zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Dreiging AVG-boetes bepalen investeringsbeslissingen in cybersecurity

Investeringen in cybersecurity worden gedaan na beveiligingsincident of uit angst voor audit

2 december 2020 - Thycotic publiceert de resultaten van zijn CISO Besluitvorming-enquête. Het doel van deze onafhankelijke wereldwijde enquête1 is om in kaart te brengen welke overwegingen het sterkst meewegen in de investeringsbeslissingen van directies op het gebied van cybersecurity, en hoe die de besluitvorming van CISO’s beïnvloeden.

Uit vraaggesprekken met ruim 900 CISO’s en senior besluitvormers op IT-gebied in alle delen van de wereld blijkt dat de investeringen van directies in cybersecurity meestal voortvloeien uit een beveiligingsincident of de angst om niet voor een audit te slagen. Ruim de helft van de respondenten (58 procent) zegt dan ook dat hun organisatie van plan is om in de komende 12 maanden het security-budget te verhogen.


Er zijn bemoedigende signalen dat directies hun investeringen in cybersecurity opvoeren. Ruim driekwart (77 procent) van alle respondenten kreeg financiële steun van hun directie voor investeringen in nieuwe beveiligingsprojecten. Dit was naar aanleiding van een cyberincident binnen hun organisatie (49 procent) of de angst om niet voor een audit te slagen (28 procent). In de EU is er inmiddels voor in totaal 175 miljoen euro’s aan boetes opgelegd aan bedrijven die in strijd handelden met de GDPR.  In Nederland zijn er sinds GDPR (of AVG) in werking trad, voor totaal €460,000 aan boetes uitgedeeld. In België gaat het om een bedrag van €39,0002. Bijna een kwart van de respondenten (23 procent) is daarom van mening dat compliance of het vooruitzicht van een boete het meest effectieve middel is om directies te overtuigen van de noodzaak om in cybersecurity te investeren.
 
De coronacrisis wakkert de investeringen in cybersecurity aan
CISO’s geven aan dat directies naar hen luisteren en grotere beveiligingsbudgetten toekennen als reactie op het groeiende aantal cyberbedreigingen en risico’s als gevolg van de coronacrisis. Een overweldigende meerderheid (91 procent) is het eens met de stelling dat de directie adequate ondersteuning biedt voor hun investeringen in cybersecurity. Bijna drie op de vijf denkt dat ze het volgende boekjaar over meer beveiligingsbudget kunnen beschikken als gevolg van de aanhoudende pandemie. Tim Hoefsloot, Regionaal directeur Benelux en Nordics bij Thycotic: "Grote bedrijven hebben nu duizenden laptops rondzwerven door het land, waarop gebruikers volledige admin-rechten hebben en dus programma’s kunnen installeren of verwijderen buiten het zicht van de corporate IT-afdeling. Dit is een groot beveiligingsrisico dat door een ‘Least-Privilege’-strategie flink beperkt kan worden."
 
CISO’s blijven met problemen worstelen
CISO’s staan voor de moeilijke opgave om draagvlak bij de directie te vinden voor hun beveiligingsinitiatieven. Bijna twee vijfde (37 procent) zag voorstellen afgewezen omdat de directie van mening was dat de risico’s de investering niet rechtvaardigden of dat de beveiligingstechnologie geen aantoonbare ROI bood. Een derde (33 procent) meent dat hun directie bij de besluitvorming rond security-investeringen geen oog heeft voor schaalomvang van cyberbedreigingen.
 
CISO’s denken strategisch, maar investeren tactisch
De inkoopbeslissingen die CISOs’ zelf nemen zijn op de toekomst gericht. Hun investeringen hebben ten doel om gelijke pas te kunnen houden met de ontwikkelingen op beveiligingsgebied en de initiatieven van hun branchegenoten. Een overweldigende meerderheid (75 procent) zegt innovatieve nieuwe tools uit te willen proberen. In de praktijk worden zij echter beïnvloed door wat hun branchegenoten doen. Bijna de helft van de respondenten (46 procent) zet hun inkoopbeslissingen af tegen die van andere bedrijven in hun sector. In de Benelux wordt er ook gekeken naar aanbevelingen van grote onderzoeksbedrijven, waarbij met name oplossingen van het ‘leaders quadrant’ de voorkeur hebben. Dit kan ertoe leiden dat CISO’s kiezen voor de bekende weg in plaats van nieuwe oplossingen uit te proberen.
 "Uit ons onderzoek komt duidelijk naar voren dat CISO’s eerst alle stakeholders moeten voorlichten over de zakelijke meerwaarde van cybersecurity alvorens ze technologische innovatie kunnen nastreven," zegt Hoefsloot. "Om zich van de financiële steun van de directie te verzekeren moeten ze zorgen voor een subtiel evenwicht tussen innovatie en compliance." 
Dit evenwicht is terug te zien in het de manier waarop besluitvormers het risicoprofiel van hun organisatie beschrijven. Bijna de helft van de respondenten is van mening dat hun organisatie met de kudde meeloopt (45 procent). Slechts een derde (36 procent) ziet hun organisatie als een pionier die nieuwe technologische ontwikkelingen omarmt. Verder is slechts 17 procent van mening dat hun organisatie de vinger aan de pols heeft wat betreft de laatste cyberbedreigingen en het overeenkomstig prioriteren van hun investeringen.
"Hoewel directies wel degelijk een luisterend oor bieden en het security-budget opkrikken, zijn ze geneigd om elke investering als een kostenpost te zien in plaats van een oplossing die zakelijke toegevoegde waarde biedt," verklaart Hoefsloot. "Desondanks is er sprake van bemoedigende signalen; vooral waar het verminderen van bedrijfsrisico een primaire overweging is bij de investeringsbeslissingen op het gebied van cybersecurity. Maar organisaties hebben nog wel een lange weg te gaan. Het feit dat directies investeringen in de meeste gevallen goedkeuren nadat er een beveiligingsincident is opgetreden, of dat doen uit angst voor boetes van toezichthouders, wijst erop dat investeringen in cybersecurity vooral als een ‘verzekering’ zien. Dit vloeit niet voort uit de wens om een koploperspositie op het gebied van IT-beveiliging in te nemen. Maar op de lange duur beperkt dit het vermogen van de security-branche om het tempo van cybercriminelen bij te houden." 
 
1. Het CISO Besluitvormings-onderzoek van Thycotic werd uitgevoerd onder 908 senior besluitvormers op het gebied van IT-beveiliging. Deze respondenten waren actief bij organisaties met meer dan 500 werknemers. De vraaggesprekken werden in augustus 2020 afgenomen door Sapio Research. Hiervoor werd gebruikgemaakt van een e-mailuitnodiging en een online enquête.
2. Cijfers zijn afkomstig uit DLA Piper GDPR Data Breach Survey 2020
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Van data verzameling naar gegevensminimalisatie
 Twee jaar na introductie AVG hebben bedrijven nog steeds te weinig inzicht in IT-omgeving
 Grote kans op datalek ondanks invoering AVG
 AVG-compliance loopt gevaar door gebrekkige kennis werknemers
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Human Design op de werkvloer voor teameffectiviteit en bedrijfsgroei
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10