Spreek de taal van de CFO en krijg budget vrij voor cybersecurity
Elke CISO weet dat het cyberlandschap steeds geavanceerder wordt. Dit maakt het beveiligen van de organisatie tot een taak waar geen einde aan lijkt te komen. Bijna 90% van de organisaties heeft de afgelopen drie jaar te maken gehad met een datalek, waarbij insider threats, phishing en Business Email Compromise (BEC) de kop opsteken.
Grootschalige cyberaanvallen halen de afgelopen jaren steeds vaker de krantenkoppen en bekende merken hebben publiekelijk moeten toegeven dat ze er het slachtoffer van zijn geworden. Daarom ziet de meerderheid van de leden van de raad van bestuur in dat beveiliging geen doel op zich is, maar een continu proces.
Echter, het probleem erkennen en voldoende middelen inzetten om het op te lossen zijn twee verschillende dingen. Zeker gezien de financiële beperkingen waar veel bedrijven nu mee te maken hebben als gevolg van de wereldwijde pandemie. De taak van de CISO om het bestuur, en met name de CFO, te overtuigen om te investeren in cybersecurtiy, wordt steeds uitdagender.
Door dezelfde taal als de CFO te leren spreken, kunnen CISO's hun budgetten verbeteren en ervoor zorgen dat ze de investering krijgen die ze nodig hebben om hun verplichtingen na te komen. Maar hoe?
De CFO begrijpen
Je kunt beginnen door de wereld waarin de CFO leeft beter te begrijpen. CFO's houden zich natuurlijk vooral bezig met de financiële prestaties van de organisatie - het beschermen van de activa en de winstgevendheid maximaliseren om zo het succes van de organisatie te garanderen. Ze fungeren doorgaans als de rechterhand van de CEO en zorgen ervoor dat het bedrijf waarde kan creëren en de omzet kan verhogen.
Het naleven van de beveiligingsrichtlijnen is niet iets waar de CFO veel tijd aan besteedt. Desondanks erkennen ze dat de kosten van een beveiligingsincident catastrofaal kunnen zijn en geloven ze, samen met 85% van de C-suite, dat het beperken van datalekken een essentiële prioriteit is. Neem bijvoorbeeld het risico op Business Email Compromise (BEC)-aanvallen, die in rap tempo een van de meest kostbare misdaden zijn geworden. De FBI schatte de verliezen als gevolg van dergelijke aanvallen onlangs op 26,5 miljard dollar in de afgelopen drie jaar.
Ondanks het aangetoonde financiële risico hebben organisaties geen onbeperkte budgetten en moeten CFO's zeer goed nadenken over hoe het geld wordt besteed om de verschillende beveiligings- en compliancerisico's aan te pakken.
De interne dialoog van CFO’s
Tijdens gesprekken met CFO's wordt al snel duidelijk dat zij een relatief formeel denkproces hebben telkens wanneer iemand vraagt om investeringen. Een van die CFO's heeft ons meegenomen in de 'interne dialoog' die zij hebben tijdens een gesprek met een CISO:
- Welk risico wordt hiermee aangepakt en hoe groot is dit risico in vergelijking met de inkomsten?
- Wat zijn de kosten van deze oplossing vergeleken met de impact van een cyberincident, uitgespreid over een periode van drie tot vijf jaar?
- Welke middelen hebben we al op dit gebied en hoe effectief zijn die? Hoe effectief is deze oplossing in vergelijking met andere oplossingen?
- Waarom hebben we juist deze oplossing nodig, in plaats van een alternatief?
- Kunnen we leveranciers consolideren voor meer eenvoud en een grotere financiële slagkracht?
De CISO moet deze interne dialoog erkennen, erop reageren en ervoor zorgen dat deze vragen aan bod komen in de business case en het bijbehorende gesprek.
Cybersecurity-investeringen – de business case maken
Voor de CFO komt de tactische leiding van de organisatie op de eerste plaats. Daarom is het verstandig om, voordat je naar de CFO gaat om nieuwe investeringen te bespreken, je cybersecurity-doelstellingen en budgetvoorstel af te stemmen op de bredere bedrijfs- en compliance-doelen. Werk de volgende stappen af om een overtuigende business case te creëren voor de investering:
1: Leg de nadruk op waar het misgaat
De eerste stap bij het formuleren van de business case voor investeringen in cybersecurity is ervoor zorgen dat je het probleem duidelijk en bondig omschrijft.
