De zakelijke kosten van cybersecurity nemen volgens het model van RAND Corporation de komende tien jaar met 38 procent toe
- Bedrijfsnieuws van
- Juniper Networks
- geplaatst op
- 10 juni 2015 14:58 uur
Juniper Networks en RAND Corporation publiceren vandaag een uitgebreid onderzoeksrapport. Dit biedt nieuwe inzichten in de economische uitdagingen, afwegingen en eisen waarmee bedrijven te maken krijgen in de strijd tegen steeds complexere cyberbedreigingen.
Volgens de economische en beveiligingsexperts van RAND hebben chief information security officers (CISO’s) te maken met een uiterst chaotisch beveiligingslandschap. Ze hebben hierdoor moeite met het identificeren van de meest effectieve en kostenefficiënte manieren om beveiligingsrisico’s te beheren. Een verontrustende bevinding is dat veel bedrijven steeds meer geld uitgeven aan beveiligingsoplossingen, zonder er vertrouwen in te hebben dat deze hun infrastructuur daadwerkelijk veiliger maken.
Volgens Juniper Networks is dit te wijten aan het gebrek aan een effectieve methode voor het berekenen van de kosten van investeringen in beveiligingsoplossingen en –personeel. Daarbij komen ook de potentiële kosten van gegevenslekken, die per definitie onzeker en onvoorspelbaar zijn. CISO’s hebben behoefte aan een betere manier om inzicht te krijgen in de belangrijkste variabelen die van invloed zijn op de kosten van ICT-beveiliging. Ook zijn zij graag op de hoogte van de opties die tot hun beschikking staan om hun organisatie te beschermen. Om hierin te voorzien ontwikkelde RAND een economisch model dat voor het eerst de factoren en beslissingen in kaart brengt die op de beveiligingskosten van invloed zijn. Dit model wordt uiteengezet in “The Defender’s Dilemma: Charting a Course Toward Cybersecurity”, het nieuwe onderzoeksrapport in een tweedelige reeks.
De zakelijke kosten van het beheer van cybersecurity-risico’s zullen volgens het model van RAND de komende 10 jaar met 38 procent toenemen. Juniper Networks is van mening dat het tijd is voor bedrijven om hun beveiliging en risicobeheer als een bedrijfsactiviteit te benaderen. Net zoals als de modellen voor het realiseren van strategische marketing- en verkoopdoelstellingen, hebben beveiligingsteams behoefte aan een methode die hen meer inzicht biedt. Dit helpt ze om de economische aspecten van het beheer van beveiligingsrisico’s, de variabelen die daar een rol bij spelen en de investeringen die ze moeten doen om hun ICT-infrastructuur beter te begrijpen en effectiever te beschermen.
Belangrijkste nieuwsfeiten:
Juniper Networks geeft vijf kernfactoren waarmee bedrijven volgens het model van RAND rekening moeten houden bij het optimaliseren van hun beveiliging:
• Veel beveiligingsoplossingen verouderen snel en nemen daardoor in waarde af: Cybercriminelen ontwikkelen voortdurend andere manieren om nieuwe detectietechnieken zoals sandboxing en antivirustechnologieën te kunnen omzeilen. Bedrijven moeten hierdoor steeds meer geld aan beveiligingsoplossingen uitgeven om het bestaande beschermingsniveau op peil te houden. De effectiviteit van technologieën die vatbaar zijn voor tegenmaatregelen, neemt volgens het model van RAND over een periode van tien jaar met 65 procent af. De kosten die bedrijven hieraan uitgeven, in verhouding tot de totale beveiligingskosten stijgt daarmee met 16,2 procent tussen het eerste en tiende jaar. Bedrijven moeten daarom investeren in oplossingen die minder vatbaar zijn voor tegenmaatregelen. Het is daarnaast zaak om zich te focussen op het automatiseren en stroomlijnen van het beveiligingsbeheer en het afdwingen van beleidsregels binnen het bedrijfsnetwerk.
• Investeren in het personeel zorgt voor kostenbesparingen op de lange termijn: Bedrijven hebben veel baat bij mensgerichte investeringen in de beveiliging, zoals technologieën voor het automatiseren van het beveiligingsbeheer en –processen. Dit lijkt misschien tegenstrijdig, maar deze automatisering leidt tot het vrijmaken van personeel voor activiteiten waar hun talent beter wordt benut. Daarnaast loont het wanneer bedrijven ook investeren in geavanceerde beveiligingstraining voor het hele personeel en het inhuren van meer beveiligingsprofessionals. Volgens het model van RAND zijn organisaties met uiterst effectieve beveiligingsmechanismen en –medewerkers in staat om de kosten van het beheer van cyberrisico’s in het eerste jaar met 19 procent terug te dringen en met 28 procent in het tiende jaar.
