Icon info
NL
EN
https://www.antwerpmanagementschool.be/nl/
Home
https://www.antwerpmanagementschool.be/nl/inzichten
Inzichten
https://www.antwerpmanagementschool.be/nl/blog/digitale-beveiliging-markt-voor-citroenen
Is digitale beveiliging een markt voor citroenen?
Terug naar overzicht
Digitale markt citroenen 1
Digitaal & IT

Is digitale beveiliging een markt voor citroenen?

Hoewel informatiebeveiliging al een lange geschiedenis heeft, was het tot eind 2010 niet echt top of mind voor het senior management, de raad van bestuur of andere werknemers. Een "security professional" werd een echte baan en sindsdien is de vraag op de markt gegroeid. Het bewustzijn over beveiligingsrisico's nam aanzienlijk toe. De drijvende krachten hierachter waren grote beveiligingsinbreuken zoals Snowden, NotPetja en WannaCry die de wereld schokten, maar ook regelgevende instanties die van bedrijven eisen dat ze hun kritieke activa beschermen, inclusief niet-tastbare activa zoals gegevens. Als gevolg hiervan kunnen we nu stellen dat digitale beveiliging nu wel standaard de aandacht van de bestuursraden heeft.
Yuri Bobbert
door Yuri Bobbert, PhD | 8 december 2020
Share on
Digitale markt citroenen 1

Aangezien het aantal beveiligingsspecialisten, leveranciers van hard- en softwaretechnologie voor beveiliging en leveranciers van beveiligingsdiensten de afgelopen tien jaar is toegenomen, zien we ook een aanzienlijke stijging in de uitgaven voor beveiliging. En deze beveiligingsbudgetten zijn een belangrijk onderdeel geworden van de financiële planningscyclus van organisaties. Recente voorspellingen geven aan dat de budgetten zullen blijven groeien en het is niet duidelijk waar het zal eindigen.

We denken echter dat op een gegeven moment de nieuwigheid van digitale beveiliging zal slijten en de druk op het budget zal toenemen. We kunnen niet proberen de oceaan met een vingerhoedje leeg te scheppen. Om dit te voorkomen zullen medewerkers die verantwoordelijk zijn voor digitale beveiliging de toegevoegde waarde van hun investeringen, maar ook van zichzelf, moeten laten zien. Net als elk ander bedrijfsproces of afdelingsmanager binnen het bedrijf.

Om wat historisch licht en achtergrond te werpen op onze redenering vergelijken we eerst Digital Security met reguliere IT en de IT-afdeling, en wat er met IT zou gebeurd zijn als het geen waarde had kunnen laten zien en niet afgestemd was op de business. Daarna zullen we wat richtlijnen geven voor het aantonen van "echte" waarde en om het zo zoet als kersen te laten smaken.

Wat er met IT is gebeurd, zal ook met digitale beveiliging gebeuren

Business-IT afstemming is al een probleem sinds de jaren zeventig en wordt voornamelijk veroorzaakt door

  • gebrek aan samenwerking,
  • gebrek aan wederzijds begrip en
  • gebrek aan tastbare toegevoegde waarde.

Om deze afstemmingsproblemen te overwinnen en deze relatie te verbeteren, zijn er meerdere afstemmingsmodellen voor Business en IT geïntroduceerd. In de afgelopen jaren hebben we ook gezien dat er meerdere 'Value of IT'-methoden zijn geïntroduceerd, waaronder ITIL, die zich ook richten op het tonen van waarde aan de business. De focus van deze modellen ligt echter vaak op de meer generieke objectieve waarde (ROI, KPI's, SLA's) in plaats van op de subjectieve waarde (klanttevredenheidsscore en hoe mensen IT waarnemen en ervaren). Daarover later meer.

