hier eens onderzoek naar laten uitvoeren. Zowel bij jarenlange klanten, als potentiële nieuwe klanten. De conclusie was, dat over de gehele linie, deze totale kosten zelden tot nooit in kaart zijn gebracht. Dat impliceert dat dit type security dienstverleners, in de fase van beantwoording van de inkoopcriteria, en later in de beoordeling van kwaliteit van levering worden afgerekend op het initieel gestelde budget en de aspecten in het SLA.
Dit opent deuren voor alert factories! De risicomitigatie kan hiermee, in potentie, een kunstmatige worden. En de totale kosten, inclusief kosten in de eigen operatie, zou de mitigatie weegschaal weleens de andere kant op kunnen laten slaan.
Het TCO denken als het meer gezonde alternatief
Ik denk dat security niet langer als een ROI waarde moet worden opgevoerd. Generiek gezien moeten deze kosten simpelweg onderdeel zijn van het Total Cost of Ownership (TCO) pakket van een onderneming, passend bij je risicoprofiel en risk appetite. Dit stuk is overigens niet toereikend om deze keuze voor ROI of TCO te beargumenteren, maar om het bijbehorende denken te heroverwegen.
Zorg dat je bij de selectiecriteria van je SOC leverancier, denkt in de totale kosten. Dat betekent beter doorvragen over zaken als: wat betekent een event, trigger, alarm, alert, incident? Welke handeling doet de leverancier en welke handeling moet het eigen team opvangen? Hoe goed is dat team dan geëquipeerd? Wat zijn dan de totale kosten? En stel op basis hiervan de doelstellingen op in een SLA. Zo ontstaat bijsturing op hogere kwaliteit in plaats van de bewijslast van een ROI.
Deze vraag volwassenheid zorgt voor een echt gezonde concurrentie in de markt, waarbij de betere security dienstverleners kunnen winnen van de ROI gepositioneerde leveranciers.
Waarbij het onverlet laat, dat deze uiteraard ook beter in staat zijn de echte risico’s te mitigeren ‘when shit hits the fan!’
Over Renza
Renza Gruter heeft 34 jaar werkervaring in de ICT, waarvan 20 jaar in het security domein. Met een achtergrond in Bedrijfskundige Informatica en veel rollen op het snijvlak van Business en IT/Security, brengt ze een verfrissende mix van kennis en ervaring mee.
Als zelfbenoemde ‘philosophical nerd’ is Renza klaar om haar persoonlijke ervaringen te delen en anderen te inspireren tot nieuwe inzichten. Haar doel is om gezamenlijk onze security posture in balans te houden, zowel nu als in de toekomst.
Renza’s kennis van zowel de technische als de zakelijke aspecten van security maakt haar een waardevolle bron van inzichten. Ze schrijft met de bedoeling om complexe securityvraagstukken toegankelijk te maken en stimuleert je om tot nieuwe inzichten te komen.