Icon info
NL
EN
https://www.antwerpmanagementschool.be/nl/
Home
https://www.antwerpmanagementschool.be/nl/inzichten
Inzichten
https://www.antwerpmanagementschool.be/nl/blog/digitale-risicos-bedrijven
Digitale risico's voor bedrijven, wat kosten ze?
Terug naar overzicht
Digital risks 1
Digitaal & IT

Digitale risico's voor bedrijven, wat kosten ze?

Zakelijke informatiebeveiliging analyseren voor een use case van gegevensinbreuk; In een digitale bedrijfswereld die sterk gedistribueerd is via een ecosysteem, is het van vitaal belang om jouw digitale zekerheid te garanderen. Alles moet continu werken. Vertrouwelijkheid, integriteit en auditeerbaarheid moeten worden gewaarborgd, vooral wanneer jouw bedrijf gereguleerd is en moet aantonen "in control" te zijn. Maar hoe doen we dat als bedrijfsmodellen onder vuur liggen door hackers? Hackers gebruiken sterk geautomatiseerde aanvalsmethoden en werken ook in een gedistribueerd ontwijkend platformmodel dat hun identiteit en criminele organisatie verhult. Daarom vormen hackers een bedreiging voor je bedrijf. Variërend van door de staat gesponsorde hackers tot scriptkiddies die allemaal geavanceerde manieren vinden om op het voorportaal van je bedrijf te hameren. Voor jou betekent een IP-adres je API-winkel of kritisch bedrijfsproces; voor een hacker is het gewoon een aanval met een IP-nummer, zonder zich zorgen te maken en zonder de gevolgen te kennen.
Yuri Bobbert
door Yuri Bobbert, PhD | 21 augustus 2020
Share on
Digital risks 1

Als bedrijfsleiders moeten we onszelf de vraag stellen:

  • Hoe kunnen we als bedrijfsmanagers verschillende soorten hackers en hun intentie onderscheiden?
  • Hoe kunnen we scenario's simuleren en de impact op het bedrijf berekenen in termen van economisch verlies?
  • Wat kunnen we doen om die te identificeren, te beschermen en erop te reageren en welke beveiligingsinvesteringen zijn gerechtvaardigd om de risico's te beperken?

Dit zijn typische vragen die een CISO moet beheersen in een wereld waarin geld wordt verdiend via digitale bedrijfsplatforms en de rol van de CISO bestaat uit het nemen van leiderschap en verantwoordelijkheid. Dit is precies waar we technische leiders van de toekomst op begeleiden bij het volgen van het masterprogramma Cybersecurity. Periodiek onderzoeken we cases die studenten hebben uitgevoerd als onderdeel van opdrachten en werpen we nieuw licht of nieuwe inzichten op het onderwerp. Deze keer vragen we Pascal de Haan (DSM) en Tim Vandeput (TConsult) naar het analyseren van BIS en de mogelijke impact van een datalek bij een financieel bedrijf.

1. Welk probleem heb je onderzocht?

We onderzochten de potentiële impact van een kwetsbaarheid in de digitale kanalen van een financiële instelling. Financiële spelers zijn steeds meer afhankelijk van digitale interactie met hun klanten en partners, deels veroorzaakt door nieuwe regelgeving die banken en andere financiële organisaties verplicht hun diensten via API's beschikbaar te stellen.

De bijkomende introductie van DevOps leidt ook tot frequentere updates en frequentere releases van functionaliteit in de digitale kanalen en vergroot daarmee de kans op het vrijkomen van kwetsbaarheden in code. In dit scenario gingen we ervan uit dat een dergelijke kwetsbaarheid minder eerbare personen in staat zou stellen om klantgegevens, waaronder persoonlijke informatie, uit de kernsystemen te halen. Met meer dan 3 miljoen actieve klanten zou dit kunnen leiden tot aanzienlijke financiële en niet-financiële schade voor het bedrijf in kwestie.

2. Hoe heb je dit gedaan? Hoe heb je dit aangepakt?

We begonnen onze onderzoeksopdracht met het bekijken van het jaarverslag, persberichten en andere publiek beschikbare informatie van het bedrijf, evenals interne documenten, om een beeld te krijgen van de huidige strategie en risicobeheersing. Vervolgens hielden we een interview met het hoofd IT-beveiliging van de organisatie. Dit was nodig om gegevens te verzamelen voor de volgende stappen, waarbij we een analyse van de materiële en immateriële kosten van datalekken en de daaruit voortvloeiende gap-analyse uitvoerden, met behulp van referentiegegevens van IBM Ponemon en Verizon DBIR. De onderstaande afbeelding toont de verschillende aanvalsvectoren die we hebben onderzocht als levensvatbare scenario's. Niet alleen voor ons geval, maar voor elk financieel bedrijf.