De belangrijkste reden voor deze omschakeling van meer procesgericht naar waardegericht is het resultaat van het feit dat raden van bestuur en senior management de vraag beginnen te stellen "Wat is de waarde van IT voor het geld dat we eraan uitgeven?" Misschien komt dit door de ervaring die ze in hun persoonlijke leven hebben opgedaan bij het gebruik van IT. Wat we daarmee bedoelen is dat ze in hun persoonlijke leven ervaren dat IT soepel kan werken en dat iPhones veilig zijn door biometrische toegang, iets wat de IT-afdeling hen nooit heeft geleverd. Deze afdeling van "nee" had een zure citroensmaak. Maar ze ervaren ook budgetdruk. De belangrijkste reden voor deze budgetdruk is dat budgetverantwoordelijken niet in staat waren om de door IT geleverde waarde te beoordelen. Immers, als je de voordelen van iets niet kunt begrijpen of zien, ga je proberen de uitgaven te verlagen. Ze knijpen gewoon de mensen uit die niet leveren of niet echt bijdragen.

Het moet gezegd worden dat op dit moment, dankzij de digitaliseringstrend en Covid, budgetbeperkingen minder een probleem zijn geworden. Men kan zich echter afvragen of bedrijven hun geld uitgeven aan digitalisering uit angst om de volgende Kodak of Nokia te worden of dat ze echt weten welke digitale waarde ze krijgen voor hun geld.

Zijn IT en digitale beveiliging allebei een markt voor citroenen?

In het boek “Discover the IT Cherry

" maakten we een vergelijking tussen de paper "Market for Lemons" van Akerlof uit 1970 en de vraag of IT ook een markt voor citroenen is. Het artikel onderzoekt hoe de kwaliteit van goederen die op een markt worden verhandeld kan afnemen in aanwezigheid van informatieasymmetrie tussen kopers en verkopers, waardoor er alleen "citroenen" overblijven[1]. In onderstaande tabel staan de criteria voor een citroenmarkt en wordt de parallel met IT-organisaties getrokken. De parallel met digitale beveiliging wordt gemaakt op basis van onze eigen ervaring om te bepalen of digitale beveiliging ook een markt voor citroenen is. We beschouwen Digital Security in dit geval als geheel en niet alleen de aanbieders van beveiligingssoftware of -diensten.

Criteria voor een citroenmarkt

1. De koper is niet in staat om de waarde en kwaliteit van een product volledig te bepalen voordat het product wordt gekocht. De verkoper is zich bewust van deze waarde (asymmetrische informatie).

Parallel met IT organisaties:

De business (de consument) heeft te weinig informatie om de werkelijke kosten en kwaliteit van een IT-service te bepalen. De interne of externe IT-organisatie of IT-leveranciers zouden over deze informatie kunnen of willen beschikken. Als we bijvoorbeeld kijken naar de selectie van een outsourcingpartner is een vergelijking tussen leveranciers moeilijk te maken en is het onduidelijk welke kwaliteit daadwerkelijk wordt geleverd voor de betaalde prijs.

Parallel met Digitale Security:

Bedrijven hebben te weinig informatie om de werkelijke kosten, voordelen en kwaliteit van digitale beveiliging te bepalen. Hoewel de verkopersmarkt aanzienlijk is gegroeid, blijft het moeilijk om het verschil tussen producten en diensten te begrijpen. Beslissingen worden voornamelijk genomen op basis van "kunnen we ons dit veroorloven?" in plaats van de voordelen te begrijpen of de waarde te kunnen bepalen.


2. De verkoper wordt gestimuleerd om een product van lagere kwaliteit te vermommen als een product van hogere kwaliteit.

Parallel met IT organisaties:

De onzekerheid van de consument, als gevolg van asymmetrische informatie, brengt IT vaak onder het juk van kostenreductie. Vaak is de gedwongen oplossing om mindere kwaliteit te leveren voor een lagere prijs, maar dit voldoet niet aan de verwachtingen van de klanten. Als gevolg hiervan blijft het Citroenenprobleem groeien.

