Met welke juridische argumenten krijg ik mijn klanten zover dat ze wel voor security kiezen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ons bedrijf (een middelgrote managed service provider) wil meer focus op security introduceren, ik ben aangewezen als de kwartiermaker van het nieuwe team. Het probleem is dat mijn team weinig voor elkaar krijgt, omdat alles te duur gevonden wordt en security geen selling point is voor de klant. Zijn er juridische argumenten waarmee ik het belang van mijn team meer naar voren kan brengen?
Antwoord: Deze vraagsteller is niet de eerste of enige die worstelt met security als deel van commerciële dienstverlening. Het lastige is immers dat security primair een kostenpost is, en als deze dienst goed geleverd wordt dan merk je niets van de security. Pas als het niet goed gaat, dan komen er klachten, maar dan is het natuurlijk al te laat.
De insteek om wetgeving - oftewel dreiging met boetes - te gebruiken als argument is een goede. We hebben bijvoorbeeld sinds 2018 de AVG, die een adequate beveiliging van persoonsgegevens eist. Die regels gelden ook voor MSPs die voor hun klanten data met persoonsgegevens opslaan of verwerken.
Meer algemeen is de Network and Information Security (NIS2) Richtlijn, die afgelopen januari van kracht werd en voor oktober 2024 in de Nederlandse en andere Europese wetten moet komen te staan. Ook deze regels eisen passende en proportionele security bij zo ongeveer iedereen in de IT-sector, op straffe van forse boetes. Voor IoT-apparaatmakers (en hun leveranciers) komt er de Cyber Resilience Act, wie met AI werkt krijgt ook een berg regels over zich heen, en ga zo maar door.
Genoeg argumenten dus om van security een selling point te maken: Koop bij ons want dan voldoet u aan de wet.
Ik zie dat alleen niet zo goed werken als het bedrijf security als een aparte kostenpost neerzet, op afstand van de 'echte' dienstverlening. Want die belofte moet je wel waar kunnen maken, en dat kan alleen als je samenwerkt in de productontwikkeling en -verbetering.
Verder is er het probleem dat al deze wetgeving vrij nieuw is, en dus weinig praktische impact heeft laten zien. Daardoor kan een organisatie nog vrij makkelijk kiezen voor "we merken het wel als andere, grotere bedrijven beboet worden en dan passen we ons aan" en daar is weinig tegenin te brengen.
Wat wel kan werken is wanneer het bedrijf zich wil gaan richten op grote klanten. Die zijn hier namelijk wél serieus mee bezig, en zullen van leveranciers garanties vragen dat ook zij aan de nieuwe regels voldoen. Inclusief documentatie en mogelijk audits om het te onderbouwen. Dat vertaalt zich naar een commercieel argument: je krijgt de offerte of aanbesteding niet als we de security niet aantoonbaar op orde hebben, dus daarom heb ik budget nodig om dit te regelen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Kan een bedrijf dat voor ISO27001 (en NEN7510) gecertificeerd is gebruik maken van ChatGPT?Het is altijd een keuze om wel of niet ergens aan te voldoen (ook al is de boete nog zo hoog).
beter is het ws om te kijken naar je kunt vertalen wat het gevolg van een risico is in de taal van de business.
SABSA is hier een zeer goede methode voor.
Het is ook een gevoel dat je moet proberen te delen. Dat heel de winkel denkt, kom maar op met je gehek en je ddos en je ransomware. Dat is niet altijd een kwestie van geld. Soms wel natuurlijk.
Goeie security is leuk. En is ook zeker commercieel van waarde. Bij ons hier ook. Gebruikers vertrouwen de boel niet altijd. Maar als je dat constant uitdraagt en ook waarmaakt, dan blijven ze bij je. Als nou iets commercieel is, dan is dat het wel. Continuiteit door vertrouwen. Als je klant zich als familie voelt dan loopt die niet snel weg. Dat is het fundament van een goede orderportefeuille. Het is een verkoopargument. Dat je wel goed moet kunnen communiceren naar je klanten. "Je gegevens zijn veilig bij ons, op onze servers kun je met een kanon schieten. En dan doen ze het nog." Dat verkoopt veel beter dan privacy statements van honderd alineas. Dat leest niemand. Dat maakt eerder bang en wantrouwig. Het is eigenlijk minder lullen maar beter je werk doen. Dan zijn klanten als mieren. Die voelen dat.
https://www.defensie.nl/downloads/beleidsnota-s/2020/02/04/abdo-2019.
Per project wordt een goedkeuringsverklaring gegeven.
Wellicht wordt de werking (in een vergelijkbaar document) uitgebreid naar andere Nederlandse overheden.
Als je met de Amerikaanse overheid zaken wil doen, dan geldt heel vaak NIST 800-171 (voor Controlled Unclassified Information). Hier is geen certificering aan de orde.
https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final
Zie dat dit document ook een mapping heeft tussen ISO 27002 en NIST-800-53.
Als je met de Amerikaanse Defensie wenst samen te werken, dan geldt Cyber Maturity Model Certification (CMMC).
Hier moet men gecertificeerd zijn.
Hoe dichter bij US-DoD en hoe gevoeliger de info, des te zwaardere eisen zullen gelden.
Hier geldt certificering.
En ook in de gehele keten (ook als die buiten Amerika doorwerkt).
De Europese wetten zijn ook in ontwikkeling.
