Van het totale ict-budget dat Nederlandse organisaties jaarlijks beschikbaar stellen, gaat meer dan 15 procent naar security. Dit blijkt uit eigen onderzoek van Computable dat Enigma Research in opdracht uitvoerde. Een opvallende, tweede conclusie is dat twee derde van de organisaties extra geld heeft uitgetrokken of dit gaat doen in strijd tegen ransomware of om schade hierdoor te voorkomen.
Computable ontvangt dagelijks de resultaten van securityonderzoeken, maar die gaan bijna nooit over budgetten. Cijfers over datalekken, trojans, ddos-aanvallen en hackersgroeperingen zijn er volop, maar actuele informatie over hoeveel geld organisaties voor hun security uittrekken ontbreekt. Computable heeft daarom in het eerste kwartaal van 2022 onderzoek in Nederland en België laten doen. Dit artikel beschrijft de Nederlandse resultaten, de Benelux-resultaten worden gepresenteerd op 11 en 12 mei tijdens de vakbeurs Cybersec Europe in Brussel.
Grote verschillen
Uit het Computable-onderzoek blijkt dus dat ruim 15 procent van het ict-budget naar security gaat. Aan het onderzoek deden 279 Nederlanders mee: 96 beslissers, 169 professionals en 14 met een andere rol binnen hun organisatie. Hieruit blijkt dat de meeste organisaties een budget in 2022 voor ict-beveiliging hebben dat tussen een ton en een half miljoen euro (10 procent) ligt.
Toch geeft ook 10 procent aan dat er geen budget is of dat dit maximaal duizend euro betreft. 9 procent van de organisaties moet het met een kwart tot een ton doen en 7 procent van de respondenten geeft aan dat hun organisatie dit jaar meer dan vijf miljoen euro uittrekt voor security. Daarbij moet wel worden aangetekend dat 42 procent van de respondenten niet weet hoe hoog het securitybudget is.
De verschillen zijn dus groot en dat is redelijk simpel te verklaren op basis van de resultaten. 57 procent werkt namelijk bij een grote organisatie, wat inhoudt dat het over minimaal 250 medewerkers beschikt. Sterker zelfs, 18 procent van de respondenten geeft aan dat hun organisatie over meer dan vijfduizend voltijdsbanen beschikt. Daarmee is deze bedrijfsomvang het best vertegenwoordigd in het Computable-onderzoek.
NIST Cyber Security Framework
In het onderzoek naar securitybudgetten is ook naar specifieke onderwerpen gekeken en hoe daarover het budget verdeeld is. Hiervoor hanteerden we de principes die vastgelegd zijn in het NIST Cyber Security Framework: Identify, Protect, Detect, Respond en Recover. Daaruit blijkt dat het meeste geld geïnvesteerd wordt in het onderdeel Protect. 33,5 procent gaat namelijk naar zaken als toegangscontrole, awareness/training, datasecurity, informatiebeveiligingsprocessen en -procedures, onderhoud en beschermende technologie. 22,4 procent gaat naar Detect, zoals afwijkingen/events, security continuous monitoring en detectieprocessen, 19,5 procent naar Identify, zoals asset management, zakelijke omgevingen, governance, risicobeoordeling en risk-management-strategie, 12,8 procent naar Respond, zoals responsplanning, communicatie, analyse, mitigatie en verbeteringen en 11,8 procent naar Recover, zoals herstelplanning, verbeteringen en communicatie.
In het onderzoek hebben we ook onderscheid gemaakt tussen professionals en beslissers. Hieruit blijkt dat professionals zich meer bezighouden met Identify, Respond en Recover. Beslissers richten zich meer op het onderdeel Protect. Beide groepen besteden ongeveer evenveel aandacht aan Detect.
Ransomware
De afgelopen twee jaar is door het thuiswerken het aantal ransomware-aanvallen explosief gestegen, blijkt uit het onderzoek. Uiteraard willen organisaties zich hier tegen wapenen, maar ook zijn er inmiddels volop slachtoffers die in de buidel hebben moeten tasten om de controle over hun data, bedrijfsproces of gehele organisatie terug te krijgen. Wij vroegen deelnemers aan ons onderzoek of er de afgelopen twee jaar extra budget beschikbaar is gekomen om de cyberdreigingen tegen te gaan.
Een eerste constatering is dat grote organisaties makkelijker budget krijgen voor security, het lijkt bijna een open deur. Des te schrikbarender is het dat 67 procent van de organisaties met tien medewerkers of minder helemaal geen budget reserveert voor schade door ransomware of de bestrijding ervan. Bij organisaties met meer dan 250 medewerkers is dit percentage 23 procent.
