Your client doubts the need for extra security measures. Can you afford to overlook identified risks?

Overlooking identified risks, even when a client doubts the need for extra security measures, can be a costly mistake. It’s essential to communicate that security isn't just about addressing current threats but also about safeguarding against future vulnerabilities. Emphasize that the cost of a breach, in terms of financial loss, reputational damage, and operational downtime, far outweighs the investment in preventive measures. Use risk assessments and industry case studies to illustrate potential consequences. Ultimately, while respecting the client's perspective, make it clear that neglecting these risks could lead to significant, avoidable harm to their business.

Make it real for the client by zooming in on the risks you are trying to address and the consequences of not doing so. Be also flexible by seeking to understand the risk appetite and adjusting the proposals accordingly. Most of us can not address everything at once, thus focusing on the biggest threats and gaps can be a starting point, as well as developing a path that is adjusted to the appetite and financial means that are available over time. Existing regulation can also be a great anchor, e.g. the newest NIS2 and DORA requirements recently imposed in the EU.

Erkl?ren Sie spezifisch auf das Kundenunternehmen Analogien für Anf?lligkeiten und deren einfache Ausnutzbarkeit. Fragen Sie den Kunden, ob er Kennzahlen für Sch?den, Ausf?lle, Vertragsverletzungen etc. im Rahmen eines Cybersicherheitsvorfalls für sein Unternehmen kennt und sich der Folgen bewusst ist. Erkl?ren Sie Ziele und Vorgehen der Hacker, um ein Bewusstsein und Verst?ndnis für die Sachlage zu erzeugen.

In my experience, business environments keep changing when new business processes are introduced; existing business processes are re-engineered; new information technologies are deployed within the organization or the existing technology is reconfigured. These changes can lead to new risks or even advancing the already identified risks from low risk rating to high rating; therefore there will always be need to vigilantly re-evaluate the security posture of the organization. Extra security measures give an opportunity to proactively counter any new risk that may have not been identified or one that is already identified though not critical hence one should not overlook the risks.

Daher wird stets eine Multi-Vendor-Strategie empfohlen. Weiter macht es Sinn, ursprungsunabh?ngig Anomalien und Angriffsversuche auf Prozessebene zu erkennen und somit frühzeitig abzuwehren. Kenne ich die relevanten Einstiegspunkte des Unternehmens, kann ich diese gezielt überwachen und proaktive Reaktionen bereitstellen. Zudem sind Automatismen sinnvoll, um auch die Zeit der Abwesenheit von IT-Mitarbeitern kompensieren zu k?nnen. Verstehen Sie den Gegner um Ma?nahmen zu realisieren, welche Sie als Ziel unattraktiv macht.

It is worth working with your Risk team, or external partners such as consultants and insurance brokers, to estimate the cost of breaches based on internal information meshed with real-life cases in the industry. These present a powerful story to convey your message.

Werden Sie sich über Kosten für Ausfallzeiten, Vertragsstrafen, Sanktionen, Reputationssch?den etc. bewusst! In den meisten F?llen kostet ein Sicherheitsvorfall so viel, dass Sie sich bereits einige Jahre dafür h?tten absichern k?nnen. Technik kann man recht zügig wiederherstellen, Vertrauen nicht!

Dafür unterliegen entsprechende Unternehmen und Einrichtungen einschl?gigen Normen und Gesetzen. Damit zeigen Sie Vertragspartnern nicht nur Ihre Aktivit?ten dazu auf, sondern haben diese aktiv umgesetzt, um entsprechende Prüfungen überhaupt zu bestehen. Weiter bieten verschiedene Normen, Gesetze, Orientierungshilfen etc. Herangehensweisen und Vorgehen auf, an welchen man sich orientieren kann. Daraus resultiert eine nachvollziehbare Compliance.