maandag
30
mei
2022
Waar gaat uw security-budget naartoe?
Van het totale ict-budget dat organisaties in de Benelux jaarlijks beschikbaar stellen, gaat zowat 17 procent naar security. Dit blijkt uit onderzoek van Computable dat hiervoor opdracht gaf aan Enigma Research. Waar gaat dat security-geld dan precies naartoe?
De zeventien procent voor security in het totale it-budget is zowat de aandachtstrekker in het onderzoek van Computable waar zowat 350 Benelux-organisaties bij betrokken waren, zowel kleine tot erg grote. Het onderzoek werd voorgesteld tijdens een druk bijgewoonde presentatie op de Cybersec Europe-beurs van vorige week. Een opvallende en tweede conclusie is dat ruim zeventig procent van de organisaties de voorbije twee jaar extra geld heeft uitgetrokken of dit nog gaat doen in strijd tegen ransomware of om schade hierdoor te voorkomen.
De drijfveer van het onderzoek is alvast duidelijk. Computable ontvangt dagelijks de resultaten van securityonderzoeken, maar die gaan zelden over budgetten. Cijfers over datalekken, trojans, ddos-aanvallen en hackersgroeperingen zijn er volop, maar actuele informatie over hoeveel geld organisaties voor hun security uittrekken ontbreekt vaak. Daarom dat Computable in het eerste kwartaal van 2022 onderzoek uitvoerde in Nederland en België over dit thema.
Al meteen was duidelijk dat security-budgetten alle richtingen uit gaan. Bijna een vijfde van de security-budgetten (zie tabel) is kleiner dan vijfduizend euro, maar bij zes procent is het security-budget dan weer groter dan vijf miljoen euro. Daarom is het gemiddelde van zeventien procent voor security binnen het totale it-budget een goede indicatie voor alle organisaties. Die zeventien procent zit overigens grotendeels in lijn met het percentage dat blijkt uit de 'Hiscox Cyber Readiness', een van de weinige andere studies die security-budgetten in kaart brengt. De helft van het budget gaat naar externe experten, de andere helft wordt besteed aan interne ontwikkeling of onderhoud in het kader van security.Geld gaat vooral naar ProtectIn het onderzoek naar securitybudgetten is ook naar specifieke onderwerpen gekeken en hoe daarover het budget verdeeld is. Hiervoor hanteerden we de principes die vastgelegd zijn in het NIST Cyber Security Framework: Identify, Protect, Detect, Respond en Recover.
Daaruit blijkt dat het meeste geld geïnvesteerd wordt in het onderdeel Protect. 34 procent gaat namelijk naar zaken als toegangscontrole, awareness/training, datasecurity, informatiebeveiligingsprocessen en -procedures, onderhoud en beschermende technologie. 22 procent gaat naar Detect, zoals afwijkingen/events, security continuous monitoring en detectieprocessen, achttien procent naar Identify, zoals asset management, zakelijke omgevingen, governance, risicobeoordeling en risk-management-strategie, dertien procent naar Respond, zoals responsplanning, communicatie, analyse, mitigatie en verbeteringen en twaalf procent naar Recover, zoals herstelplanning, verbeteringen en communicatie.In het onderzoek hebben we ook onderscheid gemaakt tussen (it) professionals en (business) beslissers. Hieruit blijkt dat professionals zich meer bezighouden met Identify, Respond en Recover. Beide groepen besteden ongeveer evenveel aandacht aan Detect. Beslissers richten zich meer op het onderdeel Protect. Dat is dan ook niet toevallig het onderdeel waar in verhouding het meeste security-budget naartoe gaat.
De drijfveer van het onderzoek is alvast duidelijk. Computable ontvangt dagelijks de resultaten van securityonderzoeken, maar die gaan zelden over budgetten. Cijfers over datalekken, trojans, ddos-aanvallen en hackersgroeperingen zijn er volop, maar actuele informatie over hoeveel geld organisaties voor hun security uittrekken ontbreekt vaak. Daarom dat Computable in het eerste kwartaal van 2022 onderzoek uitvoerde in Nederland en België over dit thema.
Al meteen was duidelijk dat security-budgetten alle richtingen uit gaan. Bijna een vijfde van de security-budgetten (zie tabel) is kleiner dan vijfduizend euro, maar bij zes procent is het security-budget dan weer groter dan vijf miljoen euro. Daarom is het gemiddelde van zeventien procent voor security binnen het totale it-budget een goede indicatie voor alle organisaties. Die zeventien procent zit overigens grotendeels in lijn met het percentage dat blijkt uit de 'Hiscox Cyber Readiness', een van de weinige andere studies die security-budgetten in kaart brengt. De helft van het budget gaat naar externe experten, de andere helft wordt besteed aan interne ontwikkeling of onderhoud in het kader van security.Geld gaat vooral naar ProtectIn het onderzoek naar securitybudgetten is ook naar specifieke onderwerpen gekeken en hoe daarover het budget verdeeld is. Hiervoor hanteerden we de principes die vastgelegd zijn in het NIST Cyber Security Framework: Identify, Protect, Detect, Respond en Recover.
Daaruit blijkt dat het meeste geld geïnvesteerd wordt in het onderdeel Protect. 34 procent gaat namelijk naar zaken als toegangscontrole, awareness/training, datasecurity, informatiebeveiligingsprocessen en -procedures, onderhoud en beschermende technologie. 22 procent gaat naar Detect, zoals afwijkingen/events, security continuous monitoring en detectieprocessen, achttien procent naar Identify, zoals asset management, zakelijke omgevingen, governance, risicobeoordeling en risk-management-strategie, dertien procent naar Respond, zoals responsplanning, communicatie, analyse, mitigatie en verbeteringen en twaalf procent naar Recover, zoals herstelplanning, verbeteringen en communicatie.In het onderzoek hebben we ook onderscheid gemaakt tussen (it) professionals en (business) beslissers. Hieruit blijkt dat professionals zich meer bezighouden met Identify, Respond en Recover. Beide groepen besteden ongeveer evenveel aandacht aan Detect. Beslissers richten zich meer op het onderdeel Protect. Dat is dan ook niet toevallig het onderdeel waar in verhouding het meeste security-budget naartoe gaat.