Onderzoeker: Bedrijven moeten niet meer, maar slimmer investeren in security

Ransomware, malware en andere digitale dreiging zorgen voor forse schade; waar aanvallers hun aanpak continu evolueren en innoveren, doen bedrijven dat nog veel te weinig.

“Bestuurders die keuzes moeten maken op het gebied van cybersecurity worden ondersteund door allerlei standaarden, raamwerken, en vergelijkingen met andere organisaties. Na elk incident, intern of bij andere bedrijven, worden er nieuwe maatregelen opgesteld om een volgend incident te voorkomen. Maar dat is een vrij statische aanpak, een beetje alsof je autorijdt door alleen in de achteruitkijkspiegel te kijken”, zo meldt Zeijlemaker in een persbericht.

“We denken als mensen graag dat we heel goed zijn in beslissingen maken en zaken inschatten, maar het is soms heel moeilijk om alle consequenties van een keuze zelf te kunnen overzien.”

Simulatiemodellen

Binnen het onderzoek heeft Zeijlemaker een aanpak gebaseerd op systeemdynamica beschreven. Deze wordt langer gebruikt wordt in andere sectoren, zoals bij medisch onderzoek en duurzaamheid. “Op het gebied van cybersecurity wordt het echter nog maar nauwelijks gebruikt,’ aldus Zeijlemaker.

"Het is een aanpak waarbij je eerst alle factoren inclusief hun samenhang in kaart brengt die meespelen bij het nemen van strategische besluiten op gebied van cybersecurity, zoals de ontwikkeling van de aanvaller, het gedrag van medewerkers, en de kwaliteit van getroffen maatregelen. Deze informatie met relevante data wordt gebruikt voor het maken van computergestuurde simulatiemodellen.”

Het grote voordeel van deze aanpak is dat er inzicht wordt gegeven in de toekomstige effecten en consequenties van strategische keuzes. Simulaties hebben het voordeel dat ze geen directe gevolgen hebben voor de bedrijfsvoering.

Kosten voorkomen

Bedrijven zullen actief op hun cyberbeleid moeten letten, waarschuwt Zeijlemaker. “Het is niet zomaar een kostenpost die achteloos verhoogd of verlaagd moet worden. Er zal een gesprek op gang moeten komen binnen organisaties: waar geven we ons geld aan uit, en waarom? Door dit soort modellen in te zetten, kunnen we veel toekomstgerichter bezig zijn en proactief besluiten nemen. Dat is belangrijk, want nog te vaak zijn bedrijven onvoldoende voorbereid.”

Volgens Zeijlemakers leggen bedrijven nu geld apart om achteraf iets te repareren. Maar in de praktijk pakt het vaak veel duurder uit. “Door proactief de situatie te monitoren, voorkom je extra kosten én problemen achteraf.”