Bijna 17 procent van ict-budget gaat naar beveiliging
De investeringen in ict-beveiliging zijn terug op het niveau van 2022. Dit blijkt uit onderzoek van Computable en Enigma Research onder 291 ict- en securityprofessionals in de Benelux. Daar waar er vorig jaar minder geld naar security ging, daar zien we dat in 2024 17 procent van het totale ict-budget naar beveiliging en veiligheid gaat. In 2023 was dit gedaald naar 15 procent.
Daarmee zijn de investeringen procentueel gezien precies terug op het niveau van 2022. De afgelopen jaren zie we een wisselend beeld qua securityinvesteringen gekoppeld aan bedrijfsgrootte. Zo zien we dat de kleinste organisaties steeds iets meer geld gaan uittrekken voor ict-beveiliging. Wel moet hierbij worden vastgesteld dat het budget hiervoor zeer beperkt is; per jaar ligt de ‘investering’ onder de duizend euro. Daar staat tegenover dat juist de allergrootste budgetten, boven de vijf miljoen euro per jaar, ook toenemen.
Meer securitybudget
Het securitybudget van de organisatie is lang niet bij alle werknemers bekend; twee op de vijf (42 procent) ondervraagden zeggen niet te weten hoe groot dit is voor 2024. Wat betreft welk aandeel het securitybudget heeft in het totale ict-budget kan slechts een derde (32 procent) een inschatting maken; gemiddeld komt dit aandeel dus uit op bijna 17 procent.
Ten opzichte van vorig jaar neemt het securitybudget in absolute euro’s toe bij zowel micro-, kleine- als grote organisaties. Zo besteedde vorig jaar 11 procent van de micro-organisaties vijfduizend euro of meer; dit jaar is dit 21 procent. Het percentage kleine organisaties dat 25.000 euro of meer besteedt, neemt toe van 36 procent in 2023 naar bijna de helft (48 procent). Bij grote organisaties geeft dit jaar een kwart (25 procent vijf miljoen euro of meer uit; dit was vorig jaar 13 procent. Deze laatste toename is voornamelijk toe te wijzen aan procentueel meer overheidsorganisaties die meer dan vijf miljoen euro budgetteren (nu 39 procent vs. 16 procent in 2023).
Securitybudget 2024
Geschat securitybudget in Benelux als onderdeel van het totale ict-budget (afgelopen drie jaar).
| Budget | 2024 | 2023 | 2022 |
|---|---|---|---|
| €0 – €999 | 11% | 10% | 9% |
| €1.,000 – €4.999 | 6% | 6% | 9% |
| €5.000 – €9.999 | 2% | 5% | 3% |
| €10.000 – €24.999 | 6% | 7% | 5% |
| €25.000 – €99.999 | 9% | 13% | 9% |
| €100.000 – €499.999 | 10% | 9% | 11% |
| €500.000 – €999.999 | 2% | 4% | 5% |
| €1.000.000 – €1.999.999 | 3% | 2% | 1% |
| €2.000.000 – €4.999.999 | 2% | 3% | 3% |
| €5.000.000 of meer | 7% | 4% | 6% |
| Weet niet | 42% | 37% | 39% |
Securityprofielen
Bij het merendeel van de micro- (96 procent), kleine (70 procent) en middelgrote (86 procent) organisaties werken niet meer dan vier fte’s met een security-gerelateerd ict-profiel. Drie op de vijf (62 procent) grote organisaties komen wel boven de vier fte’s uit; een toename van 10 procent ten opzichte van vorig jaar. Het zijn vooral grote overheidsinstanties die hebben geïnvesteerd. Vorig jaar werkten er bij de helft (52 procent) van de grote overheidsinstanties meer dan vier fte’s met een security-gerelateerd ict-profiel, dit jaar heeft twee derde (65 procent) van de grote overheidsinstanties meer dan 4 fte’s met een security-gerelateerd ict-profiel in dienst.
NIST Cyber Security Framework
Cybersecurity kan volgens het NIST Cyber Security Framework grofweg verdeeld worden in vijf deelgebieden: Identify, Protect, Detect, Respond en Recover. Net als vorig jaar is volgens de ondervraagden ‘Protect’ de post waar gemiddeld het grootste gedeelte van het securitybudget aan uitgegeven wordt (32 procent). ‘Detect’ en ‘Identify’ volgen met respectievelijk 22 en 21 procent. In de deelgebieden ‘Recover’ (13 procent) en ‘Respond’ (12 procent) wordt iets minder geïnvesteerd.
Onder ‘Protect’ vallen zaken als toegangscontrole, awareness en training, datasecurity, informatiebeveiligingsprocessen en -procedures, onderhoud en beschermende technologie. ‘Identify’ behelst oplossingen voor bijvoorbeeld asset management, zakelijke omgevingen, governance, risicobeoordeling en een risk management-strategie. Bij ‘Detect’ moet er aan zaken gedacht worden als afwijkingen en events, security continuous monitoring en detectieprocessen. Bij ‘Respond’ gaat het bijvoorbeeld over responsplanning, communicatie, analyse, mitigatie en verbeteringen en onder ‘Recover’ vallen zaken als herstelplanning, verbeteringen en communicatie.
