De financiële crisis leidt bij veel bedrijven tot minder investeringen in informatiebeveiliging. Dat blijkt uit Europees onderzoek dat KPMG en Everett lieten uitvoeren. Volgens de conclusies van dat onderzoek heeft één op de vier organisaties te maken met een verlaging van het beveiligingsbudget van vijf tot vijftig procent. En nog eens dertien procent wordt geconfronteerd met meer dan een halvering van het budget.
Daarnaast heeft de crisis ingrijpende gevolgen voor het beheer van de toegangsrechten van medewerkers tot de informatiesystemen, zo concluderen de onderzoekers. Hoewel het verbeteren van het Identity & Access Management (IAM) bij veel bedrijven nog op de agenda staat, heeft meer dan de helft te maken met een gewijzigde aanpak van de IAM-projecten.
In vergelijking met vorig jaar heeft een meerderheid van de organisaties de aandacht verlegd naar compliance, het voldoen aan wet- en regelgeving. Kostenreductie en kwaliteitsverbetering spelen op dit moment een veel minder belangrijke rol. Hermans van KPMG IT Advisory: ‘Het aantal implementaties van complete IAM-oplossingen is ongeveer gehalveerd.'
Budget voor IAM
Uit het onderzoek van KPMG en Everett blijkt verder dat 70 procent van de onderzochte bedrijven inmiddels een specifiek budget heeft voor IAM.
Bedrijven in de financiële dienstverlening behouden hun positie als ‘early adopter'. Ondanks de economische crisis kent deze sector nog altijd de hoogste budgetten. In de sectoren infrastructuur, overheid en gezondheidszorg blijkt IAM sterk in opkomst.
Alles is een kwestie van geld en risico’s die men daarvoor wil nemen.
Bezuiniging op Informatiebeveiliging is koren op de molen van (cyber)criminelen). Het wordt hun nog gemakkelijker gemaakt in plaats van dat er extra drempels worden opgeworpen tegen de juist toenemende e-criminaliteit.
Compliancy, het voldoen aan wet- en regelgeving/ financiele regelgeving (SOx) en andere vereisten MOETEN worden nageleefd want anders krijgt men schadeclaims, imagoschade en/of brengen de klanten geen geld meer in het (onbetrouwbare) bedrijf.
IAM is maar een, maar wel een erg belangrijke, maatregel van het hele scala aan beveiligingsmaatregelen dat iedereen onderhand wel kent.
Cybercriminaliteit en compliancy blijken vaak mijlenver uit elkaar de staan: zie veel actuele persberichten over schade bij (security) gecertifceerde bedrijven (zelfs banken).
Ik denk dat als de cybercriminelen de verantwoordelijke beslissers zelf eens treffen dat de prioriteit vanzelf weer in balans komt; de toekomst zal het uitwijzen.
Wat beveiliging kost is goed te berekenen. Wat het financieel oplevert is ook redelijk in te schatten. Daarvoor zijn al meer dan twintig jaar spreadsheets voor, die steeds weer vernieuwd worden.
Een goed hoofd I&A of CIO kan aan de eindverantwoordelijken laten zien waar de beveiligingskosten en -baten zitten.