Dreiging AVG-boetes bepalen investeringsbeslissingen in cybersecurity

Thycotic, leverancier van privileged access management (PAM)-oplossingen aan ruim 10.000 organisaties, waaronder 25 van de Fortune 100-ondernemingen, publiceert de resultaten van zijn CISO Besluitvorming-enquête. Het doel van deze onafhankelijke wereldwijde enquête1 is om in kaart te brengen welke overwegingen het sterkst meewegen in de investeringsbeslissingen van directies op het gebied van cybersecurity, en hoe die de besluitvorming van CISO’s beïnvloeden.

Uit vraaggesprekken met ruim 900 CISO’s en senior besluitvormers op IT-gebied in alle delen van de wereld blijkt dat de investeringen van directies in cybersecurity meestal voortvloeien uit een beveiligingsincident of de angst om niet voor een audit te slagen. Ruim de helft van de respondenten (58 procent) zegt dan ook dat hun organisatie van plan is om in de komende 12 maanden het security-budget te verhogen.

Er zijn bemoedigende signalen dat directies hun investeringen in cybersecurity opvoeren. Ruim driekwart (77%) van alle respondenten kreeg financiële steun van hun directie voor investeringen in nieuwe beveiligingsprojecten. Dit was naar aanleiding van een cyberincident binnen hun organisatie (49%) of de angst om niet voor een audit te slagen (28%). In de EU is er inmiddels voor in totaal 175 miljoen euro’s aan boetes opgelegd aan bedrijven die in strijd handelden met de GDPR.  In Nederland zijn er sinds GDPR (of AVG) in werking trad, voor totaal €460,000 aan boetes uitgedeeld. In België gaat het om een bedrag van €39,0002. Bijna een kwart van de respondenten (23%) is daarom van mening dat compliance of het vooruitzicht van een boete het meest effectieve middel is om directies te overtuigen van de noodzaak om in cybersecurity te investeren.

De coronacrisis wakkert de investeringen in cybersecurity aan
CISO’s geven aan dat directies naar hen luisteren en grotere beveiligingsbudgetten toekennen als reactie op het groeiende aantal cyberbedreigingen en risico’s als gevolg van de coronacrisis. Een overweldigende meerderheid (91 procent) is het eens met de stelling dat de directie adequate ondersteuning biedt voor hun investeringen in cybersecurity. Bijna drie op de vijf denkt dat ze het volgende boekjaar over meer beveiligingsbudget kunnen beschikken als gevolg van de aanhoudende pandemie. Tim Hoefsloot, Regionaal directeur Benelux en Nordics bij Thycotic: “Grote bedrijven hebben nu duizenden laptops rondzwerven door het land, waarop gebruikers volledige admin-rechten hebben en dus programma’s kunnen installeren of verwijderen buiten het zicht van de corporate IT-afdeling. Dit is een groot beveiligingsrisico dat door een ‘Least-Privilege’-strategie flink beperkt kan worden.”

CISO’s blijven met problemen worstelen
CISO’s staan voor de moeilijke opgave om draagvlak bij de directie te vinden voor hun beveiligingsinitiatieven. Bijna twee vijfde (37%) zag voorstellen afgewezen omdat de directie van mening was dat de risico’s de investering niet rechtvaardigden of dat de beveiligingstechnologie geen aantoonbare ROI bood. Een derde (33%) meent dat hun directie bij de besluitvorming rond security-investeringen geen oog heeft voor schaalomvang van cyberbedreigingen.