• Er bestaat geen universele aanpak: De kans is groot dat bedrijven niet de optimale strategie hanteren voor hun investeringen in cyberbeveiliging. Deze strategieën zijn onder meer afhankelijk van de bedrijfsomvang, het type bedrijfsinformatie en de effectiviteit van het beveiligingspersoneel. Volgens het onderzoek van RAND hebben kleine tot middelgrote bedrijven het meeste baat bij basistools en –beleidsregels. Terwijl grote ondernemingen en prominente doelwitten behoefte hebben aan een compleet spectrum van beleidsregels en –tools, gezien het verhoogde risico op aanvallen.
• The Internet of Things (IoT) stelt bedrijven voor een dilemma: Volgens RAND zal IoT van invloed zijn op de totale beveiligingskosten. Het is echter onduidelijk of dit een positieve of negatieve invloed zal zijn. Bedrijven die de juiste beveiligingstechnologieën en beheertechnieken op IoT toepassen, zouden op de lange duur zelfs kostenbesparingen kunnen realiseren. Bij bedrijven die hier geen aandacht aan besteden, kan de financiële schade als gevolg van cyberaanvallen de komende 10 jaar met 30 procent toenemen.
• Het verhelpen van kwetsbaarheden in software levert forse kostenbesparingen op: Volgens het model van RAND is het grote aantal kwetsbaarheden in bedrijfsapplicaties en –systemen een van de belangrijkste factoren van hoge beveiligingskosten. Als het aantal kwetsbaarheden in software kan worden gehalveerd, zullen de totale beveiligingskosten volgens het model met 25 procent afnemen. Bedrijven moeten de beveiliging van de applicaties die zij gebruiken kritisch onder de loep nemen en betere beveiligingstests en patching van de softwareleveranciers moeten eisen.
Om het economische model van RAND tot leven te brengen introduceert Juniper Networks een nieuwe interactieve tool. Deze tool biedt bedrijven een richtlijn voor het effectief investeren van hun tijd en geld. Het model geeft inzicht in de belangrijkste gebieden waar zij controle op kunnen uitoefenen om de potentiële kosten terug te dringen.
Het rapport “The Defender’s Dilemma: Charting a Course Toward Cybersecurity” is samengesteld door Martin Libicki, Lillian Ablon en Timothy Webb, beveiligingsexperts bij RAND Corporation. Het rapport is gebaseerd op diepte-interviews met CISO’s over het huidige en toekomstige bedreigingslandschap. Deze interviews werden tussen oktober 2013 en augustus 2014 afgenomen. Het rapport bouwt voort op de bevindingen van het eerste rapport in de tweedelige, door Juniper Networks gefinancierde onderzoeksreeks, “Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar”. Dit rapport biedt een overzicht van de economische beweegredenen van aanvallers en de geraffineerde ondergrondse zwarte markt die zij in het leven hebben geroepen om hun slagkracht te vergroten.
Ondersteunende citaten:
“Het kost de beveiligingsbranche veel moeite om inzicht te krijgen in de dynamiek die van invloed is op de werkelijke kosten van beveiligingsrisico’s voor bedrijven. Met de samenwerking tussen Juniper Networks en RAND Corporation hopen we nieuwe perspectieven en inzichten te bieden met betrekking tot deze voortdurende uitdaging. Hieruit blijkt dat bedrijven die cybercriminelen voor willen blijven, hun strategie en investeringen moeten richten op het beheer van cyberrisico’s in aansluiting op de werkelijke bedreigingen voor hun organisatie.”
– Sherry Ryan, chief information security officer bij Juniper Networks
“Cybersecurity vormt een van de grootste economische en geopolitieke security-uitdagingen in de wereld, ook in Nederland. Mede door de opkomst van het Internet of Things investeren bedrijven steeds meer in innovatieve connectiviteittechnologieën. Hierdoor is het voor hen essentieel om te gaan nadenken over slimme security-oplossingen, die complexe en dynamische cyberbedreigingen het hoofd kunnen bieden. Juniper Networks biedt met dit onderzoek in samenwerking met de RAND corporation nieuwe perspectieven en inzichten aangaande deze uitdagingen. Om het tij te kunnen keren ten nadele van de aanvallers, moeten bedrijven hun denkprocessen en investeringen meer gaan richten op het management van risico’s dan op bedreigingen.”
– Nico Siebelink, technical director bij Juniper
“Cybersecurity werd vooralsnog door de één gezien als onafwendbaar onheil, door de ander als paniekzaaierij. Nu wordt het steeds meer een kosten-baten analyse in risico management. Dit rapport helpt daar zeker bij.”
– Chris van ’t Hof, internetonderzoeker