Waarom FUD faalt en BAD zegeviert in digitale beveiliging

FUD kan mensen dwingen om beslissingen te nemen om beveiliging gerelateerde acties uit te voeren of beveiligingsproducten en -diensten aan te schaffen. Beslissingen nemen op basis van FUD is echter niet de slimste of verstandigste beslissing in economische zin. Het strategische doel van elk risicomanagementprogramma zou moeten zijn om de hoogst wenselijke beveiliging en uitstekende eindgebruikerservaring te bieden tegen de laagste kosten. Beveiligingsproducten of -diensten kopen uit angst zal hoogstwaarschijnlijk niet het meest kosteneffectief zijn. U, als CISO, hebt bijvoorbeeld net een nieuw strategisch plan opgesteld om te investeren in het opbouwen van vaardigheden en capaciteiten, omdat uw laatste redteamingoefening net heeft aangetoond dat de huidige firewall standaardwachtwoorden en -regels bevat. Voor de lange termijn wil je dus investeren in training voor de engineers. Tegelijkertijd koopt je IT Security manager een nieuwe firewall omdat ze bang zijn dat het einde van de ondersteuning de werking van de firewalls in gevaar brengt. Maar als je niet de interne vaardigheden hebt om het te implementeren en te onderhouden, heeft het geen zin. Software engineer Grady Booch zei ooit: "Een dwaas met een gereedschap is nog steeds een dwaas".

Het doorvoeren van specifieke beveiligingsverbeteringen vanwege FUD kan dus op korte termijn winst opleveren, maar kan je strategie op lange termijn in de weg staan.

Paul Bischoff van Comparitech analyseerde historische aandelenkoersen van enkele bedrijven die genoteerd staan aan de New York Stock Exchange en die getroffen werden door ransomware. Ze merkten op dat de aandelenkoersen gemiddeld 22% dalen onmiddellijk na een ransomware-aanval. De initiële dip is echter van korte duur en de koersen herstellen zich meestal binnen een dag, waarna aandelen gemiddeld binnen tien werkdagen weer beter presteren dan de markt. Aandelenkoersen stegen gemiddeld 4,4% zes maanden na een ransomware-aanval en overtroffen daarmee de rest van de markt met 11,2%. Het onderzoek merkte ook op dat Ryuk ransomware de meest significante negatieve impact had op de aandelenkoers. De aandelenkoersen van bedrijven die getroffen werden door Ryuk hadden veel meer te lijden dan die van bedrijven die getroffen werden door Maze. De aandelenkoersen daalden aanvankelijk met bijna 44% en hoewel ze herstelden, was de gemiddelde aandelenkoers aan het einde van zes maanden ongeveer 41,8% lager.

Wanneer FUD keer op keer wordt gebruikt om dingen gedaan te krijgen, zal het management FUD-moeheid krijgen. Als negatief nieuws over een bepaalde gebeurtenis zich herhaalt, worden mensen passief en reageren ze niet meer op dat item en zullen ze er niet langer door getriggerd worden. Het management zal elke nieuwe angst een beetje minder serieus nemen. Bijvoorbeeld, 20 jaar geleden werden beveiligingsdiensten vaak verkocht met de angst dat een bedrijf gehackt zou worden en dat het bedrijf dan op de voorpagina van The New York Times of The Wall Street Journal zou staan. Tegenwoordig zijn hacks en ransomware een feit waarvan de directiekamer zich volledig bewust is. Maar in de fabriek van het bedrijf is er vaak een gebrek aan kennis bij het middenkader over wat er moet gebeuren en hoe we de zaken moeten aanpakken.

Als er voortdurend FUD wordt gebruikt en er gebeurt niets, dan komt de digitale beveiligingsversie van het jongetje dat de wolf huilde om de hoek kijken. Dit betekent dat als je om hulp vraagt wanneer die niet nodig is, het effect is dat je niet geloofd wordt wanneer je wel hulp nodig hebt.

Wanneer een organisatie de indruk heeft dat ze constant onder druk staat van een bedreiging, zal ze zich concentreren op haar kern en daardoor innovatie beperken. Dit effect wordt Threat Rigidity genoemd (Barry M. Staw, 1981). Het beperken van het risico van de bedreiging en mogelijke nieuwe bedreigingen zal een organisatie helpen om uit deze toestand te komen en terug te keren naar een innovatieve vorm. Dit betekent dat FUD innovatie kan verstikken of mensen ervan kan weerhouden nieuwe ideeën te creëren. Een belangrijke rol van de Digital Security Leader is het beperken van cyberbeveiligingsrisico's zodat organisaties zich veilig genoeg voelen om over te gaan naar een innovatieve organisatie.