Parallel met Digitale Security:

Beveiligingsproviders en leveranciers van beveiligingssoftware stellen vaak dat hun software of dienst alle problemen zal oplossen en hacks zal voorkomen. In de praktijk blijkt echter dat software niet aan die verwachting kan voldoen, moeilijker te implementeren is dan verwacht of onverwacht hogere kosten met zich meebrengt (bijv. opslagkosten bij gebruik van een SIEM). (Zie ook het "Onderzoeksrapport Cybersecurity Technology Efficacy - Is cybersecurity de nieuwe "markt voor citroenen"[2]).


3. De verkoper heeft geen geloofwaardig verhaal of techniek om de hoge kwaliteit van zijn product te vertegenwoordigen.

Parallel met IT organisaties:

IT is zelf niet in staat om duidelijk te maken wat de kwaliteit, of toegevoegde waarde, van zijn producten is en waarom de prijs gerechtvaardigd is.

Parallel met Digitale Security:

Verkopen gebeurt vaak op basis van angst, onzekerheid en twijfel. "Als je mijn product niet koopt, word je gehackt". Er wordt zelden waarde geleverd op basis van een resultaat of een toegezegde SLA. Vergelijkingen met andere producten kunnen nauwelijks worden gemaakt, behalve met wat bijvoorbeeld Gartner of Forrester zeggen.


4. Kopers zijn pessimistisch en wantrouwend over de verkoper en de kwaliteit van zijn producten.

Parallel met IT organisaties:

Helaas staat de IT-organisatie vaak bekend als van slechte kwaliteit en te duur. IT kent bijvoorbeeld veel gevallen van verzuim en projecten blijken vaak meer te kosten dan aanvankelijk voorzien of mislukken. Hierdoor heeft IT vaak al een 1-0 achterstand.

Parallel met Digitale Security:

Kopers worden pessimistischer en wantrouwiger omdat verwachtingen vaak niet of gedeeltelijk worden ingelost. Producten kunnen niet leveren wat werd verwacht of worden niet volledig geïmplementeerd of gebruikt. Ook door de toename van het aantal concurrenten worden bij de eerste aanbieding al grote kortingen gegeven. In plaats van dankbaar te zijn voor deze korting, maakt het kopers meestal wantrouwig over de echte waarde van het product. Veel puntoplossingen worden gezien als spaghetti die de zaken alleen maar erger maken, laat staan moeilijk te rationaliseren omdat niemand echt begrijpt wat ze doen.


5. Er is geen garantie voor effectief overheidstoezicht of algemene richtlijnen voor consumenten om kwaliteitsnormen.

Parallel met IT organisaties:

Er is geen richtlijn voor de business om de kwaliteit van IT te controleren. De veel gekozen richtlijnen (CMMi, ITIL, COBIT, etc) zijn interne IT standaarden, die echter slecht aansluiten bij de ervaring van de business. Het toezicht dat er wel is, is gericht op interne controle en niet op kwaliteit voor klanten.

Parallel met Digitale Security:

Bepaalde sectoren (bijv. de financiële sector) en zelfs landen zijn gereguleerd en staan onder toezicht, waardoor de digitale beveiliging volwassener wordt. In de meeste sectoren en landen is er echter geen effectief overheidstoezicht of richtlijn voor bedrijven om de kwaliteit van digitale beveiliging te controleren. Een algemene HACCP[3] norm voor beveiligingsbedrijven is zeer wenselijk. Simpel gezegd: als je er niet aan voldoet, mag je niet werken, net als restaurants, advocaten, luchtvaartmaatschappijen, ziekenhuizen etc.

