IT-beveiliging staat hoog op de agenda bij directies

IT-beveiliging staat hoog op de agenda bij directies
Forse stijging security-investeringen Nederlandse bedrijven

Lang kreeg IT-beveiliging relatief weinig aandacht in de directie van Nederlandse ondernemingen. Dat veranderde fors, onder meer door de toegenomen cyberdreigingen. Inmiddels is het hoger management voorvechter van cybersecurity in hun bedrijf.

Cyberaanvallen kunnen grote financiële impact hebben op organisaties. De herstelkosten zijn vaak hoog, storingen in productie of leveringen van producten beïnvloeden omzet en winst van de onderneming negatief en het betalen van losgeld na een ransomware-aanval laat zich niet vereniging met compliancy-regelgeving. “We zien dat IT-beveiliging veel hoger dan voorheen op de agenda van de belangrijkste managers van grote ondernemingen is komen te staan,” vertelt Boudewijn van Dulken, General Manager Northern Europe bij Rackspace Technology. “De Board of Directors, en dan vooral de CFO, is zich inmiddels terdege bewust van de gevaren van cyberaanvallen.”

IT-beveiliging grote zorg voor directie

Dat blijkt ook uit onderzoek dat Coleman Parkes Research in opdracht van Rackspace uitvoerde onder 1.420 IT-besluitvormers. 62% van de Nederlandse directeuren beschouwt aanvallen op de IT-beveiliging inmiddels als een van de grootste zorgen. Dat was lange tijd anders, weet Van Dulken. “IT-beveiliging werd tot voor kort totaal niet gedragen door directies en de board van bedrijven.”

Volgens de Managing Director hebben de enorme data-explosie en het besef bij het management dat data zijn uitgegroeid tot de belangrijkste asset in de bedrijfsvoering van een onderneming, ervoor gezorgd dat zorgvuldiger naar de beveiliging van de IT-omgeving wordt gekeken.

Daarnaast spelen natuurlijk de bijna dagelijkse meldingen van cyberincidenten en datalekken een rol. Van Dulken: “Als je naar de impact van de incidenten kijkt dan wordt al snel duidelijk, dat de directie niet alleen de IT-beveiliging op een hoger plan moet brengen, maar ook moet bepalen hoe te reageren na een incident, onder meer om reputatieschade te voorkomen en adequaat in te spelen op de eisen die de AVG-regelgeving stelt.

Forse investeringsbereidheid

Nu kan het natuurlijk zo zijn dat directies weliswaar een uitdaging benoemen, maar niet willen investeren in de oplossing. Uit het onderzoek blijkt echter dat 79% van de Nederlandse organisaties meer geld investeert in IT-beveiliging. Van Dulken: “Je hebt het echt over een verdubbeling van het budget, of meer dan dat. Security staat ook wat dat betreft duidelijk op de agenda in de board.” De gemiddelde jaarlijkse investering in IT-beveiliging in Nederland bedraagt volgens het onderzoek 5,18 miljoen dollar.

Belangrijker dan het budget is echter de juiste besteding van het geld, maakt de General Manager duidelijk. “Het is voor bedrijven vaak een zoektocht wat de slimste manier is om de beveiliging te organiseren.” Soms is het daarom verstandiger eerst te analyseren wat er binnen de organisatie ontbreekt om een gedegen security-strategie op te zetten. Als voorbeeld geeft Van Dulken een organisatie die na het uitvoeren van een dergelijke scan, constateerde dat de rol van CISO nog geen vorm had gekregen. “Ze gingen daarom eerst op zoek naar een senior die aan deze functie invulling kon geven en die kon helpen bij het opstellen van de visie en het opzetten van een strategie rondom dit zo belangrijke onderwerp.” Daaruit kon dan de gewenste architectuur ontstaan, die de nog ontbrekende assets optimaal kon laten aansluiten op de bestaande omgeving.

IT-beveiliging koppelen aan governance

“Een dergelijke gestructureerde aanpak had uiteindelijk natuurlijk veel meer impact dan ad hoc investeren,” geeft Van Dulken aan. “Zo kun je de security van de processen in de onderneming echt op een hoger plan brengen.”

Een belangrijk aspect daarbij is, het securitybeleid steeds te koppelen aan de noodzakelijke governance. “Om die reden raad ik ook aan de CISO te laten rapporteren aan de CFO, en niet aan de CIO. Het gaat immers, zoals ik al zei, bij zowel security als governance om thema’s die bij incidenten grote impact hebben op financieel gebied: claims, boetes en imagoschade.”

Externe specialisten verlengstuk organisatie

Als Van Dulken refereert aan het aanstellen van een CISO, dan moeten we ons er ook van bewust zijn, dat het vinden van ervaren professionals op dit gebied een uitdaging is. “Dat blijkt ook uit het onderzoek. In een krappe arbeidsmarkt zijn dergelijke specialisten lastig te vinden en lastig te binden.”

47 Procent van de Nederlandse IT-besluitvormers die deelnamen aan de enquête geeft aan dat gebrek aan expertise de meest voorkomende reden is waarom organisaties een beroep doen op externe beveiligingsbedrijven. “Dan heb je het dus over de echte specialisten. Maar ook als je wat generieker kijkt naar het aantrekken van security-professionals stelt 38% van de ondervraagden al dat het nodig is mankracht buiten de organisatie te zoeken.”

Het inzetten van externen betekent het gedeeltelijk overdragen van taken die veel impact hebben op de organisatie. “Wij vinden het daarom heel belangrijk dat onze specialisten in de ware zin van het woord een verlengstuk zijn van het interne team. Dat geldt niet alleen qua kennis van de business van de opdrachtgever, maar zeker ook voor de cultuur die binnen die organisatie bestaat.”

Lees ook:
  • Nederlandse directeuren maken zich zorgen over IT-beveiliging
  • Rackspace Technology behaalt de status van Qualified Security Assessor Company voor de PCI DSS-richtlijn in EMEA