22 december 2023

Onze cybersecurity moet echt beter! Maar hoe overtuig ik mijn stakeholders?

In dit blogartikel behandelen we 3 stappen om een overtuigende cybersecurity business case te bouwen voor de stakeholders van jouw organisatie.

Hoewel je als CISO de expert bent op het gebied van cybersecurity in de organisatie, heb je helaas zelf niet het budget om dit ook direct goed in te richten. Dus, voor iedere verbetering die je door wil voeren moet je de business en IT managers van de organisatie overtuigen. En dat is vaak een lastige case om te maken, want zolang het “goed genoeg” gaat voelen deze stakeholders geen druk om in extra beveiliging te investeren.

Dus, hoe overtuig je de stakeholders van jouw organisatie om budget vrij te maken voor de benodigde cybersecurity maatregelen? In dit blogartikel behandelen we 3 stappen om een overtuigende business case te bouwen.

1. Redeneer vanuit de “waarom-vraag”

Begin jouw business case met de “waarom-vraag”, ofwel: “waarom heeft de organisatie behoefte aan jouw maatregelen op het gebied van cybersecurity?" en “Wat kan er misgaan zonder deze maatregelen?”

Dus, ga na wat je wil bereiken met jouw maatregelen, en denk na over de manier waarop deze maatregelen bijdragen aan de organisatiedoelstellingen. Welke doelen komen in gevaar wanneer de maatregelen niet genomen worden? Gaat er omzet verloren als het misgaat? Of vertrouwen van klanten? Misschien lopen financiële middelen gevaar? In het uiterste geval kan het zelfs de continuïteit van de organisatie bedreigen.

2. Meten!

Wanneer ben je succesvol en wat moeten jouw cybersecurity maatregelen daarvoor teweegbrengen? Door de impact van jouw maatregelen meetbaar te maken, maak je deze inzichtelijk voor je stakeholders. Zo wek je vertrouwen op in je plannen en heb je na de implementatie een vooraf goedgekeurde methode om de investering(en) te valideren.

Dus, kijk per securityproces wat en hoe je wil gaan beveiligen en stel daar je KPI's op in. Zo kun je denken aan de volgende KPIs:

  • Cyberincidenten: Het aantal gedetecteerde en opgeloste cyberincidenten
  • Response en afhandeltijd: hoe snel heb je gereageerd op een incident en hoe snel is dit opgelost?
  • False negatives: hoe vaak is het voorgekomen dat je een security incident niet hebt kunnen detecteren?
  • Patch management: je machines en/of digitale infrastructuur moeten netjes gepatcht worden. Dus, wat is de gemiddelde tijd dat het duurt om patches door te voeren en hoeveel procent van de apparaten zijn niet up to date?

Door het bij te houden van relevante KPI's kun je dus de investering in cybersecurity maatregelen valideren. Bovendien kun je hiermee ook weer een business case maken voor verdere investeringen.

3. Bepaal de potentiële schade van cyberincidenten

De potentiële schade van cyberincidenten varieert enorm. De kans op een ransomware-aanval, CEO-fraude of DDOS-aanval is immers niet gelijk – en hun impact op de organisatie ook niet.

Het bepalen van de impact van een cyberincident is niet triviaal, maar kun je samen met je business partners wel doen. Door een gesprek over deze impact vergroot je het inzicht in de risico's, en de bereidheid om te investeren.

Voorbeelden van relevante vragen zijn:

  • Wat kost het een dag geen omzet kunnen draaien?
  • Wat kost het als onze klantgegevens op straat komen te liggen?
  • Wat kost het als onze bedrijfsgeheimen in handen van de concurrent komen?
  • Hoeveel geld kan verloren gaan via een malafide overboeking??

Van beveiliging naar organisatiedoelen

Als je alle cybersecurity incidenten binnen de organisatie inzichtelijk hebt gebracht middelssecurity monitoring, dan kun je berekenen hoeveel potentiële schade (kosten) jouw maatregelen kunnen voorkomen. Met andere woorden, in welke mate hebben jouw maatregelen bijgedragen aan de organisatiedoelen?

Als je dit structureel doet door maandelijks te rapporteren, dan schep je een duidelijk beeld van de opbrengst van jouw werkzaamheden. Op deze manier wordt het steeds makkelijker om een business case te maken, want cybersecurity is zo niet alleen meer een kostenpost maar ook een verdienste die je inzichtelijk hebt gemaakt.


Advies nodig bij het vinden van de beste oplossing voor uw bedrijf?
Wij helpen u graag verder!