Een kwart van de grote organisaties heeft inmiddels een CISO (Chief Information Security Officer) in dienst; een teken dat er op directieniveau meer aandacht is voor IT-beveiliging. Dat blijkt uit een rapport van IBM, dat hiervoor met ruim 130 beveiligingsmedewerkers van diverse niveaus in 7 landen sprak (bron).
Nu kunnen we natuurlijk heel blij zijn met het feit dat een kwart van de bedrijven inmiddels een CISO heeft aangesteld. Maar dat betekent dat nog steeds 75% van de grote organisaties nog geen CISO hebben en dan moeten we niet uit het oog verliezen dat het hier specifiek gaat om grote organisaties. De middelgrote en kleine organisaties zijn buiten scope en ik vrees dat de cijfers daar nog erger zijn.
Maar laten we nog even verder gaan. Ook heeft 75 procent niet genoeg budget en daadkracht voor een degelijk IT-beveiligingsbeleid, zo concluderen de onderzoekers van IBM. Wel denkt twee derde dat de budgetten hiervoor de komende 2 jaar zullen stijgen.
Nu kun je informatie zo sturen als je wilt, maar wat mij betreft bevestigd dit het beeld dat ik al jaren over de bühne probeer te brengen. Het is nog slecht gesteld met de aandacht voor informatiebeveiliging.
En nu zou ik daarover kunnen klagen maar dat doen we natuurlijk niet. Nee, het komt ook door hoe wij informatiebeveiliging aan het management willen “verkopen”. Wij slagen er nog te weinig in om de beveiligingsrisico’s te koppelen aan de “enterprise risks”. We vallen het management nog te veel lastig met allerlei technische beveiligingsmaatregelen en projecten. Het management begrijpt er niets van en wij kunnen het niet goed genoeg uitleggen.
Positief punt is dat men verwacht dat er de komende 2 jaar extra budgetten beschikbaar komen. Nu maar hopen dat we die budgetten ook daadwerkelijk in kunnen zetten om risico’s af te dekken. Doen we dit verkeerd dan houden we de huidige cyclische manier van werken: geen budget, toename risico’s => te veel risico’s dan meer budget, we zetten dat budget verkeerd in en leggen te weinig verantwoording af aan het management => het management moet bezuinigen en komt als eerste het beveiligingsbudget opeisen.
Kortom: we hebben de komende jaren een kans als informatiebeveiligers. Laten we die kans met beide handen aangrijpen en ervoor zorgen dat informatiebeveiliging een volgende volwassenheidsfase bereikt…daar zijn we gezamenlijk verantwoordelijk voor.