E-mailbeveiliging

    ROI-analyse: De kern van het blokkeren van schadelijke e-mails

    Het rendement op investeringen in cyberbeveiliging is altijd moeilijk te beoordelen geweest, maar in onze meerdelige blogreeks introduceren we nieuwe ROI-bevindingen, te beginnen met e-mailbeveiliging.

    by Karen Lynch
    1202888890-cropped.jpg

    Hoofdpunten

    • Het risico rond e-mail is nog nooit zo groot geweest, aangezien het meer dan enig ander middel door cybercriminelen wordt gebruikt om de verdediging van bedrijven te doorbreken.
    • Toch blijft het financiële rendement van investeringen in e-mailbeveiliging onbepaald.
    • Nieuwe bevindingen beginnen deze ROI-kenniskloof te dichten.

    Cybercriminelen weten alles wat ze moeten weten over hun return on investment (ROI): cyberaanvallen zijn behoorlijk goedkoop en zeer winstgevend. Cyberbeveiligers staan voor een veel grotere uitdaging, in wat sommigen "de omgekeerde economie van cyberbeveiliging" noemen. [1]

    Het is niet goedkoop om uw bedrijf tegen cyberaanvallen te beschermen. En ondanks zeeën van historische gegevens en vooruitziende risicobeoordelingen is het nog steeds moeilijk om de kosten-batenverhouding van cyberverdediging vast te stellen. Dat wil zeggen, totdat een aanvaller uw kritieke gegevens steelt, de productiviteit van uw werknemers drastisch verlaagt, uw activiteiten stillegt en de reputatie van uw merk aantast.

    Toch blijven cyberdeskundigen, marktonderzoeksbureaus en verzekeringsmaatschappijen vooruitgang boeken bij het berekenen van de waarde van investeringen in cyberbeveiliging - zelfs temidden van voortdurende veranderingen op crimineel, technologisch en regelgevingsgebied. Er is dus steeds meer kennis over de ROI die cyberbeveiligingsprofessionals, leidinggevenden en raden van bestuur kunnen gebruiken om een effectievere cyberverdediging te ondersteunen.

    Dit artikel, over de ROI van e-mailbeveiliging, maakt deel uit van een meerdelige blogreeks over de kosten en baten van vijf strategische keuzes rond cyberbeveiliging en data-archivering - van het blokkeren en monitoren van schadelijke e-mails tot het beschermen tegen merkspoofing, het controleren van risicovol gedrag van werknemers, het terugtrekken van on-premises archieven en het stroomlijnen van e-discovery . De serie bevat bevindingen die zijn opgevraagd door Forrester ; het marktonderzoeksbureau heeft de antwoorden op interviews met klanten samengevoegd om de ROI van een samengestelde organisatie op deze kritieke gebieden te modelleren.

    Beveiliging e-mail vs. malware, ransomware, diefstal van legitimatiebewijzen, imitatie ...

    Kwaadwillenden gebruiken e-mail meer dan welke andere manier dan ook om uw bedrijf binnen te komen en de meeste soorten aanvallen uit te voeren. "Na jaren van beangstigende verhalen en talloze voorbeelden wijzen de gegevens op een breed inzicht in het potentiële risico van e-mailgebaseerde aanvallen - met andere woorden, geavanceerde aanvallen die via e-mail uw omgeving binnenkomen", aldus Mimecast's " State of Email Security 2020 ." Het hacken van databases is bijvoorbeeld vaak terug te voeren op via e-mail gestolen credentials. Malware wordt ingesloten in bijlagen bij e-mails. Geïmiteerde merken sturen e-mails met kwaadaardige koppelingen. En de lijst gaat maar door.

    Bovendien denkt 60% van de ondervraagde organisaties in het SOES-rapport 2020 van Mimecast dat ze het komende jaar waarschijnlijk het slachtoffer zullen worden van een e-mailaanval. De vraag is hoe je het verband legt tussen het herkennen van bedrijfsrisico's en het budgetteren van een effectieve respons. En voor het topmanagement en directieleden betekent dat het vaststellen van de ROI.

    Kwantificering van de financiële voordelen van het blokkeren van kwaadaardige e-mails

    De situatie van elk bedrijf is anders, maar ze hebben wel gemeenschappelijke problemen. Zonder effectieve e-mailbeveiliging kregen werknemers van de door Forrester geïnterviewde bedrijven bijvoorbeeld regelmatig te maken met spam en andere ongewenste of kwaadaardige e-mail. Veelvuldige telefoontjes naar beveiligings- en e-mailbeheerteams kostten veel tijd bij het identificeren, onderzoeken en verhelpen van problematische e-mail, met productiviteitsverlies en andere kosten op elk niveau van de organisatie tot gevolg. Zelfs bij het gebruik van een cloud e-maildienst met ingebouwde beveiligingsvoorzieningen kregen de ondervraagden nog steeds te maken met meer spam, phishing en andere e-mailaanvallen dan ze konden verdragen.

