Organisaties zijn eerder reactief dan proactief als het gaat om het opzetten van hun cyberbeveiliging. Een reactief beleid maakt het vaststellen van de waarde van cybersecurityinvesteringen en daarop afstemmen van de bedrijfsresultaten echter lastig.
Dit blijkt uit een nieuw onderzoek van Forrester Consulting in opdracht van WithSecure, voorheen bekend als F-Secure Business. 83% van de in het onderzoek ondervraagde respondenten is geïnteresseerd in resultaatgerichte beveiligingsoplossingen en -diensten, is van plan deze in te voeren of breidt ze uit. Uit het onderzoek blijkt tegelijkertijd echter ook dat de meeste organisaties cyberbeveiliging momenteel reactief benaderen. 60% van de respondenten zegt te reageren op individuele cyberbeveiligingsproblemen wanneer deze zich voordoen.
Er zijn flinke verschillen per sector zichtbaar. Zo benadrukt 71% van de maakindustrie reactief te werk te gaan. Binnen de sterk gereguleerde financiële dienstensector ligt dit percentage op iets meer dan de helft.
Ongeacht de sector vindt de overgrote meerderheid van de respondenten dat de reactieve aanpak problematisch is voor hun organisaties. 90% van hen stelt te worstelen met uitdagingen wanneer zij reageren op cyberbeveiligingsproblemen. Dit ondanks het feit dat de budgetten voor cyberbeveiliging stijgen. Zo bevestigt 71% van de respondenten elk jaar meer uit te geven aan cybersecurity.
Zichtbaarheid van cyberrisico's, het vinden van de vereiste vaardigheden en middelen, en snel en doeltreffend reageren zijn de meest voorkomende uitdagingen die respondenten noemen.
"Tegenwoordig zijn de meeste investeringen in cyberbeveiliging gericht op het verminderen van cyberrisico's. Echter, de risico’s die worden ingeperkt zijn vaak niet de meest essentiële voor het bereiken van de gewenste bedrijfsresultaten. Investeringen leiden dus niet per se tot betere bedrijfsresultaten of cyberbeveiliging krijgt helemaal niet de juiste financiering", legt Christine Bejerasco (foto), Chief Security Officer van WithSecure, uit.
Volgens het Forrester-onderzoek is outcome-based cybersecurity een aanpak die bedrijfsleiders in staat stelt cybersecurity te vereenvoudigen door alleen die mogelijkheden te benutten die meetbaar de gewenste resultaten opleveren, in tegenstelling tot traditionele bedreigings-, activiteiten- of ROI-gebaseerde methodes.
De meest voorkomende resultaten die de respondenten met de beveiliging wilden bereiken, waren onder meer risicobeheer. 44% van de respondenten wilde het risico beperken om hun belangrijkste doelstellingen op het gebied van cyberbeveiliging te bereiken. 40% verwacht dat een goede beveiliging de klantervaring zou verbeteren. 34% tot slot noemt inkomstengroei als het gewenste resultaat.
Hoewel veel respondenten duidelijke resultaten voor ogen hadden, beweerde slechts één op de vijf organisaties dat de prioriteiten op het gebied van cyberbeveiliging en de bedrijfsresultaten volledig op elkaar waren afgestemd.
Tegelijkertijd zijn er tal van obstakels die de inspanningen om cyberbeveiliging af te stemmen op bedrijfsresultaten bemoeilijken. Denk aan het beheer van een complexe IT-omgeving, het omgaan met conflicterende cyberbeveiligings- en bedrijfsdoelstellingen en het handhaven van de gewenste resultaten van detectietechnologieën.
Maar ook de beoordeling van de mate waarin beveiligingsprioriteiten de bedrijfsresultaten ondersteunen noemt WithSecure problematisch. Belangrijke uitdagingen die respondenten noemen zijn onder meer:
Meer informatie is beschikbaar in het onderzoeksrapport 'The Value Of Putting Security Outcomes First: Rethink Cybersecurity To Amplify Resilience, Productivity, And Competitiveness'.