Van kwalitatief naar kwantitatief
Tot op heden wist men de budgetaanvraag voor bewustwording in cybersecurity en privacy veelal te onderbouwen met kwalitatieve argumenten. Denk daarbij bijvoorbeeld aan de volgende punten:
- Verbeterde digitale vaardigheden: Awareness trainingen verbeteren de digitale vaardigheden van werknemers en daarmee dus cruciaal in de digitalisering van een organisatie.
- Verminderd risico: Awareness in cybersecurity en privacy en de daarbij gepaarde best practices verminderen de kans op beveiligingsincidenten.
- Beschermen van vertrouwelijke informatie: Cybersecurity en privacy awareness helpen bij het beschermen van vertrouwelijke informatie tegen externe bedreigingen en het onbedoeld delen van informatie, fouten, datalekken en andere risico’s
- Voorkomen van imagoschade: Als overheidsinstelling of organisatie lijdt men al gauw aan imagoschade na een groot datalek of hack, met alle gevolgen van dien.
- Voldoen aan wet- en regelgeving: Zoals de AVG, BIO en NIS2. Door de bewustwording te vergroten, kan een organisatie voldoen aan deze eisen en mogelijke boetes* of andere juridische consequenties vermijden.
*Ervaring leert dat de Autoriteit Persoonsgegevens tot op heden nauwelijks serieuze boetes heeft opgelegd. But better safe than sorry. - Verhoogde productiviteit: Wanneer medewerkers zich bewust zijn van cybersecurity en privacy en vol zelfvertrouwen veilig online kunnen werken, werken ze efficiënter.
Qua kwantitatieve argumenten kwam men vaak niet verder dan wat vage en ongedefinieerde cijfers en uitspraken. Het hoofdargument was altijd:
- Kostenbesparing: Voorkom je een datalek of hack, voorkom je een hele grote som aan geld die uitgegeven wordt voor het herstellen van gegevens en systemen.
“
Men had slechts een vaag idee van de kosten van een datalek of hack, evenals van de waarschijnlijkheid dat een organisatie ermee te maken krijgt. Hierdoor was het moeilijk om een financiële reserve aan te leggen voor het geval dat. Laat staan dat er een duidelijk plaatje bestond van de werkelijke kostenbesparingen die voortvloeien uit een effectieve cybersecurity en privacy awareness strategie.
De formule
Brooklyn Partners heeft met de ontwikkeling van een formule de kosten en baten van cybersecurity en privacyawareness eindelijk gekwantificeerd.
(verlaagd risico – jaarlijkse kosten security awareness programma) / (jaarlijkse kosten security awareness programma) *100% = ROAI
Het resultaat is een duidelijke ratio tussen de kosten van een investering in awareness en de verwachte opbrengsten, oftewel de ROAI.
De formule houdt rekening met diverse factoren, zoals de grootte van de organisatie, het type en niveau van het ingezette awareness programma, en de gemiddelde kosten van een klein, middelgroot, of groot datalek of hack. Ook kijken we naar het aantal datalekken en hacks per jaar per sector, de incidenten met een hoge kans op misbruik en de feitelijke kans dat een organisatie geraakt wordt. Op basis van deze factoren kan de ROAI van een cybersecurity en privacy awareness strategie worden bepaald.
Stel bijvoorbeeld dat er in een sector 5 hacks per jaar geconstateerd zijn en 90 incidenten met een hoge kans op misbruik. Als jouw organisatie in deze sector opereert met 350 partijen, dan is de kans dat jouw organisatie geraakt wordt door een hackaanval 1,4%. Vervolgens neem je het gemiddelde van de kosten van een succesvolle hack of datalek in jouw sector.
Met een awareness programma dat jouw risico met 20% verlaagt, kun je vervolgens een kostenbesparing van €22.400 verwachten, terwijl bijvoorbeeld het programma €15.000 kost. Dit resulteert in een ROAI van 49,33%.
Met deze formule kunnen CISO’s, FG’s en PO’s eindelijk een duidelijke business case voor cybersecurity en privacy awareness presenteren, met concrete cijfers en een heldere onderbouwing. Maar ook als oriëntatiemiddel en voor het kiezen van het juiste awareness programma is deze formule van onschatbare waarde.
Inmiddels benieuwd naar de cijfers voor jouw organisatie en wat een awareness programma aan rendement op kan leveren? Graag demonstreren we een businesscase voor jouw organisatie. Laat een berichtje achter en we nemen zo snel mogelijk contact met je op.