CISO’s denken strategisch, maar investeren tactisch
De inkoopbeslissingen die CISOs’ zelf nemen zijn op de toekomst gericht. Hun investeringen hebben ten doel om gelijke pas te kunnen houden met de ontwikkelingen op beveiligingsgebied en de initiatieven van hun branchegenoten. Een overweldigende meerderheid (75%) zegt innovatieve nieuwe tools uit te willen proberen. In de praktijk worden zij echter beïnvloed door wat hun branchegenoten doen. Bijna de helft van de respondenten (46%) zet hun inkoopbeslissingen af tegen die van andere bedrijven in hun sector. In de Benelux wordt er ook gekeken naar aanbevelingen van grote onderzoeksbedrijven, waarbij met name oplossingen van het ‘leaders quadrant’ de voorkeur hebben. Dit kan ertoe leiden dat CISO’s kiezen voor de bekende weg in plaats van nieuwe oplossingen uit te proberen.

“Uit ons onderzoek komt duidelijk naar voren dat CISO’s eerst alle stakeholders moeten voorlichten over de zakelijke meerwaarde van cybersecurity alvorens ze technologische innovatie kunnen nastreven”, zegt Hoefsloot. “Om zich van de financiële steun van de directie te verzekeren moeten ze zorgen voor een subtiel evenwicht tussen innovatie en compliance.” 

Dit evenwicht is terug te zien in het de manier waarop besluitvormers het risicoprofiel van hun organisatie beschrijven. Bijna de helft van de respondenten is van mening dat hun organisatie met de kudde meeloopt (45%). Slechts een derde (36%) ziet hun organisatie als een pionier die nieuwe technologische ontwikkelingen omarmt. Verder is slechts 17 procent van mening dat hun organisatie de vinger aan de pols heeft wat betreft de laatste cyberbedreigingen en het overeenkomstig prioriteren van hun investeringen.

“Hoewel directies wel degelijk een luisterend oor bieden en het security-budget opkrikken, zijn ze geneigd om elke investering als een kostenpost te zien in plaats van een oplossing die zakelijke toegevoegde waarde biedt”, verklaart Hoefsloot. “Desondanks is er sprake van bemoedigende signalen; vooral waar het verminderen van bedrijfsrisico een primaire overweging is bij de investeringsbeslissingen op het gebied van cybersecurity. Maar organisaties hebben nog wel een lange weg te gaan. Het feit dat directies investeringen in de meeste gevallen goedkeuren nadat er een beveiligingsincident is opgetreden, of dat doen uit angst voor boetes van toezichthouders, wijst erop dat investeringen in cybersecurity vooral als een ‘verzekering’ zien. Dit vloeit niet voort uit de wens om een koploperspositie op het gebied van IT-beveiliging in te nemen. Maar op de lange duur beperkt dit het vermogen van de security-branche om het tempo van cybercriminelen bij te houden.” 

1. Het CISO Besluitvormings-onderzoek van Thycotic werd uitgevoerd onder 908 senior besluitvormers op het gebied van IT-beveiliging. Deze respondenten waren actief bij organisaties met meer dan 500 werknemers. De vraaggesprekken werden in augustus 2020 afgenomen door Sapio Research. Hiervoor werd gebruikgemaakt van een e-mailuitnodiging en een online enquête.
2. Cijfers zijn afkomstig uit DLA Piper GDPR Data Breach Survey 2020

Over Thycotic
Thycotic is een vooraanstaande leverancier van cloudoplossingen voor privileged access management. Zijn beveiligingstools worden gebruikt door ruim 10.000 organisaties variërend van kleine bedrijven tot Fortune 100-ondernemingen. Ze stellen hen in staat om de risico’s rond gebruikersaccounts met speciale toegangsrechten te minimaliseren, ‘least privilege’-beleidsregels toe te passen, grip op applicaties te houden en hun overeenstemming met de richtlijnen aan te tonen. Thycotic maakt privileged access management van grootzakelijk niveau toegankelijk voor iedereen door een einde te maken aan de afhankelijkheid van ingewikkelde beveiligingstools en oplossingen aan te reiken die de productiviteit, flexibiliteit en beheereenvoud vooropstellen. Het in Washington, DC gevestigde Thycotic is wereldwijd actief. Het heeft vestigingen in Australië, Duitsland, Spanje en het Verenigd Koninkrijk.