From Gut Feel to Gains: The Cybersecurity ROI Pyramid

Als onderdeel van de onderzoekslijn Cybereconomics aan Antwerp Management School hebben we enquêtes en interviews uitgevoerd met praktijkdeskundigen om te onderzoeken of zij economische modellen gebruiken om beslissingen over cybersecurity-investeringen te onderbouwen en deze beslissingen te communiceren aan hun raden van bestuur. Opmerkelijk genoeg gaf de meerderheid aan dat zij ROSI in de praktijk niet toepassen.
ROSI, of Return on Security Investment, is een financiële maatstaf die het geldelijke voordeel van beveiligingsmaatregelen evalueert. Het meet de waarde door de kosten van het implementeren van beveiligingsoplossingen te vergelijken met de potentiële verliezen die worden voorkomen, rekening houdend met zowel tastbare als ontastbare vermeden kosten. In essentie berekent ROSI de economische opbrengst van een beveiligingsinvestering door de risicoreductie en kostenbesparingen af te zetten tegen de totale beveiligingskosten.

Wanneer gevraagd wordt waarom zij ROSI niet gebruiken, noemen respondenten doorgaans vier belangrijkste uitdagingen:

• Het kwantificeren van risico’s en risicoreductie is moeilijk vanwege de complexiteit en het gebrek aan actuariële gegevens.
• Beperkte analytische capaciteiten worden vaak gekoppeld aan de perceptie dat complexe wiskundige berekeningen nodig zijn.
• Gebrek aan tijd en middelen om kwantitatieve analyses uit te voeren.
• Organisatiecultuur en voorkeuren. Casusorganisaties melden dat besluitvorming op basis van kwantificatie binnen IT en/of cybersecurity geen onderdeel is van de organisatiecultuur.

Als we de culturele aspecten buiten beschouwing laten, vloeien de eerste drie obstakels grotendeels voort uit de waargenomen complexiteit van kwantitatieve methoden zoals ROSI. Deze bevinding vraagt om een nadere blik op de adoptie van Cyber Risk Quantification (CRQ).

Het probleem: de vermeende complexiteit van cyberrisico-kwantificatie
Deze vermeende complexiteit, eerder dan daadwerkelijke wiskundige moeilijkheid, belemmert de toepassing van risicokwantificatie. In veel gevallen beschrijven organisaties hun besluitvorming over cyberinvesteringen als gebaseerd op een combinatie van sectorbenchmarks en “onderbuikgevoel”. Aanvullend onderzoek door AMS-studenten bevestigt dat de meeste organisaties vertrouwen op kwalitatieve of gemengde methoden, ondanks dat ongeveer 75% van de respondenten CRQ haalbaar acht, en iedereen het erover eens is dat kwantificatie de besluitvorming zou verbeteren. Een praktisch startpunt is het vervangen van kwalitatieve labels door kwantitatieve benaderingen en het uitdrukken van onzekerheid als bereiken in plaats van vaste cijfers.

Bij het analyseren van industriestandaarden blijkt dat investeringen in cybersecurity jaar na jaar blijven toenemen. Als ROSI en CRQ zelden worden toegepast, hoe bepalen organisaties dan eigenlijk hun cybersecurity-investeringen? Onderzoek van AMS identificeerde zeven belangrijke factoren die de besluitvorming beïnvloeden:

1. Total Cost of Ownership (licenties, implementatie, operaties, personeel en levenscycluskosten);
2. Compliance (regelgevende of contractuele verplichtingen en auditbaarheid);
3. Maturity (de huidige capaciteiten van de organisatie en het vermogen om de maatregel te absorberen); en
4. Risk Reduction (geloofwaardige, meetbare impact op waarschijnlijkheid en/of verlies).

De technische geschiktheid wordt beoordeeld via Technical Requirements (zoals integratie, architectuur, schaalbaarheid en prestaties). De zakelijke relevantie komt tot uiting in Strategic Alignment (ondersteuning van doelstellingen, omzetgroei, veerkracht) en Contextual Fit (cultuur, vaardigheden, processen, leverancierslandschap, operationele omgeving).