Om voorop te lopen, moet je de waarde van digitale beveiliging laten zien

De huidige situatie kan niet eeuwig blijven duren. Op een gegeven moment wil een bedrijf voldoende beveiliging hebben en zijn aandacht en uitgaven richten op zaken die inkomsten genereren of bijdragen aan de bedrijfsdoelstellingen. Er zullen steeds meer vragen worden gesteld waarom bepaalde investeringen in digitale beveiliging moeten worden gedaan en of beveiligingsbudgetten kunnen dalen. Dit zal het geval zijn wanneer beveiligingsincidenten zich niet zullen voordoen of een beperkte impact zullen hebben. Wanneer een bestuur denkt "ga uit van de inbraak" en de focus ligt op het verkleinen van de explosieradius in plaats van op het verkleinen van alle explosies, gooit men gewoon geld over de balk. Voorafgaand aan deze druk op het budget moeten Digital Security-professionals, technologieleveranciers en leveranciers nu hun waarde gaan laten zien.

Het aantonen van de waarde van digitale beveiliging is misschien moeilijker dan men denkt. Waarde van digitale beveiliging is meer dan rapporteren over het aantal gevonden en herstelde kwetsbaarheden, het aantal beveiligingsincidenten dat is opgelost, het aantal mensen dat is getraind in bewustwordingscursussen of het aantal bevindingen van auditors dat is opgelost. Om waarde te begrijpen, is het goed om te beginnen met een definitie van waarde:

Waarde betreft de relatie tussen baten en kosten. Waarde kan deels objectief en deels subjectief (perceptie) gemeten worden en kan afhankelijk zijn van een groep of zelfs een individu [4].


De bovenstaande definitie laat zien dat digitale beveiligingswaarde meer is dan alleen het rapporteren van objectieve cijfers over beveiligingsvoorvallen. Op basis van deze definitie kunnen we waarde onderverdelen in vier aandachtsgebieden:

Objectieve meting

Deze manier om waarde aan te tonen is de manier die de meesten van ons op managementscholen leren via business cases enz. Een goede manier om de waarde van digitale beveiliging op een objectieve manier te meten is door gebruik te maken van ROSI (Return on Security Investment). We hebben het daar al over gehad in onze blog. Een gemakkelijke manier om de voordelen te verhogen of hetzelfde niveau te behouden, maar de kosten te verlagen, is door de software en licenties volledig te gaan gebruiken, in plaats van extra software te kopen die functionaliteit biedt die je misschien al hebt. We verwijzen naar de term technologiegebruik. Tijdens activiteiten is het een goede gewoonte om de beveiligingsincidenten te meten en de impact van nieuw geïmplementeerde beveiligingsmaatregelen te laten zien. Maak rapportage over voordelen en kosteneffectiviteit onderdeel van je dagelijkse routine, net zoals elke andere manager of directeur in het bedrijf dat doet.

Subjectieve meting

Subjectieve waarde heeft alles te maken met de perceptie van de persoon of groep die de beveiligingsmaatregelen of het beveiligingsniveau ervaart. In dit geval wordt het belangrijk om te beginnen met het managen van de perceptie die mensen hebben. De perceptie kan bijvoorbeeld zijn "we zijn veel te goed beveiligd en geen bank!", "we zijn compleet onveilig" of "beveiliging maakt mijn werk zoveel inefficiënter, kunnen we dit niet afsluiten?".

Om de perceptie van de beveiligingsgebruikers en belanghebbenden (bijv. directie, toezichthouders) te managen, moet je beginnen te begrijpen wat hun huidige perceptie is en wat hun verwachtingen zijn, want perceptie is het resultaat van verwachtingen. Een bekende regel om verwachtingen te managen:

  • Als je levert onder verwachting zijn mensen ongelukkig en willen ze stoppen met wat je "verkoopt", marketingterm hiervoor is cognitieve dissonantie[5].
  • Als je levert volgens verwachting zijn mensen tevreden, maar staan ze ook open voor andere mogelijkheden.
  • Als je boven verwachting levert, zijn mensen blij en worden ze loyale ambassadeurs.

De beste truc om mensen gelukkig te maken is dan natuurlijk om ervoor te zorgen dat de verwachtingen zo laag mogelijk zijn of om een absolute overachiever te zijn.

