Nederlandse organisaties besteden ruim 80 procent van hun cyber security budget aan preventietechnologieën. Slechts 17 procent van het budget richt zich op het detecteren en reageren op een inbraak. Deze ratio moet volgens ict-dienstverlener CGI veranderen. Het bedrijf stelt dat inbraken onvermijdelijk zijn omdat criminelen steeds nieuwe methodes bedenken om de gekozen beveiligingen te omzeilen.
Pierre Audoin Consultants (PAC ) heeft in opdracht van CGI onderzoek gedaan onder achttienhonderd it-beslissers. In Europa zijn organisaties ondervraagd met meer dan honderd werknemers. Er hebben honderd Nederlandse organisaties meegewerkt aan het onderzoek.
In vergelijking tot andere Europese landen investeert Nederland even veel in cybersecurity. Het budget wordt onder gemiddeld besteedt aan het detecteren van inbraken. Slechts 17 procent van het budget gaat naar deze beveiligingsmethode. Volgens CGI is Nederland minder goed voorbereid op cyberaanvallen. Dit heeft geen invloed om de kwetsbaarheid van de organisaties, maar wel op het vermogen om aanvallen te detecteren en hierop te reageren. Zweden besteedt met 22 procent het meest aan de detectie van inbraken.
Organisatiegrootte
In Nederland is een verschil te zien in de grootte van de organisatie en het belang van de cybersecurity. Hoe kleiner het bedrijf, hoe belangrijker cybersecurity is voor de it-afdeling. Dit komt doordat kleinere organisaties minder goed zijn voorbereid om een aanval. Toch blijkt dat de kleinere organisaties bewust risico’s aanvaarden om de focus te leggen op flexibiliteit. Grotere bedrijven beschikken over betere beveiligingstechnieken. Dit omdat de impact en de kansen op een aanval groter zijn. Vaak beschikken zij over een intern beveiligingsteam.
Qua sectoren zijn bedrijven in transport, energie, financiële dienstverlening en telecommunicatie beter voorbereid op een cyberaanval dan andere publieke sectoren. Vooral bij onderwijsinstellingen, retail, en de media is de beveiliging nog ondermaats. Accounts zijn in Nederland met 36 procent het meest gekozen doelwit. Dit gevolgd door de financiële sector (26 procent).
Security is voor mij altijd een standaard ‘gedachte/taak’ geweest binnen de IT keten. Los van om het even welke discipline, dient dit ook gewoon een standaard te blijven op de ogen van elke IT professional, in alles wat zij/hij aan het doen is. Professioneel een gedeelde verantwoordelijkheid dus.
Helaas zie ik telkens weer, vooral naar managementniveau, dat security helemaal niet als een standaard of vanzelfsprekendheid word gezien. Iets waar ik dan weer mijn schouders over op haal. Heb je namelijk geen oog voor de interne IT security, dan zal het mij werkelijk banaan zijn wat daar dan de consequenties weer van blijken in de toekomst.
Paard achter de wagen
Je ziet vaak pas dat security plots een ‘hot item’ wordt als men, je kunt daar natuurlijk een keer op wachten, slachtoffer is geworden van het één of ander. Dat had je aardig kunnen voorkomen denk ik dan.
Kort en goed, Security hoort gewoon standaard op je netvlies te staan op elk niveau in IT, voor elke professional. Je blijft je dan bewust van mogelijke gevaren en al weet je dat je niet alles kunt voorkomen, je helpt wel mee met het verhogen en verbeteren van eigen standaard.