De meeste organisaties passen slechts een deel van deze factoren toe, vaak gecombineerd met intuïtie. Dit toont aan dat beslissingen over beveiligingsinvesteringen contextafhankelijk en veelzijdig zijn.

Op basis van deze bevindingen concluderen we dat organisaties een mix van kwantitatieve en kwalitatieve factoren gebruiken om hun beslissingen over cybersecurity-investeringen te onderbouwen. Wij stellen dat dergelijke beslissingen contextafhankelijk zijn en dat zij een evenwicht moeten vinden tussen onderling samenhangende factoren, in plaats van te steunen op één enkele ROI-maatstaf. We bouwen voort op het werk van AFCEA (2015), dat een vergelijkbare benadering hanteerde om zowel geavanceerde als minder geavanceerde aanvallen te beheersen door een balans te vinden tussen eenvoudige, relatief goedkope interventies en meer geavanceerde maatregelen.

Als uitgangspunt stellen we voor om drie lenzen toe te passen die we vaak gebruiken in onze colleges, afgeleid van de digitale risicomanagementpiramide die door ANSSI is ontwikkeld als onderdeel van de eBIOS-methode[1]. Op basis van deze lenzen stellen we een model voor dat helpt bij het selecteren van relevante beslissingsfactoren, afhankelijk van de context waarin investeringsbeslissingen worden genomen.

De cybersecurity-investeringspiramide onderscheidt drie perspectieven voor investeringsbeslissingen, die elk andere criteria vereisen afhankelijk van of de context draait om hygiëne, compliance of risicogedrevenheid. Effectief bestuur maakt deze afwegingen expliciet, combineert kwantitatief bewijs met deskundig oordeel en geeft prioriteit aan investeringen die risicoreductie en bedrijfswaarde maximaliseren tegen een aanvaardbare totale kost.

Basislaag: Betrouwbare IT & Basis Cyberhygiëne

Werken in een digitale omgeving brengt kosten met zich mee. Bepaalde dreigingen zijn inherent aan het gebruik van technologie om organisatiedoelen te bereiken. Om deze inherente dreigingen tegen te gaan, moet een organisatie basismaatregelen op het gebied van cyberhygiëne implementeren, zoals multi-factor-authenticatie en degelijke authenticatie- en autorisatiemechanismen. Een voorwaarde voor basiscyberhygiëne is het concept van betrouwbare IT-operaties: een omgeving die niet onderhoudbaar en/of instabiel is, zal aanzienlijke uitdagingen opleveren vanuit een beveiligingsperspectief.

De set van basismaatregelen voor cyberhygiëne is relatief goed bekend en terug te vinden in verschillende raamwerken als het “basis”-rijpheidsniveau (bijv. CyFun Basic, CIS Controls IG1). Organisaties hoeven investeringen in deze maatregelen niet te rechtvaardigen, maar zouden zich moeten richten op het selecteren van de meest efficiënte manieren om controles operationeel te maken binnen hun eigen organisatorische context.

Wat houdt het in?
Patching, hardening, MFA, inventarisatie/eigenaarschap, least privilege, segmentatie en logging worden uniform geïmplementeerd en gemeten. Representatieve catalogi omvatten maatregelen gericht op het “protect surface”-principe (versleuteling bij overdracht en opslag, IAM, segmentatie, contentinspectie, back-ups, kwetsbaarheidsbeheer).

Waarom eerst?
Analyses van AMS-datalekken tonen aan dat laterale bewegingen, overgeprivilegieerde gebruikers en configuratiefouten de dominante hoofdoorzaken zijn van incidenten. Deze basismaatregelen – zoals inventarisatie, toegangsbeheer, barrières tegen laterale bewegingen en endpointdetectie/respons – vormen daarom de fundamentele mitigaties.

Hoe te waarderen?
Overweeg de Total Cost of Ownership (TCO) en technische vereisten, in balans met de contextuele en strategische fit van de organisatie en de interne beschikbaarheid van middelen.