Vervolgens stelden we beveiligingsbeperkende activiteiten voor met alternatieven en voerden we een Return on Security Investment (ROSI)-berekening uit om aan te tonen dat de investeringen gerechtvaardigd zijn. Tot slot hebben we alles met elkaar verbonden door middel van een Cybersecurity Balanced Scorecard (BSC) en bijbehorende roadmap die laten zien hoe deze investeringen in cyberbeveiliging de strategie van de organisatie ondersteunen. Een leuke oefening was de CISO-beoordeling waarbij het type CISO dat het bedrijf nu heeft, werd vergeleken met wat wordt aanbevolen op basis van het CISO Assessment Level Model (CALM) van Russel Reynolds.

3. Wat heb je gevonden? Wat moeten mensen echt weten?

De potentiële financiële impact (materieel en immaterieel) overtrof alle verwachtingen. Door de oefening met de casusonderneming uit te voeren, creëerden we bewustzijn over de potentiële gevolgen. Door de potentiële kosten zo transparant mogelijk te maken, helpt het om de investering te "verkopen" aan het senior management en de raad van bestuur. Door deze financiële impact te gebruiken in de berekeningsmethode Return of Security Investment (ROSI), konden we de beveiligingsinvestering rechtvaardigen. Return on Security Investment (ROSI) vertegenwoordigt de hoeveelheid verminderd risico, verminderd met de hoeveelheid uitgegeven geld, gedeeld door het bedrag dat is uitgegeven aan cyberbeveiligingscontroles. Het bedrijf wil graag weten hoeveel het aan beveiliging moet uitgeven om het risico te verminderen en wanneer de investering het grootste rendement oplevert. Het doel van de ROSI is hoeveel het bedrijf kan besparen door te investeren in IT-beveiliging. Parallel daaraan moeten alle investeringen in cyberbeveiliging worden bekeken en moet de investeringsportefeuille worden geprioriteerd. Voordat we een ROSI-berekening kunnen maken, hebben we echter wat informatie nodig. We hebben eerst een Business Impact Analyse (BIA) uitgevoerd om de kritieke bedrijfsfuncties en bijbehorende bedrijfsmiddelen te identificeren. Dit begint met het uitzoeken welke processen kritisch zijn voor het succes van het bedrijf. Een ander belangrijk perspectief voor een organisatie komt voort uit analytische risicoblootstellingsmethoden die de kosten van beveiligingsincidenten verklaren. We nemen de Single Loss Exposure (SLE) en vermenigvuldigen deze met de Annual Rate of Occurrence (ARO) en het resultaat hiervan is de Annual Loss Exposure (ALE). ALE = ARO x SLE

Om de daadwerkelijke ROSI-berekening uit te voeren, heb je deze parameters nodig:

  • Single Loss Expectancy (SLE) = de verwachte hoeveelheid geld die verloren gaat tijdens een enkel beveiligingsincident.
  • Annual Rate of Occurrence (ARO) = de kans dat zich in een jaar een beveiligingsincident voordoet.
  • Jaarlijkse blootstelling aan verlies (ALE): Het totale jaarlijkse financiële verlies dat wordt verwacht als gevolg van een beveiligingsincident.
  • Recurring Security Costs (RSC) = Jaarlijkse beveiligingskosten (licenties, audits, gespecialiseerd personeel).
  • Mitigation Ratio = Percentage bedreigingen dat wordt afgeschrikt door de beveiligingsoplossing.
  • Beveiligingskosten (Scost) = initiële investering in de digitale beveiligingsmaatregel.

Voorbeelden van potentiële kosten die we verwachtten zijn (zie tabel voor volledig overzicht):

  • GDPR (boetes) (blauw)
  • Onderzoek en forensisch onderzoek (olijfgroen)
  • Vergoedingen voor slachtoffers (tarwe)
  • Verminderd marktaandeel (oranje)

In dit rekenvoorbeeld:

  • ALE: €200.000.000
  • Risicobeperking: 50% door het nemen van een beveiligingsmaatregel
  • Scost: €0,5 miljoen
  • ROSI: 1900%

Door de grote ROSI-waarde van 1900% kunnen de extra kosten worden verhoogd tot 99 miljoen euro voordat de ROSI negatief wordt.

Beste poging ROSI: 900%, extra kosten kunnen worden verhoogd tot 49 miljoen voordat de ROSI negatief wordt.

Lage inschatting ROSI: 560%, extra kosten kunnen tot 34 miljoen worden verhoogd voordat de ROSI negatief wordt.

De volgende verbeterpunten werden gevonden om het risico verder te verlagen:

  • Intern risicobeheer Scoren en in kaart brengen van risico's naar interne controles
  • Gebrek aan beveiliging ingebed in de nieuwe DevOps- en agile-methodologieprocessen
  • Verbeteringen in het three lines of defense-model
  • Verschuiving naar een meer proactieve aanpak voor risicomonitoring
  • Onafhankelijke bewaking van de efficiëntie van de geïmplementeerde controles verbeteren

Zoals je misschien hierboven hebt opgemerkt, hebben we proces- en bestuursverbeteringen gevonden in plaats van harde controles. Een goed op elkaar afgestemd end-to-end proces, dat gebruikmaakt van het three lines of defense-model, was niet aanwezig binnen het bedrijf in de casus. Door gebruik te maken van het three lines of defense model en de governance en processen te verbeteren, wordt ervoor gezorgd dat (effectieve) controls worden geïmplementeerd en dat ineffectieve controls tijdig worden opgemerkt. Door dat met een Balanced Scorecard te doen, vindt het meer weerklank bij het bestuur van de casus.

