Helft organisaties ontbeert cybersecurity-strategie

0

Ofschoon CISO’s tegenwoordig meer gewicht in de schaal leggen en IT-beveiliging hoger op de agenda staat, zijn security-strategieën veelal reactief en niet in lijn met bedrijfsactiviteiten. Daarop duidt wereldwijd onderzoek van het Ponemon Institute in opdracht van F5 Networks.

CISO’s (chief information security officers) zijn steeds beter in staat om beveiligingsbewustzijn te vergroten en maatregelen door te voeren binnen bedrijven. Ze vervullen steeds vaker een voortrekkersrol met een stimulerende werking. Toch blijft de strategie-ontwikkeling achter. Bij pakweg de helft van de ondervraagde bedrijven is de IT-beveiliging weldoordacht doorgevoerd, bij de overige helft is het reactief van aard.

Het onderzoek duidt erop dat CISO’s steeds meer invloed krijgen, vaak tot op het hoogste niveau in een organisatie. Ongeveer 68 procent is eindverantwoordelijk voor alle investeringen in IT-beveiliging. Het security-budget is bij 18 procent van de respondenten significant gestegen, bij 29 procent enigszins en bij 40 procent is het gelijk gebleven.

Beveiligingsstrategieën die gehele organisaties omspannen zijn zeldzaam. Bij een ruime meerderheid van bijna zes op de tien ondervraagden is cyberbeveiliging een stand-alone functie; slechts bij 22 procent is het geïntegreerd met andere bedrijfsteams. In 45 procent van de gevallen is het niet duidelijk afgebakend. Driekwart van de ondervraagden stelt dan ook dat het gebrek aan integratie met andere bedrijfsactiviteiten zorgt voor op zichzelf staande issues met invloed op de praktische uitvoering van IT-beveiliging.

Beveiliging is een bedrijfsprioriteit voor 60 procent van de respondenten, maar slechts 51 procent stelt dat er een strategie voor is. Daarvan zegt 43 procent dat die strategie op C-niveau wordt bekeken, goedgekeurd en ondersteund. Security is vooral reactief – en voornamelijk (materiële) datadiefstal en cybersecurity-gaten krijgen aandacht van het senior management.

CISO’s kampen met vinden van het juiste personeel. De verwachting is dat de gemiddelde teamgrootte van 19 naar 32 fulltime medewerkers groeit in de komende twee jaar, terwijl 42 procent aangeeft het werk met de huidige bezetting niet aan te kunnen. Vinden van de juiste mensen (56 procent) en het kunnen betalen van een marktconform salaris (48 procent) zijn de grootste uitdagingen. Hierdoor kijkt de helft ook naar alternatieven als kunstmatige intelligentie en machine learning voor om een deel van de security-taken in te vullen.

“Het onderzoek laat zien dat CISO’s steeds belangrijker worden binnen een organisatie en security op de kaart weten te zetten, maar dat de strategische slag nog moet worden gemaakt. Een pro-actievere IT security is echter wel noodzakelijk om beter bescherming te bieden tegen de steeds complexere en veelvuldigere aanvallen”, zegt Mike Convertino, Chief Information Security Officer van F5.