Waarom er te weinig geïnvesteerd wordt in cybersecurity

Bepalen wat de return on investment is voor investeringen in cybersecurity is bijna onmogelijk. De bedreigingen veranderen constant, het is lastig te bepalen wat de kans van slagen van een aanval is en hoe groot schade zal zijn. Het gevolg is dat beleidsmakers gedwongen zijn om op hun eigen oordeel af te gaan.

Lees ook: "Bedrijven doen te weinig aan cyberveiligheid"

Daarbij ontstaat een probleem: onderzoek uit de psychologie en behavioral economics wijst uit  dat het menselijke beoordelingsvermogen vaak op een eenzijdige manier werkt: we zijn vooringenomen. In het geval van cybersecurity gebruiken sommige CEO’s verkeerde aannames om te bepalen hoeveel investeringen er nodig zijn. Ze zien cyberveiligheid als het bouwen van een zo sterk mogelijke vesting: als je maar sterke firewalls bouwt, zie je de aanvaller ruim op tijd aankomen. Of ze gaan er vanuit dat het bedrijf veilig is voor aanvallen, als de richtlijnen van de instanties gevolgd zijn. Maar het gaat hier niet om een probleem dat opgelost kan worden, het is een doorlopend proces.

Alex Bau onderzocht met zijn behavioral science onderzoeksbureau ideas42 wat mensen die cyberveiligheid in hun pakket hebben kunnen doen om deze denkbeelden van de CEO te veranderen en te zorgen dat er meer geld beschikbaar komt. Vier tips:

Speel in op de emoties
Bij de gevaren van cyberattacks gaat het al snel om de integriteit of beschikbaarheid van data. Beter is het om in te spelen op de emotie en over concrete gevaren voor het bedrijf te spreken, over zorgen die misschien al spelen. Denk bijvoorbeeld aan het verlies van klantdata, maar ook de schadelijke gevolgen die dit heeft voor de reputatie van het bedrijf. Mensen hebben de neiging meer belang te hechten aan informatie die duidelijke consequenties en laat zien en inspeelt op emoties.

Vervang onjuiste denkbeelden
Succes bij cybersecurity moet niet bepaald worden door de sterkte van de ‘muur’, maar door het aantal zwakke plekken dat gevonden wordt. Een niet te kraken systeem bestaat niet. En hackers zullen altijd nieuwe manieren vinden om binnen te komen. Dus in tegenstelling tot wat logisch lijkt, is het juist een succes als er meer zwakheden opgespoord zijn. Dit betekent dat de beveiliging beter functioneert. Het meten van succes op deze manier, helpt de aandacht van de CEO te verplaatsen van het bouwen van het goede systeem (het idee van de vesting) naar het bouwen van het juiste proces.

Voorkom overschatting
Veel CEO’s overschatten hun investeringen in cybersecurity. Het idee is: wij doen het goed, het zijn de anderen die niet voldoende investeren. Om deze overschatting te voorkomen, helpt het CEO's direct te confronteren. Door het niveau van de prestaties op het gebied van cyberveiligheid te vergelijken met die van branchegenoten, kunnen dit soort te positieve ideeën tegen het licht gehouden worden.
Door Chief Information Security Officers (CISO’s) en executives van andere bedrijven te bevragen naar hoe goed zij hun cybersecurity geregeld hebben, ontstaat een referentiecriterium. Hoe specifieker de informatie, hoe beter.

Let ook op interne bedreigingen
CEO’s hebben de neiging zich te richten op externe bedreigingen. Berichten over hacks van bedrijven en organisaties krijgen automatisch veel aandacht. Het gevaar is dat gevaren van interne bedreigingen genegeerd worden. Denk aan slechte wachtwoorden of werknemers die op een foute link klikken, waardoor even grote schade kan ontstaan.

[Bron: HBR.org] 

Meer lezen over cybersecurity:

Fox-IT: "Helft van alle bedrijven is op dit moment gehackt"
"NL'se bedrijven minder goed voorbereid op cyberrisico's"
CFO, neem je verantwoordelijkheid voor databeveiliging