Uiteindelijk krijgt twee derde van de respondenten extra budget voor de bestrijding van ransomware, een derde dus niet. 9 procent ontving de afgelopen twee jaar budget en krijgt ook dit jaar weer extra geld. Zit er dan ook nog verschil qua budget tussen beslissers en professionals? Jazeker. Beslissers krijgen makkelijker budget los voor de toekomst, waar professionals vooral budget krijgen om problemen achteraf op te lossen. Daarnaast krijgen professionals vaker een ‘nee’ te horen.
Outsourcing
In Nederland hebben we veel gespecialiseerde securitypartners en zien we een hybride werkveld waarin zowel intern mensen aan de security werken als dat er externe partners worden ingeschakeld. Dit zien we ook terug in de verdeling van de securitybudgetten, intern en extern zijn redelijk gelijk verdeeld. 51,3 procent geeft aan dat het securitybudget intern belegd wordt, 48,7 procent neemt hiervoor één of meer partners in de arm.
Professionals richten zich met name op de interne security en beslissers werken wat meer met externe partijen samen. De verdeling tussen intern en extern is redelijk gelijk verdeeld bij organisaties met meer dan tien medewerkers, maar bij de kleinste organisaties wordt in twee derde van de gevallen de security intern geregeld.
Security operations center
Tegenwoordig wordt er steeds vaker gebruik gemaakt van een security operations center (soc), waarin centraal beveiligingsvraagstukken op organisatorisch en technisch niveau worden opgepakt. In een soc wordt vanuit mensen, processen en technologie de beveiliging verbeterd en beheerd. Uit de cijfers blijkt dat 41 procent van de respondenten gebruikmaakt van een soc. 44 procent doet dit niet en 15 procent weet niet of er in hun organisatie een soc actief is. Er geldt: hoe groter de organisatie des te groter is de kans dat er gebruik wordt gemaakt van een soc. De toegevoegde waarde van een soc wordt dus steeds groter naarmate de omvang van een organisatie stijgt.
Daarbij lijken beslissers vaker gebruik te maken van een soc (59 procent) dan professionals (47 procent). Deze laatste groep is vervolgens vooral zelf actief in het soc. Een security operations center kan ook worden uitbesteed: 19 procent van de ondervraagden heeft gekozen voor volledige uitbesteding. 18 procent van de respondenten heeft het soc gevarieerd ingevuld met een interne en externe bemanning en 52 procent doet dit volledig intern. 11 procent is niet op de hoogte van de invulling van het soc. Zoals eerder geconstateerd is een soc vooral in gebruik bij organisaties met meer dan 250 medewerkers. Van hen bemant 54 procent het soc zelf, 21 procent wordt met zowel interne als externe krachten ingezet en bij 13 procent is het center uitbesteed.
Meest voorkomende partners
Tot slot hebben we in ons onderzoek naar de securitybudgetten ook gevraagd met welke externe partners er wordt samengewerkt. Hieruit blijkt dat Nederlandse organisaties worden ondersteund door een bonte mix aan wereldwijde spelers en lokale helden. De meest voorkomende partner is Microsoft waarna de lokale held Fox-IT volgt.
De rest van de top zeven is telkens een internationale speler afgewisseld met een lokale held (zie tabel). Hier achteraan komt een hele rits securitybedrijven, te weten Barracuda, Capgemini, Datto, DTX, Eset, G4S, Guardian 360, Nessus, NFIR, Northwave, Orange, Secura, Securitas, SentinelOne, SLTN, Sophos, Thales, Trend Micro en Z-Cert. Hierbij verdient Orange een extra vermelding, want als hun score wordt samengevoegd met die van Orange Cyber Defense, dan komt het gezamenlijk gelijk met Cisco en drukt het het NCSC naar de zevende positie.
(Dit artikel staat ook in Computable-magazine #02-03/22.)
Cybersec Europe
Naast de Nederlandse cijfers zijn er ook Benelux-cijfers in het onderzoek naar de securitybudgetten. Deze resultaten worden gepresenteerd tijdens de Europese vakbeurs Cybersec Europe, die op 11 en 12 mei 2022 in Brussel plaatsvindt.
Cybersec Europe kan zowel fysiek in Brussel als online worden bezocht. Registreren voor een bezoek aan deze securityvakbeurs kan via www.cyberseceurope.com. Na je inschrijving koppelt een matchmaking tool je aan bezoekers, experts en standhouders met dezelfde interesses of functie(s). Zo kun je op voorhand al chattend kennismaken en indien gewenst een persoonlijke afspraak maken voor op de beurs.