Nederlandse organisaties reserveren meer budget om zich te wapenen tegen cyberaanvallen. Waar vorig jaar security nog 15,16 procent van het ict-budget uitmaakte, daar stijgt dit percentage in 2023 naar 16,45 procent. Het zijn met name de organisaties met kleinere ict-budgetten die steeds meer investeren in hun beveiliging. Het mkb is bezig met een inhaalslag, daar waar grote organisaties gemiddeld genomen minder budget vrijmaakt voor cybersecurity. Dit blijkt uit eigen onderzoek van Computable dat Enigma Research in opdracht uitvoerde.
De toename van de lagere securitybudgetten (tot honderdduizend euro) staat haaks op het feit dat juist de hogere budgetten voor cybersecurity teruglopen. Het zijn dus vooral het grootbedrijf, multinationals en grote eindgebruikers die minder van hun ict-budget in 2023 reserveren voor security. Eigenlijk alle investeringen boven een ton lopen terug, behalve die tussen de twee en vijf miljoen euro. Die budgetten zijn ten opzichte van vorig jaar gelijk gebleven
Security-fte’s
Enigma Research onderscheidt in zijn onderzoek vier type organisaties: micro (maximaal 10 fte’s), kleine (11-50 fte’s), middelgrote (51-250 fte’s) en grote (meer dan 250 fte’s). Wanneer gekeken wordt naar het aantal fte’s met een security-gerelateerd ict-profiel dan werken bij het merendeel van de Nederlandse micro- (90 procent), kleine (74 procent) en middelgrote (77 procent) organisaties niet meer dan vier fte’s met zo’n profiel. 61 procent van de grote organisaties komt wel boven de vier fte uit.
Wat verder nog opvalt is dat bij de organisaties tot vijftig fte ruim 15 procent van de Nederlandse respondenten aangeeft dat er twintig tot vijftig fte’s in security-gerelateerde functie werken. Dat betekent dat het securitybudgetonderzoek bovenmatig veel respondenten heeft aangetrokken die werken bij it-beveiligingsspecialisten.
Ruim vier op de vijf (82 procent) zorgorganisaties in dit onderzoek zijn grote bedrijven met meer dan 250 fte’s. Het aantal fte’s met een security-gerelateerd ict-profiel is bij zorgorganisaties, gezien de omvang van deze bedrijven, opvallend laag. Bij 82 procent van de Nederlandse zorgorganisaties werken maximaal vier fte’s in dit vakgebied. Bij overheidsorganisaties zakt dit percentage tot net boven de helft. Bijna 36 procent beschikt over vijf tot vijftig beveiligings-fte’s.
Omvang organisatie
Het securitybudget van de organisatie is lang niet bij alle werknemers bekend; ruim twee op de vijf (42 procent) Nederlandse ondervraagden zeggen niet te weten hoe groot dit is voor 2023. Wat betreft welk aandeel het beveiligingsbudget heeft in het totale ict-budget kan slechts bijna een kwart (24 procent) een inschatting maken; gemiddeld komt dit aandeel in Nederland dus uit op 16,45 procent.
Het securitybudget in euro’s neemt toe met de bedrijfsgrootte. Zo zegt 90 procent van de ondervraagden die werken bij een micro-organisatie dat hun bedrijf naar schatting niet meer dan vijfduizend euro in 2023 uitgeeft. Kleine en middelgrote bedrijven hebben een iets hoger budget; respectievelijk 60 procent en 75 procent geeft tussen de vijfduizend en honderdduizend euro uit. De forse budgetten zijn beschikbaar bij grote organisaties; bijna twee derde (63 procent) geeft meer dan honderdduizend euro uit.
Wat betreft de verschillende branches in Nederland geeft de overheid verreweg het meeste geld uit aan security (60 procent besteedt honderdduizend euro of meer). In de zorg is het budget een stuk lager; bij bijna 62 procent komt het budget niet boven de 25.000 euro uit. In de ict-markt zijn de hoogtes van budgetten redelijk gelijk verdeeld, waarbij een budget tussen de 25.000 en honderdduizend euro het vaakst opgevoerd wordt (16 procent).