Digitalisering werkt vaak door in de publieke ruimte. Daarom is vrijheid-blijheid steeds kleiner (en terecht).
Voor (IT-)organisaties is het daarbij belangrijk om interoperabiliteit te waarborgen. Anders moet je kosten vaker betalen (voor elke nieuwe samenwerking weer een kostenpost).
Overigens
Net zoals de wegen-verkeerswetten.
Er is wetgeving over gedrag van verkeersdeelnemers
Er is wetgeving over de infrastructuur (wegen, etc)
Er is wetgeving over de voertuigen.
En daarom kan ik redelijk veilig van Parijs naar Groningen met zelfs een redelijke verwachting van aankomsttijd.
Leve interoperabele veiligheid
:^)
:^)
Hier graag uw handtekening voor het accepteren van de risico’s en de gevolgen is een nog veel betere. Werkt altijd bij managers.
:^)
Hier graag uw handtekening voor het accepteren van de risico’s en de gevolgen is een nog veel betere. Werkt altijd bij managers.
"Nou meneer de leverancier, u bent wel hard aan het pushen en wil verantwoordelijkheid afschuiven. Jullie zitten er zo hard op, te pushen; jullie normale standaard aanbod zal wel super onveilig zijn. Ik heb hier allemaal geen goed gevoel bij, dus dank u maar ik ga wel op zoek naar een andere aanbieder, waar het gewoon standaard al wel veilig is zonder dat ik bedreigd wordt met juridische toestanden tenzij ik allemaal dure extra dingen afneem die eigenlijk gewoon standaard zouden moeten zijn. Tot ziens hoor, daaag."
Daarom is security geen selling point, juridische argumenten met boetes houden geen stand.
Als een klant het niet wil zou ik mij als bedrijf zeggen we stoppen met de samenwerking dit gaat niet zo werken voor ons.
Data breaches en aansprakelijkheid: Wijs op de groeiende dreiging van cybercriminaliteit en de frequente datalekken die organisaties treffen. Leg uit dat klanten aansprakelijk kunnen worden gesteld voor eventuele schade en financiële verliezen als gevolg van een beveiligingsincident. Door te investeren in securitymaatregelen kunnen ze de risico's op datalekken en aansprakelijkheid verminderen.
Reputatieschade en verlies van vertrouwen: Vestig de aandacht op het belang van een goede reputatie en het vertrouwen van klanten. Een datalek of beveiligingsincident kan leiden tot ernstige reputatieschade, klantverlies en juridische geschillen. Door te investeren in securitymaatregelen kunnen klanten hun reputatie beschermen en het vertrouwen van hun klanten behouden.
Contractuele verplichtingen: Onderstreep het belang van beveiliging in contractuele verplichtingen. Wijs klanten erop dat ze mogelijk contracten hebben met clausules over beveiliging en dat het niet naleven van deze clausules juridische gevolgen kan hebben, zoals boetes of zelfs contractbreuk.
Concurrentievoordeel: Benadruk dat een solide beveiligingsstrategie en naleving van de wettelijke vereisten een concurrentievoordeel kunnen opleveren. Klanten kunnen zich onderscheiden van hun concurrenten door te laten zien dat ze zorgvuldig omgaan met de beveiliging van gegevens en privacy van klanten.
Het is belangrijk om deze argumenten aan te vullen met concrete voorbeelden, casestudy's en statistieken om de urgentie en het belang van security te benadrukken. Bovendien kun je klanten wijzen op best practices en oplossingen die je kunt bieden om hen te helpen bij het verbeteren van hun beveiligingsniveau.
Succes met het overtuigen van je klanten!
Dreiging werkt maar tot op zekere hoogte en kan je niet continue mee doorgaan. Je zal moeten proberen de toegevoegde waarde te vinden. Mensen willen geld verdienen.
Dus als jij met security extra waarde toevoegd aan desbetreffend bedrijf...Bijvoorbeeld certificeringen e.d.. Gevolg: levert extra klanten want... . Je kan dan zaken met x of y doen. Je zal je dus moeten verdiepen in je klanten en kijken waar de waarde zit.
Voor de puristen ja ik weet het cerificaten e.d. is niet waar het om zou moeten draaien maar veiligheid wel.
Managers hebben sterk de neiging om de kans op ernstige beveiligingsincidenten te onderschatten doordat ze een veel te roodkleurig beeld hebben van "de beveiliging", mede doordat beheerders- maar ook andere medewerkers- kwetsbaarheden verzwijgen ("die updates doen we volgende maand wel" of "mijn wachtwoord asdf1234 hebben ze nog nooit geraden") of zelf risico's onderschatten ("ik trap heus niet in phishing").
Hoewel een pentestrapport van een onafhankelijke partij niet direct iets zegt over de kans, toont het wel de kwetsbaarheden van een organisatie aan, in is meestal een grote eye-opener (maar we hebben toch een firewall en virusscanners?).
Daarna kun je met juridische argumenten komen, waarmee de impact van een ernstig security-incident veel helderder wordt, en daarmee de risico's die de organisatie loopt.
Bruce Schneier al sinds 2008 :
https://www.schneier.com/blog/archives/2008/05/how_to_sell_sec.html
https://www.zdnet.com/article/why-is-fear-mongering-such-a-popular-security-sales-tactic/
https://cisoseries.com/9-reasons-why-selling-fear-does-not-work-on-a-ciso/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.