Middellaag: Compliance

De compliancelaag omvat alle eisen die voortvloeien uit interne en externe regelgeving. Deze regelgeving is bedoeld om veelvoorkomende dreigingen aan te pakken die verbonden zijn aan het opereren binnen specifieke sectoren (bijv. luchtvaart, financiën, vitale diensten). De volledigheid van deze laag hangt sterk af van de sector waarin de organisatie actief is. Sterk gereguleerde sectoren vallen onder uitgebreide beveiligingskaders (zoals NIS2, DORA, PCI-DSS), terwijl minder gereguleerde sectoren aan lagere standaarden, audits en sancties voor raden van bestuur worden onderworpen.

Beveiligingsinvesteringen vanuit dit complianceperspectief kunnen worden gezien als de toelatingsdrempel voor deelname aan een bepaalde sector. De organisatie moet de kosten van compliance afwegen tegen de potentiële verliezen bij niet-naleving, of tegen de kans om toe te treden tot nieuwe gereguleerde markten. Deze verliezen omvatten doorgaans directe gevolgen zoals boetes van toezichthouders, verlies van de licentie om te opereren, of in sommige gevallen persoonlijke aansprakelijkheid van bestuursleden. Daar tegenover staat de kans op marktuitbreiding wanneer naleving leidt tot nieuwe accreditaties of klantenvertrouwen.

Beslissingen over investeringen binnen deze context moeten deze directe gevolgen afwegen tegen de TCO van de voorgestelde oplossingen. Andere factoren, zoals technische vereisten, beschikbare middelen en contextuele en strategische fit, blijven op dit niveau eveneens relevant.

Wat houdt het in?
Maatregelen die nodig zijn om te voldoen aan sectorspecifieke regelgeving (zoals de waarborgen in AVG-artikel 32; NIS2/DORA-vereisten) en om “in control” te zijn via bewijsvoering en responsgereedheid (dashboarding, SOC/CSIRT). “Trust centers” van bedrijven tonen proactief aan hoe de organisatie presteert op het gebied van data- en cyberveiligheid.

Waarom nu?
Regelgevingsrisico’s behoren vaak tot de grootste kostenposten; goed onderbouwde reacties en governance verlagen aantoonbaar de kans op boetes en reputatieschade.

Hoe te waarderen?
Combineer kostenvermijding (verwachte boetes/aansprakelijkheden) met assurance value: stel ROSI-grenzen vast volgens het Gordon–Loeb-principe (meer dan circa 37% van het verwachte verlies investeren is inefficiënt) en houd rekening met de operationele fit en totale eigendomskosten.

Bij het nemen van beslissingen over cybersecurity-investeringen is het essentieel om te overwegen of de investering wordt gedaan vanuit een cyberhygiëne-, compliance- of risicogebaseerd perspectief. Afhankelijk van deze context kunnen organisaties verschillende factoren prioriteren voor hun investeringsbeslissingen en verschillende niveaus van bewijsvoering vereisen door hun evaluatiecriteria hierop af te stemmen.

Vertrouw niet op vaste cijfers, aangezien cybersecurity-investeringen sterk contextafhankelijk zijn. Gebruik in plaats daarvan bereiken en scenario’s, omdat benchmarks en vuistregels slechts een deel van het beeld weergeven en strategische fit kunnen over het hoofd zien. Houd er bovendien rekening mee dat industriestandaarden inzicht bieden in het algemene portfolio van cybersecurity-investeringen, maar niet helpen bij het selecteren van de meest waardevolle individuele investeringen.

Bij het toepassen van ROSI geldt: het gaat niet om complexe formules. Zorg ervoor dat ROSI wordt gebruikt in de juiste context, waar u bereid bent te investeren in het kwantificeren van cybersecurity-risico’s. Houd de aanpak eenvoudig en zorg dat er altijd ruimte is voor deskundige oordelen, mits deze zijn ingebed in een conceptueel coherent kader.