Waarde voor de groep

Waarde voor de groep wordt vaak weergegeven in standaardrapporten van leveranciers of in openbare informatie. Over het algemeen dekt dit de basisbehoefte en is het iets dat aan de verwachtingen voldoet. De echte waarde zit echter in de waarde voor het individu.

Waarde voor het individu

Waarde voor het individu wordt vaak gemeten met klanttevredenheidscores. Je herkent ze misschien uit je persoonlijke leven als je iets online bestelt en een week na de levering wordt gevraagd hoe tevreden je bent met het product of de service. Vaak gebaseerd op een score van 1 tot 10 of met een smiley. In sommige gevallen is er ook ruimte voor een opmerking.

In Digital Security hebben we deze manier van waarde meten nog niet gezien. Binnen IT zien we wel klanttevredenheidsscores, maar de follow-up van deze scores is vaak beperkt. Terwijl onze ervaring is dat tijd besteden aan het opvolgen van deze waardevolle feedback vaak resulteert in een "boven verwachting" ervaring. Klanttevredenheidsscores kunnen dus een waardevol instrument zijn om inzicht te krijgen in de perceptie van uw gebruikers en stakeholders over digitale beveiliging.

Naast klanttevredenheidsscores houden we van de empathiefactor; dit gaat over het begrijpen van de mensen die de budgetten hebben en beheren. Als je begrijpt wat deze mensen belangrijk vinden in digitale beveiliging, kun je hun perceptie of verwachtingen managen. Een recent artikel van Gartner over "naast individuele passies en zorgen", geven directies over het algemeen om drie dingen:

  • Inkomsten/missie: Operationele of niet-operationele inkomsten en het verbeteren van niet-inkomsten missiedoelstellingen
  • Kosten: Toekomstige kostenbesparing en onmiddellijke verlaging van de bedrijfskosten
  • Risico: financieel, markt, naleving van regelgeving en veiligheid, innovatie, merk en reputatie[6]".

Deze drie dingen zijn algemene uitspraken. Als technologieleider, Digital Security-professional en/of CISO is het dus heel belangrijk om de behoeften, agenda en wensen van de budgethouder te begrijpen, te begrijpen wat belangrijk is voor het bedrijf, de strategie en missie van het bedrijf te begrijpen, enzovoort. Toon oprechte empathie.

Waarde tonen is geen stap-voor-stap stappenplan

Het moeilijke aan waarde is het deel dat subjectief en individueel is. Wat voor de ene persoon belangrijk is, is dat misschien niet voor iemand anders. Als gevolg daarvan worden beslissingen niet altijd genomen op basis van rationaliteit. Als mensen jou of het idee niet begrijpen, vertrouwen of leuk vinden, hebben ze de neiging om een andere richting in te slaan, waardoor je in de war raakt. Eén ding dat je kan ondersteunen in deze irrationele processen is het gebruik van samenwerkingstechnologieën die interactie tussen bedrijven en professionals in bepaalde domeinen (bijv. business of beveiliging) vergemakkelijken, zoals Group Support Systems[7] waarin je collectief kunt brainstormen over standpunten, meningen en nieuwigheden. Deel ze vervolgens in naar wat belangrijk is voor een bepaalde groep of individu. Maak de meningen van de groep tastbaarder, explicieter en bespreek ze collectief en ga er op een rationelere manier mee om. Uiteindelijk moet je echter nog steeds de "omgeving" begrijpen, aangezien niet elke organisatie dezelfde context heeft, en een beetje experimenteren met wat waardevol is voor de verschillende belanghebbenden.

Begin bijvoorbeeld met het meten van klanttevredenheidsscores over een specifieke beveiligingsoplossing of experimenteer met ROSI op individuele investeringsscenario's of een compleet portfolio en toon zo de werkelijke waarde van investeringen aan. De hulp inroepen van iemand buiten IT helpt je om de tegenovergestelde positie te begrijpen en de kloof tussen IT & Digitale beveiliging en de business te overbruggen. Dit alles om ons beroep voor te bereiden voor het jaar 2025.

