Beveiliging wordt van oudsher gezien als een kostenplaats, waardoor het zo min mogelijk geld krijgt. Veel CISO's, CSO's en CRO's droegen bij aan dat beeld door voornamelijk te praten in termen van het vermijden van rampen, zoals datalekken die de onderneming schade toebrengen en ransomware die deze mogelijk platlegt.
Maar wat als beveiliging zich in plaats daarvan zou presenteren als een manier om de omzet te verhogen en het marktaandeel te vergroten? Dat zou die gemakkelijk kunnen verschuiven financiële discussies in iets veel comfortabelers.
Apple prees bijvoorbeeld zijn investeringen in de veilige enclave om te beweren dat het gebruikers meer privacy biedt. Concreet voerde het bedrijf aan dat dit niet kon informatie vrijgeven aan de federale autoriteiten omdat de enclave net zo veilig was. Apple veranderde dat in een krachtig concurrentieargument tegen rivaliserende Android-maker Google, die een groot deel van zijn inkomsten verdient door geld te verdienen met de gegevens van gebruikers.
In een ander scenario vereisen bankregelgeving dat financiële instellingen klanten vergoeden die het slachtoffer zijn geworden van fraudeurs, maar ze zorgen voor een uitzondering voor draadfraude. Stel je voor dat een bank zich realiseert dat het dekken van alle fraude — ook al is dit niet verplicht — een krachtige onderscheidende factor kan zijn die haar marktaandeel zou vergroten door klanten beter te ondersteunen dan concurrenten. Hoe kan de bank dit betalen? Het verhoogt de beveiligingsinvesteringen tot het punt waarop de verwachte fraudeverliezen aanzienlijk minder zijn dan de verwachte toename van de inkomsten.
Of kijk naar het geval van een cloudprovider, die zich zou kunnen onderscheiden van de meeste grote cloudproviders door de uptime-prestaties te verbeteren door zich te concentreren op het verminderen van de schade door DDoS-aanvallen. Zelfs verder weg zou een landbouwbedrijf dat in betere beveiliging heeft geïnvesteerd, het vertrouwen kunnen vergroten en meer partners kunnen aantrekken, en zo uitbreiden naar lucratieve nieuwe markten. Een breed scala aan bedrijven kan pleiten voor het verbeteren van de algehele bedrijfsprestaties door de cyberbeveiliging te verbeteren.
Casestudy: Bemiddeling bij cyberverzekeringen
Een ander voorbeeld van het gebruik van beveiliging om de omzet expliciet te verhogen, is afkomstig van Marsh McLennan, een bedrijf met een omzet van $ 10 miljard dat zichzelf als 's werelds grootste verzekeringsmakelaar beschouwt.
Een van de grootste recente trends in cyberbeveiligingsverzekeringen zijn verzekeringsmaatschappijen die weigeren te verzekeren veel ondernemingen omdat de onderneming geen beveiliging heeft die voldoet aan de strenge eisen van die verzekeraar. Hoewel dit hun potentiële verliezen beperkt, is het ook meteen bedreigt de inkomsten van verzekeringsmaatschappijen vanwege het wegvallen van premie-inkomsten.
Om het aantal bedrijven dat het aan verzekeringsmaatschappijen kan leveren te maximaliseren en daarmee zijn eigen inkomsten te behouden, evalueert Marsh bedrijven. Wanneer het beveiligingsprofiel van een bedrijf niet voldoende is, schakelt Marsh zijn beveiligingsbedrijfspartners in om het beveiligingsprofiel van die potentiële klant op een niveau te brengen waarop het in aanmerking komt voor een polis bij de verzekeringsmaatschappij. Dat is goed voor het bedrijf omdat het een verzekering kan afsluiten en betere zekerheid geniet, het is goed voor de verzekeringsmaatschappij omdat het de premie-inkomsten krijgt, en het is goed voor Marsh, dat een goede en succesvolle doorverwijzing doet.