Vormen van bedreiging
Concreet zijn de vormen van digitale bedreiging waar meer dan de helft van de bedrijven het meeste budget voor uittrekken phishing (54 procent), hacking (53 procent) en ransomware (53 procent). Het bestrijden/voorkomen van malware en virussen wordt nog eens door respectievelijk 49 procent en 46 procent genoemd. Meer dan één derde (36 procent) trekt verder voornamelijk budget uit ter voorkoming van ddos-aanvallen en 30 procent zet hun budget voornamelijk in ter voorkoming van identiteitsfraude. Andere genoemde vormen van digitale dreiging waar men voornamelijk budget voor uittrekt zijn spoofing (24 procent), social engineering (21 procent), internetoplichting (19 procent), botnets (14 procent), helpdeskfraude (12 procent), cryptojacking (7 procent) en deepfakes (6 procent).
Vormen van security
Als we weten voor welke vormen van bedreiging er het meeste budget wordt uitgetrokken, dan is de stap naar vormen van security relatief snel te maken. De vormen van security waarmee de meeste organisaties zich bezighouden zijn data- en netwerkbeveiliging (beide 12 procent). Hierna volgen endpoint-security (9 procent) en security awareness (7 procent). Verder worden regelmatig applicatie- en cloudbeveiliging (beide 6 procent), risk management (5 procent) en privacybescherming (3 procent) benoemd.
Veel budget wordt besteed aan alle vormen van beveiliging
Ook wordt in het securitybudgetonderzoek in 5 procent van de gevallen geld uitgetrokken voor ‘overige securitymaatregelen’. Specifieke maatregelen die dan genoemd worden zijn backup en recovery, securityconsultancy en preventietips. De oplettende lezer ziet echter dat de percentages van de securityvormen opgeteld nog geen 100 procent vormen. En daar schuilt het goede nieuws, want 35 procent van de respondenten geeft aan dat het budget besteed wordt aan al deze vormen van beveiliging.
Intern vs. extern
Net als in voorgaande jaren wordt gemiddeld bijna de helft (49 procent) van het securitybudget extern besteed door één of meerdere partners in de arm te nemen. In de zorg wordt een opvallend groter percentage (64 procent) van het budget extern besteed. Ook bij de overheid wordt meer extern (59 procent) dan intern besteed (41 procent). Ict-organisaties besteden juist een groter percentage van het securitybudget intern (61 procent).
Een security operations center (soc) wordt het vaakst gebruikt door grote organisaties (63 procent). Eén kwart van de middelgrote (27 procent) en één op de zes (18 procent) kleine bedrijven hebben een soc. Bij micro-organisaties komt een soc het minst vaak voor (5 procent). Binnen de overheid wordt verreweg het vaakst met een soc gewerkt (66 procent). Bijna de helft van de organisaties met een soc bemand deze intern (48 procent). Ruim één op de vijf (23 procent) besteedt het uit en ruim een kwart heeft het soc gevarieerd ingevuld zowel intern als extern.
Microsoft bovenaan
Aan het eind van het securitybudgetonderzoek volgde ook nog de vraag met welke securityspelers er het meeste wordt samengewerkt. Het gaat hier om zowel product- en technologieleveranciers als securitypartners. In totaal 184 spelers werden benoemd en hiervan hebben wij een top 15 samengesteld.
Het is een top 15, maar eigenlijk hadden we ook een top 1 kunnen communiceren. Want van alle namen die genoemd werden, ging het in bijna 17 procent van de gevallen om Microsoft. Het is daarmee met afstand koploper, net als voorgaande jaren trouwens. Op de tweede plek vinden we een lokale speler uit Nederland: KPN, en ook Cisco kan nog enigszins volgen.
Top 15 securityspelers Benelux 2024
Zowel product- en technologieleveranciers als securitypartners.
| Positie | Securityspeler | Percentage |
|---|---|---|
| 1 | Microsoft | 16,78% |
| 2 | KPN | 4,36% |
| 3 | Cisco | 4,24% |
| 4 | Fortinet | 3,24% |
| 5 | SentinelOne | 1,65% |
| 6 | Palo Alto Networks | 1,59% |
| 7 | Rapid7 | 1,47% |
| 8 | Fox-IT | 1,47% |
| 9 | Orange Cyberdefense | 1,24% |
| 10 | Crowdstrike | 1,18% |
| 11 | Tata Consultancy Services (TCS) | 1,12% |
| 12 | Dell | 0,94% |
| 13 | Oracle | 0,88% |
| 14 | Sogeti | 0,77% |
| 15 | PWC | 0,77% |
Onderzoeksverantwoording
De redacties van Computable in zowel Nederland als België worden overspoeld met verschillende securityonderzoeken. Deze zijn vaak gerelateerd aan een specifiek securityonderwerp, zoals ransomware, trojans/antivirus of security-bewustzijn. Wat steevast mist, is hoe organisaties hun security regelen en hoeveel geld hiervoor beschikbaar is. Computable heeft daarom samen met Enigma Research een Benelux-onderzoek opgezet.
Met behulp van het onderzoek wordt inzage verschaft in de hoogte en besteding van securitybudgetten. Er wordt gekeken naar de totale Benelux, maar ook gesegmenteerd naar land. Ook worden branches apart uitgelicht, om te kunnen bepalen of securitybudgetten in verschillende branches variëren. Dit onderzoek is een vervolg (2-meting) op het onderzoek dat voorgaande twee jaar is uitgevoerd.
Voor dit onderzoek is gebruik gemaakt van kwantitatief online onderzoek. De respondenten zijn benaderd via een adressenbestand en via de eigen mediakanalen van Computable. De totale steekproef heeft een omvang van 291 personen. 210 personen ronden de vragenlijst volledig af.
Dit artikel verscheen eerder in Computable #2 2024. Lees nu het gehele magazine!