Ben je geïnteresseerd in deze onderwerpen en wil je meer leren? Deze onderwerpen maken deel uit van onze Master in IT Management, Master in Risk & Cyber Security Management en Master in IT Governance and Assurance.

Ontdek onze IT Master(Classes)

Bronnen:

[1] Akerlof, George A. (1970). “The Market for ‘Lemons’: Quality Uncertainty and the Market Mechanism”. Quarterly Journal of Economics. The MIT Press (zie ook: https://en.wikipedia.org/wiki/The_Market_for_Lemons)

[2] Onderzoeksrapport cybersecurity technology efficacy, Is cybersecurity the new “market for lemons”?, October 2020, Debate Security

[3] HACCP is een managementsysteem waarin voedselveiligheid wordt aangepakt door middel van de analyse en beheersing van biologische, chemische en fysieke gevaren vanaf de productie van grondstoffen, inkoop en behandeling, tot de productie, distributie en consumptie van het eindproduct.

[4] Mark Butterhoff, Barry Derksen, Aart van der Vlist. “Discover the IT Cherry – How to become the most valued IT organization by using cherries”

[5] Cognitieve dissonantie verwijst naar een situatie met tegenstrijdige houdingen, overtuigingen of gedragingen. Dit veroorzaakt een gevoel van mentaal ongemak dat leidt tot een verandering in een van de houdingen, overtuigingen of gedragingen om het ongemak te verminderen en het evenwicht te herstellen.

[6] https://www.gartner.com/smarterwithgartner/5-security-questions-board-will-definitely-ask/

[7] Bobbert & Mulder (2016) on GSS in Digitale Security in ISACA Journal (https://www.isaca.org/resources/isaca-journal/issues/2016/volume-5/boardroom-dynamics-group-support-for-the-boards-involvement-in-a-smart-security-decisionmaking-proce)

https://managementboek.nl/boek/9789090335131/leading-in-digital-security-yuri-bobbert

Deel artikel

Over deze auteur

Yuri Bobbert
View profile

Related content

NIS2
Blog Artikel

The NIS2 – What Boards Must Do

The NIS2 – a European directive that follows in the footsteps of NIS1 – requires full implementation by member states on October 17, 2024. This means that member states will have had time between January 16, 2023 and October 17, 2024, to translate the law into more specific rules and instructions in order to comply effectively. It's worth noting that certain countries and industries have already anticipated this shift and have started adapting to it. In this article, I describe three stances vital to boards or anybody having a steak in the company. And the primary obligations you must consider.
Yuri Bobbert
door Yuri Bobbert, PhD | 8 december 2020
Digitaal & IT
Blog Artikel

Waarom IT niet langer de blinde vlek mag zijn in de bestuurskamer van organisaties

De raad van bestuur schuift IT-beslissingen vaak door naar de CIO, maar moet meer verantwoordelijkheid nemen op het gebied van technologie en digitalisering. Het gaat niet om keuzes tussen systemen zoals Microsoft en SAP, maar om het sturen van de digitale strategie en het beheersen van bijbehorende bedrijfsrisico’s. Digitalisering vraagt om een langetermijnvisie vanuit de top.
door Steven De Haes, PhD, Rob Fijneman | 8 december 2020
Digitaal & IT
Digital risks 1
Blog Artikel

The need for Digital Due Diligence; How to prevent a pig in a poke

The heightened scrutiny of cybersecurity underscores the critical need for careful digital due diligence on digital assets and comprehensive risk assessments.
door Yuri Bobbert, PhD, Iris van Holsteijn | 8 december 2020
Digitaal & IT
Strategie & Innovatie
Ondernemerschap
Boogkeers campus AMS management school

AMS inzichten


Ontvang updates van ons onderzoek