4. Waarom is dit belangrijk? / Wat kunnen anderen leren van je situatie?

Door de potentiële kosten transparant te maken en te gebruiken in de ROSI-berekening maak je voor het bedrijf tastbaar wat je probeert te beschermen met je investering. Dit maakt het "makkelijker te verkopen" aan het bestuur om de investering goedgekeurd te krijgen.

We hebben ook opgemerkt dat een goed bestuur en een goed proces moeten zorgen voor voortdurende verbetering en dat de verdedigingslinies de controles voortdurend moeten versterken. Als deze mechanismen aanwezig zijn, creëer je een zelflerende en validerende organisatie.

5. Waarom adviseer je anderen om zo'n cursus/masterprogramma te volgen?

We zouden aanraden om een masteropleiding te volgen om inzicht te krijgen in spannende theoretische modellen, deze in de praktijk toe te passen, er onderweg over na te denken met je casestudy, je medestudenten en professoren, wat allemaal leidt tot groei als professional, terwijl je praktisch en toepasbaar advies geeft aan je casestudy.

Conclusie van prof. dr. Yuri Bobbert

Concluderend kunnen we stellen dat het analyseren van verschillende cyberactoren ten opzichte van organisaties nodig is. Niet alleen via traditionele manieren zoals waarschijnlijkheid en impact, maar ook op een meer economische en kwantificeerbare manier. Door de analyse uit te voeren op basis van bekende actoren (zoals door de staat gesponsorde hacks met spionage en economisch voordeel als doel), meestal afgeleid uit dreigingsrapporten van landen - zoals de Belgische of Nederlandse National Cyber Security Centers (NCSC). Elk land identificeert relevante actoren en hun manier van werken in bepaalde sectoren. Door dit soort bedreigingsgegevens te combineren met bedrijfsspecifieke verliesgegevens, kunnen organisaties bedreigingsscenario's, potentiële inbreuken (vertaald in de ALE) en potentiële financiële gevolgen identificeren. Je kunt direct inzicht geven in de kosten voor het bedrijf en de potentiële opbrengsten door de afzonderlijke risico-impactscenario's en de som van alle risico-impactscenario's als geheel te bekijken en deze scenario's vervolgens in kaart te brengen voor zowel lopende beveiligingsactiviteiten als nieuwe beveiligingsactiviteiten en de bijbehorende uitgaven. Het monitoren van de individuele initiatieven en het totale programma via Balanced Score Cards-methodologieën helpt bij een betere buy-in bij het senior business management en raden van bestuur. Dit zijn methoden, technieken en soft skills die AMS biedt aan potentiële beveiligingsleiders die het Executive Master-programma volgen.

Leer meer over onze Executive Master in IT Risk & Cyber Security Management

Deel artikel

Over deze auteur

Yuri Bobbert
View profile

Related content

NIS2
Blog Artikel

The NIS2 – What Boards Must Do

The NIS2 – a European directive that follows in the footsteps of NIS1 – requires full implementation by member states on October 17, 2024. This means that member states will have had time between January 16, 2023 and October 17, 2024, to translate the law into more specific rules and instructions in order to comply effectively. It's worth noting that certain countries and industries have already anticipated this shift and have started adapting to it. In this article, I describe three stances vital to boards or anybody having a steak in the company. And the primary obligations you must consider.
Yuri Bobbert
door Yuri Bobbert, PhD | 21 augustus 2020
Digitaal & IT
Blog Artikel

Waarom IT niet langer de blinde vlek mag zijn in de bestuurskamer van organisaties

De raad van bestuur schuift IT-beslissingen vaak door naar de CIO, maar moet meer verantwoordelijkheid nemen op het gebied van technologie en digitalisering. Het gaat niet om keuzes tussen systemen zoals Microsoft en SAP, maar om het sturen van de digitale strategie en het beheersen van bijbehorende bedrijfsrisico’s. Digitalisering vraagt om een langetermijnvisie vanuit de top.
door Steven De Haes, PhD, Rob Fijneman | 21 augustus 2020
Digitaal & IT
Digital risks 1
Blog Artikel

The need for Digital Due Diligence; How to prevent a pig in a poke

The heightened scrutiny of cybersecurity underscores the critical need for careful digital due diligence on digital assets and comprehensive risk assessments.
door Yuri Bobbert, PhD, Iris van Holsteijn | 21 augustus 2020
Digitaal & IT
Strategie & Innovatie
Ondernemerschap
Boogkeers campus AMS management school

AMS inzichten


Ontvang updates van ons onderzoek