Met welke juridische argumenten overtuig ik de Salesafdeling dat we aan security moeten gaan doen?

jarmoluk / Pixabay

Een lezer vroeg me:

Ons bedrijf (een middelgrote managed service provider) wil meer focus op security introduceren, ik ben aangewezen als de kwartiermaker van het nieuwe team. Het probleem is dat mijn team weinig voor elkaar krijgt, omdat alles te duur gevonden wordt en security geen selling point is voor de klant. Zijn er juridische argumenten waarmee ik het belang van mijn team meer naar voren kan brengen?
Deze vraagsteller is niet de eerste of enige die worstelt met security als deel van commerciële dienstverlening. Het lastige is immers dat security primair een kostenpost is, en als deze dienst goed geleverd wordt dan merk je niets van de security. Pas als het niet goed gaat, dan komen er klachten, maar dan is het natuurlijk al te laat.

De insteek om wetgeving – oftewel dreiging met boetes – te gebruiken als argument is een goede. We hebben bijvoorbeeld sinds 2018 de AVG, die een adequate beveiliging van persoonsgegevens eist. Die regels gelden ook voor MSPs die voor hun klanten data met persoonsgegevens opslaan of verwerken.

Meer algemeen is de Network and Information Security (NIS2) Richtlijn, die afgelopen januari van kracht werd en voor oktober 2024 in de Nederlandse en andere Europese wetten moet komen te staan. Ook deze regels eisen passende en proportionele security bij zo ongeveer iedereen in de IT-sector, op straffe van forse boetes. Voor IoT-apparaatmakers (en hun leveranciers) komt er de Cyber Resilience Act, wie met AI werkt krijgt ook een berg regels over zich heen, en ga zo maar door.

Genoeg argumenten dus om van security een selling point te maken: Koop bij ons want dan voldoet u aan de wet.

Ik zie dat alleen niet zo goed werken als het bedrijf security als een aparte kostenpost neerzet, op afstand van de ‘echte’ dienstverlening. Want die belofte moet je wel waar kunnen maken, en dat kan alleen als je samenwerkt in de productontwikkeling en -verbetering.

Verder is er het probleem dat al deze wetgeving vrij nieuw is, en dus weinig praktische impact heeft laten zien. Daardoor kan een organisatie nog vrij makkelijk kiezen voor “we merken het wel als andere, grotere bedrijven beboet worden en dan passen we ons aan” en daar is weinig tegenin te brengen.

Wat wel kan werken is wanneer het bedrijf zich wil gaan richten op grote klanten. Die zijn hier namelijk wél serieus mee bezig, en zullen van leveranciers garanties vragen dat ook zij aan de nieuwe regels voldoen. Inclusief documentatie en mogelijk audits om het te onderbouwen. Dat vertaalt zich naar een commercieel argument: je krijgt de offerte of aanbesteding niet als we de security niet aantoonbaar op orde hebben, dus daarom heb ik budget nodig om dit te regelen.

Arnoud

8 reacties

  1. Gebruik de implementatie van ISO 27001 (nieuw of bestaand) om security naar een hoger plan te tillen. Voor een MSP zou ISO 27001 commercieel toegevoegde waarde moeten hebben. En als je zelf je riscioprofiel en maatregelen aanpast om beter in lijn te zijn met jullie security ambities, moet je er ook aan voldoen om je ISO certificering te halen of te behouden. Naar mijn ervaring zijn sales mensen niet zo gevoelig voor compliance achtige zaken. Tegen de tijd dat daar een boete voor komt zijn ze waarschijnlijk al weer elders aan de slag. En zolang security geen impact heeft op hun bonus zullen ze slecht te bewegen zijn.

  2. Een andere mogelijkheid is wijzen op de imagoschade en de mogelijke omzetderving als gevolg van een datalek of hack.

    En natuurlijk is het een idee om het gebrek aan medewerking van de sales afdeling omhoog te escaleren. Blijkbaar hecht het bedrijf er waarde aan, men wil het en heeft er zelfs een apart team voor opgezet. Als de afdeling sales niet meewerkt, dan is het misschien tijd voor een goed gesprek met de manager van de afdeling sales en het hoger management om “””de neuzen dezelfde kant uit te krijgen”””.

    1. Zo zat ik ook te denken: ‘Wat een raar bedrijf, die hebben hun managementlijnen niet in orde’

      Als het topmanagement besluit dat er meer op security gefocused moet worden, wat is dat dan voor rare salesafdeling die dat ‘saboteert’?