Wanneer we cybersecurity-investeringsbeslissingen benaderen als contextafhankelijke in plaats van puur wiskundige vraagstukken, kunnen we betere en meer precieze keuzes maken. Beveiligingsmaatregelen kunnen dan beter worden afgestemd op de strategische fit, de uitdagingen van het bedrijf en de beschikbare middelen, zoals kennis en onderhoudscapaciteit. Dit artikel stelt dat een groot deel van cybersecurity-investeringen wordt bepaald vanuit een cyberhygiëne- en complianceperspectief. Compliance zorgt ervoor dat we “in control” zijn, en pas daarna moeten organisatie- en sectorspecifieke risicogebaseerde investeringen worden geoptimaliseerd met behulp van kwantitatieve methoden. Organisaties kunnen nu investeringsbeslissingen nemen over elk van deze lagen, met verschillende criteria die deze beslissingen sturen. Deze Maslow-achtige piramide helpt ook bij het starten van gesprekken over basisbehoeften (hygiëne) en de essentiële of optionele aspecten van specifieke investeringen, zoals uitbesteding of interne uitvoering van taken.

Om een overtuigend verhaal te presenteren aan raden van bestuur en toezichthouders, moet besluitvorming in elk van deze contexten anders worden benaderd:

• Voor basisbeslissingen over cyberhygiëne: geef een duidelijk en begrijpelijk overzicht en verduidelijk de Total Cost of Ownership (TCO) van de gekozen opties.

• Voor compliance-gebaseerde beslissingen: presenteer een overzicht van de naleving van interne en externe regelgeving en verduidelijk de Return on Investment (ROI).

• Voor risicogebaseerde beslissingen: gebruik eenvoudige en transparante economische analyses (ΔALE), bereiken en Bayesian updates.

Onze zeven gewoonten voor cybersecurity-investeringsbeslissingen zijn:

1. Formules zijn niet het probleem; de echte obstakels zijn waargenomen complexiteit, beperkte tijd en vaardigheden, en culturele beperkingen. Gebruik bereiken en priors en update deze vervolgens met bewijs.

2. Databreaches volgen vaak eenvoudige patronen. Hygiëne- en compliance-georiënteerde controles vormen de eerste verdedigingslagen.

3. De ROSI-piramide – beginnend met hygiëne, gevolgd door compliance en ten slotte risicogebaseerde scenario’s – stemt het niveau van kwantificatie af op de besluitvormingscontext.

4. Belangrijke punten voor cybersecurityprofessionals: begin met de basis, zoals inventarisatie, multi-factor-authenticatie (MFA), hardening, segmentatie, logging en response playbooks, en meet vervolgens de dekking.

5. Kwantificeer met een doel: gebruik ROSI voor controleselectie, Value at Risk (VaR) voor tail risk op bedrijfsniveau, en FAIR voor scenario-prioritering.

6. Gebruik bereiken in plaats van vaste cijfers en pas scenario-gebaseerd denken toe om overtuigingen bij te werken naarmate nieuwe gegevens beschikbaar komen.

7. Presenteer de raad van bestuur een duidelijk verhaal dat afhangt van de context van de beslissing.

Verslegers, D. (2025). Decisions on Cybersecurity Investments (ROSI) technical report. Obstacles to ROSI; contextual decision model; “formulas are not the problem”.

National Cybersecurity Agency of France (ANSSI). (2019). EBIOS Risk Manager – The method. l'ANSSI. https://cyber.gouv.fr/sites/default/files/2019/11/anssi-guide-ebios_risk_manager-en-v1.0.pdf

Bobbert, Y. (2020). Digital risks to business, what do they cost? AMS Blog—scenario-based ROSI, ALE = ARO × SLE, and board communication. (Antwerp Management School)

AFCEA (2013). The Economics of Cybersecurity: A Practical Framework for Cybersecurity Investment. This paper is the result of collaboration among the members of the Economics of Cybersecurity Subcommittee of the AFCEA Cyber Committee and a set of outside advisors

De piramide toepassen: een stapsgewijze methode

1. Frame het portfolio per laag

• Hygiene-basislijn (organisatiebreed): implementeer en verifieer controles uit het protect-surface-catalogus; monitor via dashboards; gebruik SOC-playbooks.

