Een business case voor awareness

Laatste update:
Tja, hoe dan? Veel organisaties worstelen met het opstellen van een business case voor bewustwording in informatieveiligheid en privacy. Het kwantificeren van potentiële toekomstige risico’s blijkt in de praktijk nog knap lastig en zo wordt er dus al jarenlang gegist naar cijfers. Maar als CISO, FG of PO is het van groot belang om een goed onderbouwde aanvraag te kunnen doen voor een nieuw awareness budget, en dat vereist het presenteren van concrete cijfers aan de financieel directeur of controller. Gelukkig hebben we bij Brooklyn Partners een sterke formule ontwikkeld die de kosten en baten van een awareness strategie helder in kaart brengt. Deze formule biedt tevens inzicht in de ROAI (Return On Awareness Investment), oftewel het rendement op jouw investering in bewustwording.

Van kwalitatief naar kwantitatief

Tot op heden wist men de budgetaanvraag voor bewustwording in cybersecurity en privacy veelal te onderbouwen met kwalitatieve argumenten. Denk daarbij bijvoorbeeld aan de volgende punten:

  • Verbeterde digitale vaardigheden: Awareness trainingen verbeteren de digitale vaardigheden van werknemers en daarmee dus cruciaal in de digitalisering van een organisatie.
  • Verminderd risico: Awareness in cybersecurity en privacy en de daarbij gepaarde best practices verminderen de kans op beveiligingsincidenten.
  • Beschermen van vertrouwelijke informatie: Cybersecurity en privacy awareness helpen bij het beschermen van vertrouwelijke informatie tegen externe bedreigingen en het onbedoeld delen van informatie, fouten, datalekken en andere risico’s
  • Voorkomen van imagoschade: Als overheidsinstelling of organisatie lijdt men al gauw aan imagoschade na een groot datalek of hack, met alle gevolgen van dien.
  • Voldoen aan wet- en regelgeving: Zoals de AVG, BIO en NIS2. Door de bewustwording te vergroten, kan een organisatie voldoen aan deze eisen en mogelijke boetes* of andere juridische consequenties vermijden.
    *Ervaring leert dat de Autoriteit Persoonsgegevens tot op heden nauwelijks serieuze boetes heeft opgelegd. But better safe than sorry.
  • Verhoogde productiviteit: Wanneer medewerkers zich bewust zijn van cybersecurity en privacy en vol zelfvertrouwen veilig online kunnen werken, werken ze efficiënter.

Qua kwantitatieve argumenten kwam men vaak niet verder dan wat vage en ongedefinieerde cijfers en uitspraken. Het hoofdargument was altijd:

  • Kostenbesparing: Voorkom je een datalek of hack, voorkom je een hele grote som aan geld die uitgegeven wordt voor het herstellen van gegevens en systemen.

DO YOU THINK CYBERSECURITY IS EXPENSIVE? TRY AN INCIDENT

Men had slechts een vaag idee van de kosten van een datalek of hack, evenals van de waarschijnlijkheid dat een organisatie ermee te maken krijgt. Hierdoor was het moeilijk om een financiële reserve aan te leggen voor het geval dat. Laat staan dat er een duidelijk plaatje bestond van de werkelijke kostenbesparingen die voortvloeien uit een effectieve cybersecurity en privacy awareness strategie.

De formule

Brooklyn Partners heeft met de ontwikkeling van een formule de kosten en baten van cybersecurity en privacyawareness eindelijk gekwantificeerd.
(verlaagd risico – jaarlijkse kosten security awareness programma) / (jaarlijkse kosten security awareness programma) *100% = ROAI

Het resultaat is een duidelijke ratio tussen de kosten van een investering in awareness en de verwachte opbrengsten, oftewel de ROAI.

De formule houdt rekening met diverse factoren, zoals de grootte van de organisatie, het type en niveau van het ingezette awareness programma, en de gemiddelde kosten van een klein, middelgroot, of groot datalek of hack. Ook kijken we naar het aantal datalekken en hacks per jaar per sector, de incidenten met een hoge kans op misbruik en de feitelijke kans dat een organisatie geraakt wordt. Op basis van deze factoren kan de ROAI van een cybersecurity en privacy awareness strategie worden bepaald.

Stel bijvoorbeeld dat er in een sector 5 hacks per jaar geconstateerd zijn en 90 incidenten met een hoge kans op misbruik. Als jouw organisatie in deze sector opereert met 350 partijen, dan is de kans dat jouw organisatie geraakt wordt door een hackaanval 1,4%. Vervolgens neem je het gemiddelde van de kosten van een succesvolle hack of datalek in jouw sector.

Met een awareness programma dat jouw risico met 20% verlaagt, kun je vervolgens een kostenbesparing van €22.400 verwachten, terwijl bijvoorbeeld het programma €15.000 kost. Dit resulteert in een ROAI van 49,33%.

Met deze formule kunnen CISO’s, FG’s en PO’s eindelijk een duidelijke business case voor cybersecurity en privacy awareness presenteren, met concrete cijfers en een heldere onderbouwing. Maar ook als oriëntatiemiddel en voor het kiezen van het juiste awareness programma is deze formule van onschatbare waarde.

Inmiddels benieuwd naar de cijfers voor jouw organisatie en wat een awareness programma aan rendement op kan leveren? Graag demonstreren we een businesscase voor jouw organisatie. Laat een berichtje achter en we nemen zo snel mogelijk contact met je op.

Bekijk ook deze blogs

Waarom de standaard phishingtest faalt
‘HELAAS, JE HEBT GEFAALD’ Amsterdam, 7 juli door Koen van Nistelrooij ‘Helaas,...
Het Awareness Activiteiten Canvas is een geweldig hulpmiddel om een awareness activiteit te ontwikkelen.
Met het Awareness Activiteiten Canvas ontwikkel je snel een awareness activiteit en...
Security Ambassadeurs. Wat komt daar nu eigelijk echt bij kijken?
Stel je eens voor: een ambassadeur die actief betrokken is bij het...
BP Logo
Advies op maat nodig?

Plan een gratis adviesgesprek in met onze cyber security consultant.