Security-strategieën blijken vooral reactief

De invloed van CISO’s (Chief Information Security Officer) in bedrijven neemt toe en IT-beveiliging staat hoger op de agenda, maar security-strategieën zijn veelal reactief en niet in lijn met bedrijfsactiviteiten.

Dat blijkt uit wereldwijd onderzoek van het Ponemon Institute in opdracht van F5 Networks. CISO’s zijn steeds beter in staat om beveiligingsbewustzijn te vergroten en maatregelen door te voeren binnen bedrijven. Ze vervullen steeds vaker een voortrekkersrol met een stimulerende werking. Toch blijft de strategie-ontwikkeling achter. IT-beveiliging is in slechts 51 procent weldoordacht doorgevoerd. In andere gevallen blijft het een reactieve bezigheid.

Belangrijkste uitkomsten onderzoek

Het onderzoek wijst uit dat CISO’s steeds meer invloed krijgen, vaak tot op het hoogste niveau in een organisatie. Ongeveer 68 procent is eindverantwoordelijk voor alle investeringen in IT-beveiliging. Het security-budget is bij 18 procent van de respondenten significant gestegen, bij 29 procent een beetje en bij 40 procent is het gelijk gebleven.

Een beveiligingsstrategie die de hele organisatie omspant, komt weinig voor. Bij 58 procent van de ondervraagden is het een stand-alone functie; slechts bij 22 procent is het geïntegreerd met andere bedrijfsteams. In 45 procent van de gevallen is het niet duidelijk afgebakend. Driekwart van de ondervraagden stelt dan ook dat het gebrek aan integratie met andere bedrijfsactiviteiten zorgt voor op zichzelf staande issues met invloed op de praktische uitvoering van IT-beveiliging.

Bijna de helft mist een security-strategie

Beveiliging is een bedrijfsprioriteit voor 60 procent van de respondenten, maar slechts 51 procent stelt dat er een strategie voor is. Daarvan zegt 43 procent dat die strategie op C-niveau wordt bekeken, goedgekeurd en ondersteund. Security is vooral reactief en voornamelijk (materiële) datadiefstal en cybersecurity-gaten krijgen aandacht van senior management.

Goed opgeleid personeel krijgen, vormt een uitdaging voor de CISO’s. Naar verwachting stijgt de gemiddelde teamgrootte van 19 naar 32 fulltime medewerkers de komende twee jaar, terwijl 42 procent aangeeft het werk niet met de huidige collega’s aan te kunnen. Het vinden van goed personeel (56 procent) en het kunnen betalen van een marktconform salaris (48 procent) zijn de grootste uitdagingen. Hierdoor kijkt de helft ook naar alternatieven als kunstmatige intelligentie en machine learning om een deel van de security-taken in te vullen.

Strategische slag maken

Mike Convertino, Chief Information Security Officer van F5: “Het onderzoek laat zien dat CISO’s steeds belangrijker worden binnen een organisatie en security op de kaart weten te zetten, maar dat de strategische slag nog moet worden gemaakt. Een pro-actievere IT security is echter wel noodzakelijk om beter bescherming te bieden tegen de steeds complexere en veelvuldigere aanvallen.”