NIST Cyber Security Framework
In het onderzoek is ook naar specifieke onderwerpen gekeken, waarbij Enigma Research de principes hanteert die zijn vastgelegd in het NIST Cyber Security Framework. Daarbij is er grofweg een verdeling in vijf deelgebieden: Identify, Protect, Detect, Respond en Recover. Net als vorig jaar is volgens de Nederlandse ondervraagden ‘Protect’ de post waar gemiddeld het grootste gedeelte van het securitybudget aan uitgegeven wordt (30,3 procent). ‘Identify’ en ‘Detect’ volgen respectievelijk met 22,3 en 19,3 procent. In de deelgebieden ‘Respond’ (14,9 procent) en ‘Recover’ (13,2 procent) wordt iets minder geïnvesteerd.
Onder ‘Protect’ vallen zaken als toegangscontrole, awareness en training, datasecurity, informatiebeveiligingsprocessen en -procedures, onderhoud en beschermende technologie. ‘Identify’ behelst oplossingen voor bijvoorbeeld asset management, zakelijke omgevingen, governance, risicobeoordeling en een risk management-strategie. Bij ‘Detect’ moet er aan zaken gedacht worden als afwijkingen en events, security continuous monitoring en detectieprocessen. Bij ‘Respond’ gaat het bijvoorbeeld over responsplanning, communicatie, analyse, mitigatie en verbeteringen en onder ‘Recover’ vallen zaken als herstelplanning, verbeteringen en communicatie.
Extern vs. intern
Gemiddeld genomen besteden Nederlandse organisaties bijna de helft (49,7 procent) van het securitybudget extern door één of meerdere partners in de arm te nemen. Micro- (46,5 procent) en middelgrote (43,4 procent) organisaties besteden net wat minder extern dan kleine (52,8 procent) en grote organisaties (51,9 procent). Er zit dan nagenoeg geen verschil tussen professionals en beslissers in de mate van interne of externe inhuur. Beide percentages zijn nagenoeg 50 procent, waarbij interne inhuur net iets vaker gedaan wordt.
In de zorg wordt een opvallend groter percentage (72,7 procent) van het budget aan externe inhuur besteed. Nederlandse ict-organisaties besteden juist een groter percentage van het beveiligingsbudget aan intern dan extern (57,5 procent), net trouwens als overheidsorganisaties (54,2 procent).
Ransomware
De afgelopen paar jaar is ransomware bezig met een opmars, maar toch maken Nederlandse organisaties zich er minder druk om dan in 2022. 37 procent van de organisaties heeft in de afgelopen twee jaar meer budget vrijgemaakt om gijzelsoftware te bestrijden en/of te voorkomen en nog eens ruim een kwart (27 procent) zegt dat er hier dit jaar (weer) meer budget voor vrijkomt. Dit is echter lager dan vorig jaar; toen gaf nog 38 procent aan dat er ook dit jaar (weer) meer budget vrij zou komen. In totaal steekt 56 procent van de organisaties nu of in de afgelopen twee jaar extra geld in de bestrijding en/of het voorkomen van ransomware. Dit was vorig jaar in Nederland nog 66 procent.
Zeven op de tien microbedrijven geeft aan dat er helemaal geen extra budget vrijkomt of al is vrijgekomen. 43 procent van de kleine, 40 procent van de middelgrote en 39 procent van de grote organisaties trekt geen extra geld uit voor de bestrijding van ransomware. Ook in de zorg zien we met 56 procent dat een meerderheid geen extra geld uittrekt om zich tegen deze vorm van cybercriminaliteit te beschermen. Dat ligt bij ict- (41 procent) en vooral overheidsorganisaties (31 procent) weer anders.
