Cybersecurity

Wat moet ik uitgeven aan online veiligheid? Reken het uit

Je wilt je bedrijf veiliger maken. Met bijvoorbeeld encryptiesoftware op je laptops of een camerasysteem bij de voordeur. Dat kost natuurlijk geld. Er bestaat een formule waarmee je uitrekent of je genoeg uitgeeft aan veiligheid. Dit rekenvoorbeeld laat zien hoe die werkt.

Veel bedrijven in Nederland zijn online niet goed beveiligd. Daarvoor waarschuwde De Nederlandse Cybersecurity Raad begin april 2021. Misschien wil je meer investeren in je veiligheid. Maar hoe weet je wat je moet uitgeven aan maatregelen om je bedrijf te beveiligen? Wereldwijd gebruiken securityexperts een formule die bepaalt of een investering slim is of niet. We leggen de formule uit aan de hand van een concreet voorbeeld.

SLExARO=ALE

1. De vraag

Stel: voor jouw video- en animatiebedrijf heb je 10 laptops voor je 10 werknemers. Je denkt erover na deze laptops te beveiligen met encryptiesoftware die alle data op de laptops versleutelt. Encryptiesoftware kost per laptop 150 euro per jaar. Is dat niet te duur?

2. Wat is de waarde?

Je berekent eerst de waarde van 1 laptop. Dat is de Asset Value (AV). Je laptops kosten 2.500 euro per stuk. Maar de echte waarde voor jouw bedrijf is hoger, omdat iedere laptop bedrijfsinformatie en persoonsgegevens bevat.

Elk van jouw werknemers heeft voor 22.500 euro aan materiaal op de laptop staan. Denk aan animaties die in bewerking zijn of beelden die nog bewerkt moeten worden. Als die gegevens kwijtraken, kun je dat materiaal niet meer verkopen.

De waarde van 1 laptop is dus 2.500 + 22.500 = 25.000 euro. Dat is de waarde van het apparaat plus de waarde van de informatie.

Je ziet een laptop op een bureau met daarbij de som: 2.500 euro + 22.500 euro = 25.000 euro. Je ziet ook een kast met daarin in totaal 10 van zulke laptops.

3. Wat is de schade?

Wat de schade is als een crimineel 1 laptop steelt, noem je de Exposure Factor (EF). Deze formuleer je in procenten. In dit voorbeeld is de EF 100% van de waarde, want als de laptop zoekraakt of gestolen wordt, ligt alle informatie op straat. Als je encryptiesoftware aanschaft is de schade, en dus de EF, beperkt. Hoe lastiger de crimineel bij de data kan, hoe lager de EF.

Als je de waarde van de laptop vermenigvuldigt met de schade van een aanval krijg je de eenmalige verliesverwachting, ook wel de Single Loss Expectancy (SLE).

De eenmalige verliesverwachting is in dit voorbeeld 25.000 euro. Als je 1 laptop kwijtraakt, ben je dat geld namelijk kwijt.

een laptop die per ongeluk in de trein is achtergelaten

4. Wat is het risico?

De kans is klein dat al je werknemers elk jaar hun laptop kwijtraken. Uit ervaring weet je dat er hooguit 1 keer per 3 jaar 1 laptop zoekraakt of gestolen wordt. Met die informatie kun je de jaarlijkse frequentie van het risico uitrekenen, ofwel de Annual Rate of Occurance (ARO).

De jaarlijkse frequentie is in dit voorbeeld 1 ÷ 3 = 0,33. Per jaar raken 0,33 laptops zoek of vallen in handen van een crimineel.

Je ziet een man in 2019 aan het werk op zijn laptop. In 2020 is hij ook op zijn laptop aan het werk. In 2021 heeft hij plots geen laptop meer, die is kwijt of gestolen.

5. Wat is je jaarlijkse verlies?

Nu kun je je jaarlijkse verliesverwachting uitreken, ofwel de Annualized Loss Expectancy (ALE). Dat is het verlies dat je elk jaar verwacht door gestolen of zoekgeraakte laptops. Je berekent dat met de formule SLE x ARO = ALE.

In dit voorbeeld is de jaarlijkse verliesverwachting €25.000 (SLE) x 0,33 (ARO) = €8.250. Je kunt ervan uitgaan dat je 8.250 euro per jaar kwijt bent aan verloren of gestolen laptops en de schade die daaruit volgt.

een fietser die onderweg zijn laptop ongemerkt verliest

6. Wat kost de maatregel?

Nu reken je uit of de kosten van encryptiesoftware niet te hoog zijn. Encryptiesoftware kost je jaarlijks 150 euro per laptop. Dat is dus 1.500 euro voor 10 laptops.

10 met encryptiesoftware beveiligde laptops

7. Wat levert de investering op?

De encryptiesoftware verlaagt je verliesverwachting. Als de laptop nu gestolen wordt, kan een crimineel niet meer bij de data. De schade door een aanval (EF) wordt dus lager. Je bent wel het apparaat kwijt (2.500 euro), maar niet de data (22.500 euro).

In plaats van 100% is de EF nu 10%. Het eenmalige verlies van 1 laptop kost dus niet meer 25.000 euro, maar 2.500 euro (SLE).

Je jaarlijkse verlies door gestolen laptops daalt naar €2.500 x 0,33 = €825 (SLE x ARO).

een teleurgestelde hacker die het niet lukt om in te breken in een laptop omdat deze is beveiligd met enxryptiesoftware

8. Conclusie

Je hebt een investering gedaan in encryptiesoftware van 1.500 euro. Daarmee heb je je jaarlijkse verlies aan gestolen laptops verlaagd van 8.250 euro naar 825 euro. Dat is een verschil van 7.425 euro. Encryptiesoftware kost je jaarlijks 1.500 euro, dus je houdt 5.925 euro per jaar over. De encryptiesoftware is dus een slimme investering.

Als de uitkomst van deze som minder dan 0 euro was geweest, kost de investering meer dan hij oplevert. In dat geval kun je beter een goedkoper alternatief bedenken.

een man die rustig kan slapen omdat hij zijn laptop goed beveiligd heeft

Ontdek wat de risico's zijn van digitaal ondernemen en hoe je dit veilig aanpakt met Wegwijzer Cybersecurity.
Liesbeth Sparks

Hoe kun je je bedrijf beschermen tegen digitale bedreigingen? Daar houd ik me voor KVK mee bezig. Ik volg het laatste nieuws rond cybersecurity en spreek met experts en wetenschappers. Wat ik te weten kom deel ik graag met ondernemers!

InspiratiePage
Veilig zakendoen