    Investeren in extra e-mailbeveiliging leverde een besparing op van 1,1 miljoen dollar over drie jaar voor Forrester's samengestelde profiel van een bedrijf met 12.000 werknemers dat de e-mailbeveiligingsoplossing van Mimecast gebruikt om schadelijke e-mails te blokkeren op Microsoft 365, de meest voorkomende e-mailprovider voor kleine en middelgrote bedrijven.

    Verminderde blootstelling aan beveiligingsrisico's was een van de belangrijke kostenbesparingen, waarbij Forrester een gemiddelde kostprijs van 343.000 dollar per beveiligingsinbreuk noemde. Een geïnterviewde CISO wees op de succesvolle blokkade van ransomware bij zijn organisatie in de gezondheidszorg, terwijl hij opmerkte dat een lokale concurrent een grote verstoring had ondervonden van dezelfde e-mailaanval.

    Minder uitgeven aan e-mailbeveiligingsmonitoring

    Omdat de cyberbeveiligingsdiensten van Mimecast het aantal aanvallen verminderden, was het samengestelde bedrijf ook in staat om de tijd die nodig was voor het bewaken van de e-mailbeveiliging te verminderen, wat nog eens 613.000 dollar aan besparingen opleverde, berekende Forrester. Analisten kregen een beter beheersbare werklast, en velen konden worden ingezet voor andere beveiligingsinitiatieven. Een van de minder tastbare voordelen was dat de werktevredenheid toenam en het verloop afnam.

    Het maken van de kosten-batenanalyse

    In totaal berekende Forrester een ROI van 225% over drie jaar voor de samengestelde organisatie voor alle vijf strategische diensten die in deze serie worden onderzocht. Dat wil zeggen, 3,9 miljoen dollar aan geaggregeerde voordelen tegenover 1,2 miljoen dollar aan kosten voor licenties, training van beveiligingsteams en een parttime systeembeheerder voor diensten om schadelijke e-mails te blokkeren en te monitoren, bescherming te bieden tegen merkspoofing, risicovol gedrag van medewerkers te controleren, on-premise archieven buiten gebruik te stellen en e-discovery te stroomlijnen. De analyse van Forrester biedt een aanpak die bedrijven kunnen toepassen op hun eigen waargenomen bedreigingen en reacties op het gebied van cyberbeveiliging.

    Groeiend begrip van de ROI van e-mailbeveiliging

    Anderen hebben ook nieuwe niveaus van financieel inzicht toegevoegd aan aanvallen via e-mail. Enkele voorbeelden:

    • De bedrijfsverzekeraar Hiscox becijferde de mediane kosten van een inbreuk in 2020 op $504.000 voor bedrijven met meer dan 1.000 werknemers, $133.000 voor bedrijven met 250 tot 1.000 werknemers en $50.000 voor bedrijven met 50 tot 250 werknemers. Uitgesplitst naar een aantal van die kosten, meldde Hiscox dat de gemiddelde verliezen voor bedrijven die werden getroffen door een ransomware-aanval 927.000 dollar bedroegen - ongeacht of er losgeld werd betaald of niet.[2]
    • Bank of America meldde dat het aantal consumenten dat zegt nooit meer terug te zullen keren naar een klein bedrijf dat te maken heeft gehad met een datalek, in 2019 bijna 30% bereikte, een stijging van 20% ten opzichte van 2017. [3]
    • Toch probeert volgens een onderzoek van het Ponemon Institute slechts 41% van de organisaties te kwantificeren wat een beveiligingsincident hen zou kosten.[4]

    De kern van de zaak

    De ROI van e-mailbeveiliging wordt steeds belangrijker, maar blijft moeilijk te kwantificeren. De nieuwe ROI-bevindingen in onze vijfdelige serie op basis van recente bevindingen van Forrester illustreren de aanzienlijke ROI op e-mailbeveiliging van Mimecast en bieden een model dat elke organisatie kan volgen om hun eigen potentiële ROI in te schatten.

    [1] " Cyber-Risk Oversight 2020 ," Internet Security Alliance, ecoDa en AIG

    [2] " Hiscox Cyber Readiness Report 2020 ," Hiscox

    [3] " Bank of America Merchant Services' Third Annual Small Business Payments Spotlight ," Bank of America

    [4] " Meten en beheren van cyberrisico's voor de bedrijfsvoering ," Ponemon Institute

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven