Elk bedrijf wordt geconfronteerd met kwetsbaarheden in software van informatiesystemen, apparaten en services van derde partijen. Intern jagen de IT-professionals op deze kwetsbaarheden en zorgen voor een passende reactie- en herstelprocessen. Het interne speuren naar kwetsbaarheden leidt niet tot het vinden van alle kwetsbaarheden. Extern speuren er ook IT-specialisten naar kwetsbaarheden in informatiesystemen, apparaten en services. Als een kwetsbaarheid is gevonden is het prettig dat de externe IT-specialist de kwetsbaarheid meldt bij het bedrijf in plaats bij kwaadwillende exploitanten van geconstateerde kwetsbaarheden. MYOBI biedt beproefde processen de relatie aan te gaan met goedwillende externe IT-specialisten (ethical hackers). Zie: Coordinate Vulnerability Disclosure.
Kosten
Voor gebruikers van het vertrouwensnetwerk zijn de kosten voor het organiseren van een CVD zijn beperkt tot € 250 per aangebrachte kwetsbaarheid.
Opbrengsten
De opbrengsten van het beschikken over een CVD zijn moeilijk in te schatten omdat het afhankelijk is van de kwaliteit en effectiviteit van de beheers- en beveiligingsmaatregelen. Als een bedrijf het treffen van beheers- en beveiligingsmaatregelen serieus neemt, kennis- en verandermanagement toepast, compliance op de beheers- en beveiligingsmaatregelen instelt en intern jaagt op kwetsbaarheden kunnen de “opbrengsten” van CVD tegenvallen. De opbrengsten beschouwen wij als “opportunity costs”; dus de kosten die vermeden worden als kwaadwillende onderzoekers/ hackers de operationele systemen stopzetten en losgeld vragen. Het instellen van CVD-processen noodzakelijk om goedwillende externe onderzoekers te faciliteren.
Wij hebben deze “opbrengsten” niet opgenomen in de businesscase van het gebruiken van het vertrouwensnetwerk omdat het kwantificeren van deze “opbrengsten” afhankelijk zijn van de specifieke bedrijfssituatie van een gebruiker van het vertrouwensnetwerk.
Afhankelijk van de bedrijfssituatie kunnen wij stellen dat het in aanraking komen met kwaadwillende hackers veelal leidt tot een bedreiging van de bedrijfscontinuïteit en/ of aanzienlijke kosten. Wij adviseren bedrijven bij het opstellen van de businesscase een kwantitatieve inschatting van de “opbrengsten” of de “voordelen” van het instellen van CVD processen.
