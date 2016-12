Het is een onderwerp van discussie dat aan de lopende band terugkomt: een beveiligingsbudget is bepalend voor hoe sterk een IT-afdeling het bedrijf en zijn digitale assets kan beveiligen - en eerlijk gezegd ook hoe goed IT'ers hun werk kunnen doen. Wat ook weer van invloed is op hun bedrijfswaarde en hoe lang ze hun baan kunnen behouden.

Stukje van totale IT

We willen geen doemverhaal schrijven over hoe ellendig deze situatie is: slimme CSO's en IT-managers weten hoe ze magere resources slim kunnen benutten in economisch zwaardere tijden. Dat betekent op beslislagen dat het geld efficiënt ingezet moet worden en voor IT-beheer dat de tools en oplossingen die al draaien optimaal worden gebruikt. Het betekent dat je moet investeren in preventie, zoals een bewustwordingsprogramma voor het personeel en het zorgen voor nieuwe technische vaardigheden van het personeel.

Naar schatting is het informatiebeveiligingsbudget 5 tot 15 procent van het totale IT-budget, afhankelijk van wie je wilt geloven en hoe je 'informatiebeveiliging' definieert. Gartner zette het cijfer in een rapport vorige maand op ongeveer 5 procent, maar wees erop dat vergelijkingen met concurrenten op IT-gebied zinloos zijn, omdat het risico voor iedereen anders is en als je gaat kopiëren je mogelijk geld aan de verkeerde zaken uitgeeft en kwetsbaarder bent.

Vragenlijst

Dat illustreert hoe complex het beveiligingsdebat is. De budgetten verschillen per organisatie, per hiërarchie (rapporteert de IT-manager bijvoorbeeld aan de CIO in plaats van de CFO om budget vrij te maken), onderlinge bestuursrelaties en de oplossingen die al zijn geïmplementeerd. Daarnaast gaat het er ook nog om dat nieuwe middelen passen bij het reeds bestaande risicobeheer en compliance-management. Er zijn daarom verschillende vragen die budgetbeslissers over IT-beveiliging hebben:

Waar zou ik op moeten focussen?

Wat hebben we al dat beveiliging biedt?

Werkt deze oplossing van de leverancier ook echt?

Wat is de impact van deze investering op het risico?

Het is van wezenlijk belang dat je het dreigingslandschap goed begrijpt, maar in de praktijk is dat vaak een lastig punt. Volgens een rapport van Accenture, waarin 2000 IT-beveiligingsbestuurders werden bevraagd, heeft 53 procent van de organisaties het meeste last gehad van een insider - een werknemer met kwade bedoelingen - terwijl de uitgaves voornamelijk gingen naar endpoint- en cloudbeveiliging.

Er is dan in dit tijdperk van grote datadiefstallen een risico dat er budget wordt verspild en het geld in een zwart gat wordt gepompt.

Groeiende budgetten

Er gaat inmiddels veel geld om in IT-beveiliging. CEO Brian Moynihan van Bank of America zei voor 2015 zo'n 400 miljoen dollar uit te trekken voor IT-beveiliging en dat voor het eerst in de bedrijfsgeschiedenis de beveiligingsafdeling geen van tevoren vastgesteld budget had. Ook financieel bedrijf JP Morgan - twee jaar geleden slachtoffer van datadiefstal - verdubbelde zijn beveiligingsbudget in 2016. Citibank heeft naar verluidt een securitybudget van 300 miljoen dollar en bank Wells Fargo besteedde ook ruwweg 250 miljoen per jaar aan beveiliging.