FUD kan een geschikte aanpak zijn om de aandacht van mensen te krijgen. Het publiek is vaak geïntrigeerd door verhalen over hacks en cyberaanvallen, die kunnen worden gebruikt als een "leermoment". Maar nadat de aandacht is getrokken, moet de focus liggen op de acties die moeten worden ondernomen. We stellen voor om te proberen BAD (Brave, Assuredness, and Daring) te zijn in plaats van veel te doen met FUD. Ik zal het uitleggen:

Elke leider op het gebied van beveiliging moet bereid zijn om naar voren te treden en zichzelf in de schijnwerpers te zetten. Een Digital Security Leader moet moedig zijn, wat betekent dat hij mentale of morele kracht heeft of toont om gevaar, angst of complexe discussies het hoofd te bieden. Het gaat om het hebben of tonen van moed. Om deze cyberoorlog te winnen, hebben we meer ijverige, vlijmscherpe geesten, vastberaden denkers en vakmensen nodig om een probleem of incident te observeren, aan te pakken en af te handelen. Deze mensen zijn moedig, leveren tastbare resultaten en hebben vaak niet de tijd om ze te vieren. Het zijn dienende leiders die bezig zijn de business in staat te stellen door beveiligingsmaatregelen te verwijderen waar ze verwijderd kunnen worden om innovatie te bereiken. Ze vormen coalities binnen en buiten het bedrijf, soms met de vijand. Dit zijn de mensen die meestal niet blijven staan, nepverhalen vertellen en toekijken tijdens een crisis, maar die handelen zonder voor de roem te gaan.

De definitie van Zekerheid is: grote koelbloedigheid en kalmte onder druk. Het betekent dat Digital Security Leaders in plaats van onzekerheid zekerheid moeten bieden. Ze moeten in staat zijn het management zekerheid te bieden door een relatie op te bouwen, te communiceren over ontwikkelingen en acties, en hen vertrouwen te geven door resultaten te laten zien. Op deze manier kunnen het management en de business zich richten op hun kernprocessen en innovatie in plaats van bang te zijn.

Een voorbeeld van hoe zekerheid kan worden bereikt, is het monetariseren van de waarde van goede beveiliging via economische modellen zoals Return on Security Investment (ROSI) en Balanced Score Cards. Door de potentiële kosten transparant te maken en te gebruiken in de ROSI-berekening, maak je voor het bedrijf tastbaar wat je probeert te beschermen met je investering. Dit maakt het "makkelijker te verkopen" aan het bestuur om de investering goedgekeurd te krijgen (lees meer in deze blog). Deze succesvolle aanpak wordt ook onderwezen in onze executive master in IT Risk & Cyber security Management.

Om dit te kunnen doen, moeten de leiders op het gebied van digitale beveiliging mogelijk realtime dashboards ontwikkelen om realtime feiten te hebben die laten zien wat er fout gaat en rapporteren wat er is verbeterd en goed gaat. Deze op feiten gebaseerde rapportage is van vitaal belang in het geval van een incident. Niet alleen vertellen wat er mis ging, maar ook welke maatregelen heel goed werkten, waardoor het beveiligingsincident geen grote ramp werd.

In het bedrijfsleven en in het leven moet je de kwaliteit hebben om moedig te zijn en bereid om risico's te nemen om vooruitgang te boeken. Zonder risico's te durven nemen, maak je organisaties hoogstwaarschijnlijk minder effectief, verstik je innovatie en heeft beveiliging niet de meest optimale total cost of ownership.

Vervolgens moet de afdeling Digital Security niet de afdeling van winstpreventie zijn, maar veilig zakendoen mogelijk maken. Het is meer en meer een bedrijfsticket om te winnen. In sommige gevallen moeten bepaalde berekende risico's worden genomen om een concurrentievoordeel in de markt te hebben. En FUD-verkopers staan dat alleen maar in de weg.

Oorspronkelijk gepubliceerd op 12ways.net in samenwerking met Mark Butterhoff.