In Waarom neemt de top-cyberbeveiliging een vlucht?, merkte Cyber Security Hub voor het eerst een opvallende uitkomst op uit onze Mid-Year Survey die verder zal worden opgenomen in ons Mid-Year Report: 40% van de cybersecurity-gemeenschap heeft zijn mentaliteit niet veranderd in het licht van de wereldwijde pandemie. Een ander resultaat van het onderzoek waarnaar in het stuk wordt verwezen en dat in het rapport zal worden vermeld, is dat 20% van het toptalent op het gebied van cyberbeveiliging is losgelaten.
Het is met deze constructie dat we kijken naar nog een ander resultaat uit de Mid-Year Survey: 67.37% van de budgetten voor cyberbeveiligingsgemeenschappen zijn de afgelopen zes maanden gedaald of gelijk gebleven. (Alle respondenten van de enquête hebben de enquête tussen 17 mei ingevuldth En juni 8th).
Budgetten voor cyberbeveiliging zijn statisch of nemen af
Om 67.37% in context te plaatsen: bedenk dat 59.42% zei dat ze een toename in de begroting van slechts een jaar geleden in ons rapport van mei 2019. Dat betekent dat de begrotingen op hun kop staan ten opzichte van het niveau van twaalf maanden geleden.
Hoewel er tussen midden 2019 en eind 2019 een lichte daling was – deze was verwaarloosbaar – wat betekent dat meer dan de helft van de cyberbeveiligingsgemeenschap opmerkte dat de budgetten vorig jaar stegen. En nu, halverwege 2020, ziet nog geen derde van de gemeenschap de budgetten stijgen. Dat is een duidelijke verschuiving.
Een macro-economische cyberveiligheidstheorie
Je zou de theorie kunnen stellen dat het mondiale bedrijfsleven zelfs vóór de mondiale pandemie een economische neergang had verwacht en op zijn beurt de begrotingen had verlaagd. Maar dat nu, in de nasleep van de mondiale pandemie – met toenemende aanvallen – de begrotingen zeker zullen stijgen. Vergelijk die theorie eens met wat de gemeenschap denkt dat er de komende zes maanden met de begrotingen zal gebeuren: slechts 38.42% verwacht een stijging.
Het beste scenario van de gemeenschap is dat minder dan 40% de budgetten zal verhogen. Het beste scenario is een daling van 1/3 van de hogere budgetten.
En dus zijn er twee mogelijke uitkomsten…
Doe het met minder of vecht voor meer
In de ‘doe met minder’-hoek hebben we Dennis Leber, huidige Chief Information Security Officer | HIPAA-beveiligingsfunctionaris voor het Health Science Center van de Universiteit van Tennessee. Dennis is de inaugurele CISO bij het Health Science Center. Voordat hij begin dit jaar deze functie op zich nam, was hij Chief Information Security Officer voor het Cabinet for Health and Family Services (CHFS) van het Gemenebest van Kentucky. Dennis werkte dus tegelijkertijd in de sterk gereguleerde gezondheidszorgsector en werkte tegelijkertijd bij de deelstaatregering. GRC waren zijn middelste initialen (en misschien liet hij ze zelfs op zijn arm tatoeëren).
De term “Fort Knox” wordt soms met dezelfde naam gebruikt voor het concept van veiligheid – en dat is een mondiaal begrip. Fort Knox zelfopslag heeft een slotje in het logo en bevindt zich in Vermont…Australië.
Dat is een lange weg om het standpunt van Dennis nog meer geloofwaardigheid te geven. Zie je; hij was
Systeembeheerder/Information Security Management Officer voor het Amerikaanse leger in het huidige Fort Knox. Hij was verantwoordelijk voor InfoSec bij het Fort Knox of Security. Je kunt het googlen.
Cybersecurity en de doelstellingen van de instelling
Dus als hij zegt: je hebt geen geld nodig om veiliger te worden - Dennis blaast niet alleen maar rook - hij meent het.