Beschrijf het probleem eerst in niet-technische termen. Geef bijvoorbeeld aan dat je systemen bepaalde soorten kwaadaardige e-mails door de gateway laten passeren. Of dat je bedrijf niet in staat is om kritische gegevens te traceren die zich binnen de cloud-systemen van derden bewegen.
Overweeg om de vergelijking met soortgelijke bedrijven te maken en hoe zij omgaan met deze kwestie. Dit zorgt ervoor dat de CFO zicht heeft op wat verdedigbaar zou zijn als er zich een incident zou voordoen.
2: Kwantificeer de bijbehorende risico- en impactniveaus
Werk het probleem door en laat zien hoe dit kan leiden tot een veiligheidsincident. Gebruik de risicomodellen die al aanwezig zijn binnen je bedrijf.
Maak goed duidelijk wat de mogelijke schade is van een datalek en hoe groot de kans daarop is. Overweeg om een 'Value at Risk'-maatstaf te gebruiken om op één lijn te komen met andere financiële modellen. Refereer aan de kosten als onderdeel van de jaarlijkse omzet, maar zie het ook als een reputatiekwestie. Vermeld ook eventuele boetes van de toezichthouder of extra kosten die voortvloeien uit de toegenomen regelgeving.
Presenteer de potentiële verliezen naast recente voorbeelden uit de media om de ernst van de situatie te benadrukken - of het nu gaat om ransomware, insider threats of e-mailfraude.
3: Beschrijf de oplossing
Beschrijf in niet-technische termen de oplossing waarvoor de budgetaanvraag is ingediend.
Leg uit waarom deze oplossing het risico aanpakt en waarom de aanwezige controles dat niet doen. Zorg ervoor dat je voorstel een aantal alternatieven bevat zodat de CFO de flexibiliteit heeft om zelf onderzoek te doen, zelfs als je het gevoel hebt dat de oplossing duidelijk genoeg is.
Benadruk de mogelijkheden van de investering, zoals de mogelijkheid tot consolidatie om het technologisch eigendom te vereenvoudigen of om een grotere hefboomwerking voor korting te verkrijgen. Of de mogelijkheid om de efficiëntie te verhogen door middel van automatisering.
4: Benadruk de waarde van de investering
Zorg er ten slotte voor dat je business case de specifieke kosten in kaart brengt. De CFO begrijpt dat het lastig is om een 'security ROI' te creëren, dus de afwezigheid ervan is geen belemmering. Probeer echter wel 'value for money' aan te tonen en te laten zien hoe de oplossing over het geheel genomen geld kan besparen.
- Wat zijn de kosten van het product en de geschatte kosten van de wijziging? Neem in dit overzicht eventuele besparingen door automatisering, of consolidatie op. Maak ook een overzicht van mogelijke kosten van de implementatie, inclusief training, projectkosten, etc.
- Wat zijn de kosten van de oplossing in vergelijking met het financiële risico dat het helpt voorkomen? Hoe verhouden de totale kosten zich tot het risico over een periode van drie tot vijf jaar? Dit is de kritische berekening die de CFO zal willen begrijpen.
Vergeet niet de tijd van de CFO te respecteren. Als er één persoon in de organisatie is die het net zo druk heeft als de CISO, dan is het wel de CFO. Maar veiligheid en compliance zijn slechts één aspect van het denken van de CFO, niet iets waar hij of zij elke dag aan denkt. Als je je budgetvoorstel beknopt houdt, laat je zien dat je begrip hebt voor dit feit.
Dichter bij de C-suite komen
Vaak wordt de 'C' in CISO ondergeschikt gemaakt aan de 'C' in COO, CFO en CRO. Dat moet echter veranderen als de branche de veiligheidsuitdagingen wil aanpakken waar onze digitale economie mee te maken heeft.
Om die kloof te dichten, moeten CISO's een betere verstandhouding opbouwen met collega's in de C-suite. Ze moeten laten zien dat ze begrijpen dat het niet alleen draait om het beveiligen, maar ook om het runnen van een bedrijf. Door je collega's van de C-suite beter te leren kennen en inzicht te krijgen in hun regels en checklists, kun je nog sneller ontwikkelen.
De CFO is de meest invloedrijke persoon aan de tafel na de CEO, dus investeer je tijd en aandacht verstandig. Je zult niet alleen merken dat je budgetaanvragen kansrijker zijn, maar je zult ook merken dat je een prominente bondgenoot hebt bij toekomstige vergaderingen van de raad van bestuur.