Soorten beveiliging
Organisaties houden zich het vaakst bezig met ‘netwerkbeveiliging’ en ‘security awareness’ (beide 17 procent), gevolgd door ‘databeveiliging’ en ‘applicatiebeveiliging’ (beide 16 procent). Overigens geeft ook 17 procent van de Nederlandse respondenten aan dat het zich met andere soorten beveiliging bezighoudt. Er worden dan zaken genoemd als forensics, privacybescherming en risk management. Slechts 10 procent heeft in Nederland de focus op ‘cloudbeveiliging’ en ‘endpoint-beveiliging’ scoort met 8 procent in ons land het laagst.
Security operations center
Een security operations center (soc) wordt het vaakst in Nederland gebruikt door grote organisaties (66 procent). Ongeveer één op de drie middelgrote (31 procent) en kleine (bijna 24 procent) bedrijven hebben een soc. Bij Nederlandse micro-organisaties komt een soc het minst vaak voor (bijna 14 procent). Daarbij blijken vooral overheidsinstellingen gebruik te maken van een soc (bijna 77 procent). Dat is beduidend meer dan de bijna 27 procent van de zorginstanties die gebruikmaken van een soc. Het percentage voor ict-organisaties ligt op ruim 51 procent.
Bijna de helft van de Nederlandse organisaties met een soc bemandt deze intern (48 procent). Bijna een kwart (24 procent) besteedt het uit en bijna drie op de tien hebben het soc gevarieerd ingevuld met interne- en externe medewerkers (27 procent). Als we kijken naar de zorgorganisaties, dan heeft niemand volledig het soc intern bemand. In 40 procent gaat het om volledige uitbesteding, in 60 procent van de gevallen is het een combinatie tussen intern en extern. Bij de overheid zijn de percentages voor intern en extern nagenoeg gelijk (allebei 38 procent, in een kwart van de gevallen is het gecombineerd. In de ict-markt is het gangbaar om het soc intern te bemannen (78 procent).
Onderzoeksverantwoording
De redacties van Computable in zowel Nederland als België worden overspoeld met verschillende securityonderzoeken. Deze zijn vaak gerelateerd aan een specifiek securityonderwerp, zoals ransomware, trojans/antivirus of security-bewustzijn. Wat steevast mist, is hoe organisaties hun security regelen en hoeveel geld hiervoor beschikbaar is. Computable heeft daarom samen met Enigma Research een Benelux-onderzoek opgezet.
Met behulp van het onderzoek wordt inzage verschaft in de hoogte en besteding van securitybudgetten. Er wordt gekeken naar de totale Benelux, maar ook gesegmenteerd naar land. Ook worden branches apart uitgelicht, om te kunnen bepalen of securitybudgetten in verschillende branches variëren. Dit onderzoek is een vervolg (1-meting) op het onderzoek dat vorig jaar is uitgevoerd.
Voor dit onderzoek is gebruik gemaakt van kwantitatief online onderzoek. De respondenten zijn benaderd via een adressenbestand en via de eigen mediakanalen van Computable. Het veldwerk heeft plaatsgevonden van 26 januari t/m 6 maart 2023. De totale steekproef heeft een omvang van 384 personen. 284 personen ronden de vragenlijst volledig af.
Top 5 applicatiebeveiliging Benelux
Ongeacht de vorm van security, zijn Microsoft, Fortinet, Cisco, Fox-IT en AwareTrain in de Benelux de externe securitypartners en/of -leveranciers waar het meeste mee wordt (samen)gewerkt. Op het gebied van ‘security awareness’ worden AwareTrain, Fox-IT, InCyber en NEH vaak genoemd.
Microsoft, Sophos en F5 zijn partijen die bij ‘applicatiebeveiliging’ naar voren komen. Bij ‘cloudbeveiliging’ is dit niet heel verrassend ook Microsoft, bij ‘databeveiliging’ is dit na deze techgigant ook noh Tesorion en bij ‘endpoint-beveiliging’ leidt Microsoft ook, gevolgd door Crowdstrike en SentinelOne.
Dit artikel verscheen eerder in Computable-magazine #2/3 2023