“We beschouwen de klantrelatie als een holistische levenscyclus. Het afsluiten van verzekeringen is ons brood en boter”, zegt Katherine Keefe, leider van cyberincidentbeheer bij Marsh. “Onze klanten hebben ondersteuning nodig bij hun voorbereiding: hoe ze zich moeten voorbereiden, hoe ze een incidentresponsplan moeten ontwikkelen [of] tafelbladoefeningen. We bieden hen tools en oplossingen en ondersteunen cybervoorbereiding.”
Verschuiving van verdediging naar groei
Stephen Boyce, uitvoerend leider op het gebied van informatiebeveiliging bij Magnet Forensic, betoogt dat wanneer bedrijfsbeveiligingsmanagers zich richten op wat prospects belangrijk vinden, en daarom helpen met inkomsten en marktaandeel, dit de meest effectieve manier kan zijn om de beveiligingshouding te verbeteren.
"Wat het doet, is een verschuiving creëren in de relatiedynamiek tussen de CISO en de CFO, en mogelijk de rest van het C-level team", zegt Boyce.
Dit heeft inderdaad het potentieel om de relatiedynamiek te veranderen, maar CISO Rex Booth van SailPoint benadrukt dat een dergelijke verandering alleen kan plaatsvinden als de onderneming er klaar voor is. En, voegt hij eraan toe, velen zijn dat nog niet.
“Veel te lang is beveiliging [gericht] geweest op conflicten, waar het een faciliterende functie zou moeten zijn. En dat vereist wel een verschuiving in de relatiedynamiek van de CISO - een rol die van oudsher wordt gezien als puur risicovermindering", zegt Booth. “Dit moet gebeuren bij het aantal bedrijven dat volwassen genoeg is om hun CISO mee te nemen en ze niet alleen een beveiligingsrol te geven, maar ook een omzetgenererende rol. Sommigen migreren die kant op, maar de meeste organisaties zijn er nog niet.”
Waarde bewijzen door het bedrijf te verbeteren
Toch zegt Booth dat er voor- en nadelen in het spel zijn. Het argument tegen zo'n verandering - of in ieder geval het vertragen ervan - is dat beveiligingsafdelingen tegenwoordig een ernstig onderbudget hebben, wat betekent dat ze onderbemand zijn en het moeilijk vinden om de onderneming goed te verdedigen. Dat suggereert dat pogingen om de verkoop te ondersteunen hun aandacht verder zullen afzwakken en een slechte situatie potentieel erger zullen maken.
Het tegendeel hiervan is dat onderbegrote beveiligingsoperaties waarschijnlijk altijd onderbegroot zullen zijn. Door periodieke maatregelen te nemen om de verkoop te ondersteunen - misschien slechts een of twee keer per jaar - kan het voor de CFO, de COO, de CEO en de raad van bestuur het potentieel illustreren om beveiliging te gebruiken om het bedrijfsresultaat te verbeteren. En in theorie zou dat er op een zinvolle manier toe kunnen bijdragen dat beveiliging iets beter wordt begroot, wat op zich al een enorme hulp zou kunnen zijn bij het verdedigen van de onderneming.
Dat is zelfs nog belangrijker, aangezien de kerninspanningen van beveiliging vaak moeilijk te bewijzen zijn vanuit een waarde-ROI-perspectief.
"Als ik vanuit veiligheidsoogpunt alles goed doe, kan ik niet tegen het bestuur zeggen: 'Ik heb u $ 2 miljoen bespaard vanwege die ransomware-gebeurtenissen die nooit hebben plaatsgevonden'", zegt Booth.
Het doel moet verder gaan dan het overtuigen van prospects om klanten te worden en het vergroten van het marktaandeel, en het moet klantenbehoud omvatten, betoogt Bob Hansmann, leider op het gebied van cyberrisico- en beveiligingsproducten bij Infoblox.
"De onderneming moet ervoor zorgen dat de services niet alleen beschikbaar en beschikbaar zijn, maar dat ze soepel werken", zegt Hansmann. "En beveiliging is de eenheid die het best gepositioneerd is - in termen van ervaring, talent en tools - om dat mogelijk te maken."
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://www.darkreading.com/edge-articles/security-is-a-revenue-booster-not-a-cost-center