      (Oftewel heeft het management een domme beslissing genomen (namelijk onvoldoende de sales afdeling geraadpleegd voordat ze die beslissing namen), maar dan nog…)

      De vraagsteller probeert een oplossing te vinden voor een probleem dat niet het zijne/hare is.

      Natuurlijk omhoog escaleren. En vragen dat iederen een cursus ‘basisprincipes van projectmanagement’ volgt.

        1. Bij enkele, sommige beter dan anderen. En ik weet ook wel dat een bedrijf geen top-down militaire organisatie is.

          Dit zijn typisch de opdrachten waar je stress van krijgt. Je bent een soort lab-rat en als je links gaat krijg je straf en als je rechts gaat krijg je straf, en je weet niet waarom.

          Ik ben hier gedurende mijn carriere steeds kritischer in geworden. Geen bullshit met mij.

  3. Juridische argumentatie is niet sterk. Die motiveert mensen om het minimale te doen en liefst iets minder en wat later.

    Maak een mooie presentatie over de Ford Pinto, de levensgevaarlijke vuurbal-auto. Er waren oplossingen van enkele dollars bekend vóór de eerste auto verkocht werd maar die werden niet ingezet. “Safety does not sell” was het motto. Het heeft jaren en jaren geduurd, en Ford een fortuin gekost in geld, publieke opinie en het topmanagement is zelfs op persoonlijke titel aangeklaagd.

    Sluit dan af met een paar screenshots van recente auto-advertenties waaruit blijkt dat ‘safety’ echt wel een selling point is geworden. Geen apart onderdeel dat geld kost maar een integraal onderdeel van het product: Als u dit aanschaft bent u comfortabel én veilig. Veiligheid is niet het doel op zich. Maar het is tegenwoordig wél onlosmakelijk verbonden met het product. Eindconclusie: Safety doesn’t sell is niet het motto. Tijden veranderen.

  4. Security is niet duur! Security is kostenbesparing voor de toekomst. Elk virus dat je virusscanner vind is een laptop die langer gebruikt wordt omdat hij minder snel traag wordt en die vervangingswaarde kun je uitrekenen. Elke phishing mail die je tegenhoudt is het voorkomen van ransomware (rustig €1000 per server aan kosten). Least privilige implementaties zorgen voor minder accounts, wat vaak lagere maandelijkse licentiekosten betekent. Security is dus geen kostenpost, maar een investering die toekomstige kosten beperkt. Verder gaat natuurlijk het bovenstaande verhaal over meer verkopen met certificering en het feit dat security steeds vaker wél een selling point is ook gewoon op, maar zelfs zonder die argumenten kun je een goede berekening maken dat security niet duur is.

    1. Ik begrijp wat je bedoelt, maar ik nodig je uit om te denken vanuit de ontwikkelaar van een product (welk product dan ook). Ik zie dan twee ‘problemen’ die het argument ‘het is niet duur’ weerspreken.

      Eerste ‘probleem’ is dat security zelf, hoe fijn en belangrijk ook, niets toevoegt aan de primaire functie van een product. Ja, je kunt het langer/beter gebruiken in slechte omstandigheden. Maar een auto rijdt, een tekstverwerker verwerkt tekst – security voegt niets toe aan de functie waarvoor de klant het product koopt. Zo kan een iets oudere computer helemaal onwerkbaar worden door een te zware, te scherp afgestelde virusscanner: De primaire functie waar de computer kan dan niet meer gebruikt worden. Zo had ik een computer die alleen nog maar een virusscanner kon draaien – niet de reden waarvoor ik de computer had.

      Tweede ‘probleem’ is dat security geen bovengrens heeft. Eerst moet er een slot op de deur. Daarna moet er sleutelbeheer komen. Daarna brandmelders. Dan een alarmsysteem. Ongeacht wat je doet, er is altijd een nog-veiliger maatregel (en de maatregelen worden steeds duurder, en beschermen tegen steeds exotischer situaties).

      Dan kom je er niet met de stelling ‘security is niet duur’

      Ik zeg niet dat je ongelijk hebt maar de taak van een security-afdeling is helpen een balans te vinden tussen de toegevoegde bescherming en (steeds hogere) kosten. In feite ben je security-features aan het uitkiezen op andermans creditcard. Het argument ‘het is niet duur’ wordt dan snel oud.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.