CIO’s en CISO’s worstelen met ROI van cybersecurity-uitgaven
Meer dan vier op de tien ‘technology & security’-bestuurders in Nederland verwachten hun cybersecurity-budgetten dit jaar te zullen verhogen, zo blijkt uit een nieuw onderzoek van PwC. En dat ondanks het feit dat twee derde van de bestuurders denkt dat hun bedrijfsomzet in 2021 zal dalen. Het illustreert hoe elementair cybersecurity is geworden voor organisaties.
Bedrijven digitaliseren in een hoger tempo dan ooit hun bedrijfsvoering en dienstverlening. Dat biedt vele voordelen, maar ze stellen zich daarmee ook in toenemende mate bloot aan digitale criminaliteit. Via een achterdeur proberen cyberhackers beschikking te krijgen over data van bedrijven, of van hun klanten en leveranciers.
Volgens het onderzoek van PwC – meer dan 100 CIO’s, CISO’s en senior IT-managers bij vooral grote bedrijven in ons land zijn ondervraagd – zijn cyberaanvallen op clouddiensten, disruptionware bij kritische bedrijfsprocessen evenals ransomware bij uitstek dé gebieden waar organisaties zich de meeste zorgen over zouden moeten maken: het risico op deze vormen van cybercrime is hoog en, erger nog, de impact ervan ook.
Ransomware, ook wel gijzelsoftware genoemd, is een vorm van ‘malware’. Deze zorgt ervoor dat een computer of de data die daarop staat (tijdelijk) geblokkeerd wordt. Zodra dit gebeurd is, wordt de bezitter van de computer gechanteerd en verzocht om een betaling te doen, om zo de computer of data weer te ‘bevrijden’ door middel van een tegen betaling verstrekte code.
Een aanval op de kritieke processen van een organisatie kan rampzalige gevolgen hebben, aangezien hij een organisatie geheel kan lamleggen. Zo kan de aanval bijvoorbeeld leveringsproblemen veroorzaken of zorgen dat tijdelijk geen producten verkocht kunnen worden aan klanten. En hoewel een aanval op de clouddiensten op het eerste gezicht minder erg klinkt – hij raakt immers veelal een externe partij – zijn organisaties vandaag de dag sterk afhankelijk van zaken die zich in de cloud afspelen.
De dreiging van deze en andere cyberincidenten nemen volgens het merendeel van de respondenten toe, en niet verrassend is dan ook dat 42% van hen verwacht hun cyberbudgetten in 2021 te zullen opschroeven. Nederlandse bedrijven lopen hiermee echter achter op hun internationale collega’s, waar 55% aangeeft dat ze van plan zijn om hun cyberbudgetten te verhogen.
Slimme uitgaven?
Simpelweg met geld smijten is echter niet de oplossing. Het is ten eerste essentieel om dat geld aan de juiste thema’s te besteden, en op dit vlak hebben de CIO’s en CISO’s opmerkelijk genoeg opvallend veel twijfels. Bijna twee derde (65%) van de business- en tech/security-bestuurders in Nederland heeft er onvoldoende vertrouwen in dat de investeringen in cyberbeveiliging de belangrijkste risico’s kunnen afdekken. Nog meer bestuurders (67%) hebben er weinig vertrouwen in dat hun budget effectief geïnvesteerd zal worden in juist die activiteiten die de beste return on investment (ROI) opleveren.
Ook heerst twijfel of de cyberbudgetten voldoende afgestemd zijn op de algehele budgetten van de organisatie of die van kleinere businessunits. 63% van de bestuurders heeft er geen vertrouwen in dat dit binnen hun organisatie goed is ingeregeld. En met het oog op toekomstige risico’s denkt een groot gedeelte (69%) dat hun cyberbudgetten niet toereikend zullen zijn om met het oog op toekomstige opkomende technologieën de juiste controlemechanismen in te zetten.
De onderzoekers van PwC concluderen dat het is tijd dat de budgetten van CIO’s en de focusgebieden van cybersecurity opnieuw onder de loep worden genomen. Dit is broodnodig, want slechts 31% van de Nederlandse respondenten geeft aan dat ze dit jaar nieuwe budgetteerprocessen zullen gaan uitproberen, tegenover 44% wereldwijd.
Security in de cloud
Ook raden de onderzoekers van PwC organisaties aan om hun cybersecurity-operaties naar de cloud te migreren. Hiermee kunnen ze de effectiviteit en flexibiliteit van hun ‘three-lines-of-defense’-modellen verbeteren en tegelijkertijd ook gebruikmaken van de nieuwste technologieën die cloudleveranciers ter beschikking stellen om indringers eerder en beter op te sporen.
Nederlandse IT-leiders zijn zich goed bewust van de voordelen van de cloud: 75% van de bedrijven geeft aan dat ze hun cyberprocessen reeds naar de cloud hebben verplaatst, of van plan zijn dit te doen. “Ze werken niet langer met statische, inherent onveilige legacysystemen maar kiezen bewust voor meer dynamische, wendbare en geïntegreerde cloud-/netwerksystemen die door hun ontwerp goed beveiligd zijn”, legt PwC-cybersecurityspecialist Angeli Hoekstra uit.