Het budget dat naar security gaat, bedraagt gemiddeld vijf procent van het totale it-budget. Dat percentage neemt de jongste jaren toe. Dat blijkt uit de cijfers die Gartner doorspeelde in de marge van de keynote over ‘resilient cybersecurity’ tijdens het eigen Gartner Symposium.
Hoewel het vaak een geheim is hoeveel ondernemingen precies uitgeven aan security, is dat percentage het best te kwantificeren als deel van het it-budget. Dat verschilt uiteraard van sector tot sector, maar de mediaan is vijf procent.
Een grote meerderheid (88 procent) van de directieleden van een onderneming zien security vandaag bovendien niet langer als een technologisch risico maar als een businessrisico. ‘Dat betekent dat organisaties ook voor een andere aanpak moeten kiezen en investeringen moeten herzien’, vertelde Ed Gabrys, topanalist bij Gartner, tijdens zijn keynote.
Hij identificeert drie elementen.
- Gebruik external attack surface management (esam) om kwetsbaarheden in de externe netwerken te ontdekken en prioriseer wat er er eerst moet gefixt worden;
- Ga na wat de belangrijkse business genereert en investeer daar in security;
- Maak gebruik van protection level agreements (pla’s) waarbij bepaald wordt hoe groot de security moet zijn en wat men wil investeren én kwantificeer dat. Daardoor leg je de prioriteiten vast en krijg je een roadmap voor de investeringen.