Regelmatig horen wij de vraag:

“Hoe onderbouwt men nou de business case voor structurele security awareness programma’s?”

Een terechte vraag die vaak tot op bestuursniveau gesteld blijft worden. Om een antwoord op deze vraag te geven hebben wij in de wekelijkse gesprekken met CISO’s, hen ook deze vraag gesteld. Deze kennis in combinatie met onze eigen ervaring in het bouwen van security awareness business cases heeft geleid tot 6 stappen, waarbij we in elke blog 2 stappen zullen beschrijven.

Stap 1: Bepaal doel en doelgroep van de security awareness business case

Het lijkt een no-brainer, maar onze ervaring leert dat de beslissers die de business case aftekenen vaak hele andere verwachtingen hebben van een business case.

Wie is de doelgroep en wat verwacht die te zien?

Grof weg kan men onderscheid maken tussen:

  • Financiële beoordelaars
  • Financieel en waarde beoordelaars

Beide groepen verwachten een financieel kloppend verhaal, echter groep twee verwacht ook een gedegen onderbouwd verhaal wat de niet-financiële voordelen zijn. Dit zijn vaak minder tastbare zaken zoals veiligheidsgevoel.

Doelen van de security awareness business case

Het is nogal een verschil of men een eenmalige investering goedgekeurd wilt krijgen, of dat men budget nodig heeft voor een meerjaren awareness plan. Deze keuze zal de diepte en benodigde onderbouwing bepalen.

Hoe concreter u weet wat u probeert te bereiken of aan te tonen met de gevraagde business case, des te makkelijker is het om opzoek te gaan naar ondersteunende metrieken. Probeert u bijvoorbeeld het aantal security incidenten te verlagen – of de groei van incidenten onder controle te krijgen – dan vraagt dat andere cijfers en bewijzen dan voor een toekomstige kostenreductie op de gehele security organisatie.

Tip 1:
onze ervaring is dat het heel goed werkt om te beginnen met een visuele weergave van de samenvatting, waarbij we nog niet de cijfers vermelden, maar wel al weten wat we willen presenteren – bijvoorbeeld welke type grafieken we willen gebruiken en wat de boodschap zou moeten zijn. De boodschap en cijfers past u uiteraard aan zodra de uitkomst van de business case bekend is.
Tip 2: Heeft u de kans om deze samenvatting alvast te valideren met de doelgroep, dan verhoogt dit alleen maar de kans op een positieve uitkomst. Dit zorgt ook voor draagvlak, omdat de doelgroep zo al vroeg in het proces betrokken is.

2. Bepaal een correcte baseline (huidige situatie)

Elke business case bestaat uit een analyse van de huidige situatie, dit noemen we ook wel de ‘baseline’ of ‘current state’. De baseline geeft inzicht in hoe de huidige situatie is, het geeft inzicht in de variabelen die relevant zijn, en welke waarschijnlijk gaan verschuiven na de security awareness programma’s.

Tip: als het programma invloed heeft op het core process probeer dan de metrieken te verbinden aan bedrijfsdoelstellingen. In de meest minimale zin is dat het voorkomen van dienst disruptie, maar het kan nog verder naar misgelopen omzet en winst.

Het juist kiezen van een relevante en correcte baseline vraagt een aparte blog (die dus nog komt), maar hierbij alvast wat voorbeeld indicatoren:

  • Kosten van de cyber security organisatie, minimaal onderscheid gemaakt tussen interne en externe kosten
  • Aantal cyber security incidenten per categorie (bijv. gerelateerd aan human factor)
  • Interne en externe kosten om incidenten op te lossen
  • Bedrijfsdoelen: omzet, winst, klanttevredenheid

Sommige organisaties hebben een strikte structuur voor business cases. Overweeg om een bedrijfscontroller te betrekken die u kunt vertellen wat verwacht wordt. Een aantal voorbeelden zijn: lengte van de business case (1, 3, 5, 7 jaar), terugverdientijd van de investering, verplichte indicatoren zoals netto contante waarde (NPV) en mogelijk verplichte disconteringsvoet (%).

Tip: indien het niet mogelijk is om een business case op te bouwen op basis van baseline gegevens – omdat die bijvoorbeeld niet beschikbaar zijn – dan is het altijd nog mogelijk om op basis van industrie standaard benchmark cijfers een schatting te maken die bij benadering klopt.

 

In de volgende blogs gaan we in op stap 3 en 4: toekomstige situatie (future state) en het hoe u gedrag kunt meten.

Heeft u naar aanleiding van deze blog interesse om verder kennis te maken?

Wij praten u graag bij over bijvoorbeeld benchmark cijfers of het structureren van uw business case.