Hij merkt op dat er een heleboel gratis bronnen van NIST zijn die je zou moeten verslinden. Hij gaf ons hier op CSHub.com zijn petje als een goede gratis bron voor goede informatie. En voor de goede orde hebben we het NIST Cyber Security Framework aangehaald Cyberveiligheidstactiek en -strategie.
Maar zijn advies is om niet zomaar dingen te doen zonder middelen. Zijn grotere visie is dat je, om de onderneming goed te beschermen, monetaire middelen nodig hebt, maar dat die monetaire middelen op een eenvoudige manier kunnen en moeten worden gerechtvaardigd. Zoals hij het zegt: “vereenvoudig de dingen om vertrouwen op te bouwen.”
Bovenaan dit stuk verwijzen we naar de 20% van de cyberbeveiligingsgemeenschap die werd losgelaten. De sleutel is om te weten dat ze niet 'boventallig zijn geworden'. Dennis merkt op dat je een verantwoordelijkheid hebt tegenover je organisatie – laat staan je medewerkers – om ervoor te zorgen dat iedereen precies begrijpt hoe elke persoon verbonden is met de doelstellingen van de instelling. Hij merkt op: als de zakelijke waardepropositie 'Mensen helpen mensen' is, is het jouw taak om aan de medewerker (laten we haar Nancy noemen) uit te leggen hoe haar pentest direct helpt om die waardepropositie te verwezenlijken. En verder is het jouw taak om ervoor te zorgen dat de C-Suite echt begrijpt hoe elke pentest de waardepropositie van de instelling oplevert.
Eén niet-actie leidt tot een inbreuk
Maar stop niet bij cyberveiligheidsbewustzijn. Duik dan in het diepe en leg uit dat elk van Nancy's pentests momenteel door Nancy wordt uitgevoerd tegen de respectieve procentuele salariskosten van haar bestede tijd. Verder, als Nancy niet elk van deze pentests zou uitvoeren, leg dan de afname van uw dreigingsinformatie uit, leg de kwetsbaarheid uit die niet zou worden beheerd, leg de potentiële aanvallen uit die niet zouden worden verijdeld en leg de inbreuk uit die zou kunnen optreden .
De dollarkosten van die inbreuk, plus de toekomstige IP-kosten van die inbreuk, plus de kosten voor de perceptie van het merk wanneer de inbreuk de krantenkoppen haalt, verklaren dat allemaal. Vraag je dan af: is het de moeite waard om Nancy's salaris te sparen als we ons aan zoveel risico blootstellen?
Hoe slecht de boeken er ook uitzien, welke verstandige CFO zou ja zeggen?
Vecht voor meer
Het einde van Dennis' 'doe met minder'-suggestie is dus in feite het begin van de 'vecht voor meer'-suggestie van Suresh Chawdhary, hoofd van Nokia's hoofd Beveiliging en Privacy.
Toen hij werd geïnformeerd over het neerwaartse begrotingsresultaat uit ons halfjaarrapport, antwoordde hij kalm: “Als uw budget de afgelopen drie jaar hetzelfde is gebleven, betekent dit dat u niet goed genoeg uw best doet om de business case te verwezenlijken.”
Dennis legde uit dat we zonder nieuwe middelen een nieuwe afspraak zouden kunnen krijgen dat we Nancy niet gaan laten gaan en dat we in ieder geval het budget hetzelfde zullen houden. Maar Suresh suggereert dat we het budget zouden kunnen en moeten verhogen.
Is uw C-Suite en Raad van Bestuur op de hoogte van de inlichtingen, instrumenten en het samenwerkingsnetwerk van cybercriminelen en statelijke actoren waar uw cyberbeveiligingsteam mee te maken heeft? Uw team is op de hoogte en u hebt goed werk verricht om het belang van cyberbeveiliging in de hele onderneming over te brengen. Iedereen weet immers dat als hij/zij in die phishing-e-mail trapt, uw inbreuk op de onderneming hun schuld kan zijn. Dus dat is krachtig.
Suresh suggereert dat diezelfde kracht van kennis er achter moet zitten dat u de volgende keer dat u het gesprek voert, pleit voor het verhogen van uw budget.