• Compliance-set: koppel verplichte capaciteiten aan bewijs van naleving (bijv. incidentdocumentatie, response SLA’s).

• Risicogebaseerde set: selecteer 3–5 sectorspecifieke scenario’s (bijv. datalekken via publieke API, ransomware op OT-systemen) en kwantificeer met bereiken; update aannames naarmate telemetrydata binnenkomt.

2. Kwantificeer met bereiken
Zet kwalitatieve schalen om in kwantitatieve inputs (waarschijnlijkheidsintervallen, verliesverdelingen) via de one-for-one substitution-methode; herhaal iteratief naarmate betere data beschikbaar komen.

3. Beperk uitgaven
Gebruik de Gordon–Loeb-regel om uitschieters (>≈37% van verwacht verlies) te controleren en prioriteer vervolgens op basis van ROSI per euro en organisatorische fit.

4. Leg het verhaal uit
Voor raden van bestuur: koppel de som van scenario-ΔALE’s aan de hygiene-/compliancefundamenten en aan strategische doelstellingen; AMS-caseonderzoek toont aan dat dit de kans op goedkeuring verhoogt en continue verbetering ondersteunt (Bobbert, 2020).

Duidelijke onderscheidingen: hygiene versus geavanceerd

Raamwerken en implementatieniveaus:

• CIS Critical Security Controls (v8/v8.1) – gebruikt Implementation Groups:

  • IG1 = “essentiële cyberhygiëne” (minimum set voor elke organisatie), IG2 en IG3 voegen diepgang en strengheid toe.

• CIS Benchmarks (secure configuration) – Level 1 (basis, lage impact), Level 2 (defense-in-depth voor hoogbeveiligde omgevingen).

• UK NCSC Cyber Essentials – vijf technische controlethema’s als minimumstandaard; Cyber Essentials Plus voegt onafhankelijke technische verificatie toe.

• CMMC 2.0 (U.S. DoD) – niveaus: Level 1 (Foundational), Level 2 (Advanced), Level 3 (Expert); Level 1 = hygiene, Levels 2–3 = geavanceerd.

• HIPAA Security Rule (healthcare) – onderscheidt “required” (verplicht) en “addressable” (risicogebaseerd/contextafhankelijk), waarbij laatstgenoemde typisch boven de hygienevloer valt.

• IEC/ISA 62443 (industrial/OT) – Security Levels SL0–SL4; hogere SLs adresseren geavanceerdere dreigingen.

• Australia’s Essential Eight – niveau 1 = basis-hygiëne, hogere niveaus adresseren complexere aanvallen.

Baselines & maturity tiers voor “basic → advanced”:

• NIST SP 800-53B: Low → Moderate/High impact; Low = hygiene, Moderate/High = geavanceerd.

• NIST CSF 2.0 Tiers: Tier 1 (Partial) → Tier 4 (Adaptive); helpt faseren van hygiene naar geavanceerde operaties.

• DOE C2M2: MIL0–MIL3 per domein; hogere MILs institutionaliseren praktijken boven hygiene.

• FFIEC Cybersecurity Assessment Tool: Baseline → Innovative; Baseline = hygiene.

Gebruik in de ROSI-piramide

• Basis (Hygiene): CIS Controls IG1, CIS Benchmarks Level 1, Cyber Essentials (self-assessment), Essential Eight Level 1.

• Midden (Compliance/Assurance): HIPAA “required,” NIST 800-53 Low/Moderate of sector-specifieke baselines, Cyber Essentials Plus verificatie, FFIEC Baseline/Evolving.

• Top (Risicogebaseerd/Geavanceerd): CIS IG2–IG3, CIS Benchmarks Level 2, CMMC Levels 2–3, IEC 62443 SL2–SL4, Essential Eight Levels 2–3, NIST CSF Tiers 3–4.

Deze mix biedt een duidelijke ladder van verplichte basis-hygiëne tot geavanceerde, risicogebaseerde controles, met autoritatieve referenties die je kunt gebruiken tegenover raden van bestuur en toezichthouders.