Of we nou aan de bestuurstafel zitten of achter de kassa bij Albert Heijn; we weten allemaal dat IT-beveiliging belangrijk is. Het belang ervan varieert afhankelijk van uw rol in een organisatie alleen zijn het de mensen die aan de bestuurstafel zitten die beslissen over waar beveiliging als strategisch prioriteit en dus investering wordt ondergebracht binnen de organisatie.
Uit een Dell-onderzoek (Protecting the organisation against the unknown) onder bijna 1,500 bedrijven wereldwijd, is gebleken dat bedrijven ongeveer 20% van hun totale budget aan IT spenderen en dat hiervan 17% wordt besteed aan bedrijfsbeveiliging. Interessant is dat bedrijven die nog nooit het slachtoffer zijn geweest van een cyber-aanval van enige soort slechts 12% investeren van het totale IT-budget aan beveiliging. Zij die wel aangevallen zijn hebben hier 18% voor over. Dit bewijst dat bedrijven echt lijken te leren van hun fouten.
Uit hetzelfde onderzoek bleek ook dat 87% van de bedrijven op een zeker moment een beveiligingsbedreiging hebben ervaren waarbij de verliezen voor deze bedrijven opliepen tot bijna 1 miljoen USD. Toch vond maar 18% het voorspellen en opsporen van eerder ontdekte bedreigingen topprioriteit. Kunnen we hieruit de conclusie trekken dat IT security-mensen geloven dat wat ze niet weten ook geen kwaad kan?
Belemmeringen
Er bestaat een aantal belemmeringen voor een succesvol IT-beveiligingsbeleid. In het onderzoek werden beperkte hulpmiddelen en een hoge werklast genoemd als knelpunten door 49% van de ondervraagden. Budgettaire beperkingen kwamen met 46% op een krappe tweede plek waardoor meteen duidelijk werd dat dit een grote barrière is bij bedrijven wereldwijd. Dat een gebrek aan hulpmiddelen en budgettaire beperkingen IT-beveiliging tegen houden zal nauwelijks meer als een verrassing worden gezien nu we uit een wereldwijde recessie kruipen. Een van de redenen hiervoor is dat management nog steeds gelooft dat beveiliging ‘beperking en ontkenning’ is en in haar streven naar omzet wordt de implementatie van beveiligingsmaatregelen slechts gezien als een volgende fase.
Niet juiste prioriteit
De afgelopen tijd is het voor de financiële beslissers in de bedrijven zaak geweest de uitgaven te beteugelen. En volgens de Dell-enquête geven juist deze mensen IT-security niet de juiste zakelijke prioriteit. 37% van de ondervraagden vindt dat er een gebrek aan het serieus nemen van informatiebeveiliging is bij top management. 36% zegt dat er een gebrek aan kennis inzake beveiliging is bij top management. Verbazingwekkend is dat 31% van de ondervraagden aangaven dat management in de boardroom geen verband zagen tussen beveiliging en omzet.
Een voorval in de VS dit jaar die het thema beveiliging top of mind zou moeten maken bij de beslissers in organisaties, is dat van Beth Jacob, de inmiddels voormalig CIO van de Amerikaanse online retailer Target. Jacob diende begin maart haar ontslag in na de dramatische omzetdaling in aanloop naar Kerstmis doordat de persoonlijke gegevens van mogelijk 110 miljoen klanten op straat waren komen te liggen. De kosten van het beveiligingslek voor Target werden geschat op maar liefst 61 miljoen USD, terwijl de verzekering daarvan 44 miljoen USD had gedekt. Ondanks de steun van de verzekering voor het grootste deel van het omvangrijke bedrag, gaf dit maar weer aan dat beveiliging een reële bedreiging voor bedrijven kan zijn. Het bedrijfsleven moet een proactieve houding innemen om deze gevaren onder ogen te zien.
