Onderzoek Thycotic: dreiging AVG-boetes bepalen investeringsbeslissingen in cybersecurity

Hoofddorp, 26 november 2020 - Thycotic, leverancier van privileged access management (PAM)-oplossingen aan ruim 10.000 organisaties, waaronder 25 van de Fortune 100-ondernemingen, publiceert de resultaten van zijn CISO Besluitvorming-enquête. Het doel van deze onafhankelijke wereldwijde enquête¹ is om in kaart te brengen welke overwegingen het sterkst meewegen in de investeringsbeslissingen van directies op het gebied van cybersecurity, en hoe die de besluitvorming van CISO’s beïnvloeden.

Uit vraaggesprekken met ruim 900 CISO’s en senior besluitvormers op IT-gebied in alle delen van de wereld blijkt dat de investeringen van directies in cybersecurity meestal voortvloeien uit een beveiligingsincident of de angst om niet voor een audit te slagen. Ruim de helft van de respondenten (58 procent) zegt dan ook dat hun organisatie van plan is om in de komende 12 maanden het security-budget te verhogen.

Er zijn bemoedigende signalen dat directies hun investeringen in cybersecurity opvoeren. Ruim driekwart (77%) van alle respondenten kreeg financiële steun van hun directie voor investeringen in nieuwe beveiligingsprojecten. Dit was naar aanleiding van een cyberincident binnen hun organisatie (49%) of de angst om niet voor een audit te slagen (28%). In de EU is er inmiddels voor in totaal 175 miljoen euro’s aan boetes opgelegd aan bedrijven die in strijd handelden met de GDPR. In Nederland zijn er sinds GDPR (of AVG) in werking trad, voor totaal €460,000 aan boetes uitgedeeld. In België gaat het om een bedrag van €39,000². Bijna een kwart van de respondenten (23%) is daarom van mening dat compliance of het vooruitzicht van een boete het meest effectieve middel is om directies te overtuigen van de noodzaak om in cybersecurity te investeren.

De coronacrisis wakkert de investeringen in cybersecurity aan
CISO’s geven aan dat directies naar hen luisteren en grotere beveiligingsbudgetten toekennen als reactie op het groeiende aantal cyberbedreigingen en risico’s als gevolg van de coronacrisis. Een overweldigende meerderheid (91 procent) is het eens met de stelling dat de directie adequate ondersteuning biedt voor hun investeringen in cybersecurity. Bijna drie op de vijf denkt dat ze het volgende boekjaar over meer beveiligingsbudget kunnen beschikken als gevolg van de aanhoudende pandemie. Tim Hoefsloot, Regionaal directeur Benelux en Nordics bij Thycotic: “Grote bedrijven hebben nu duizenden laptops rondzwerven door het land, waarop gebruikers volledige admin-rechten hebben en dus programma’s kunnen installeren of verwijderen buiten het zicht van de corporate IT-afdeling. Dit is een groot beveiligingsrisico dat door een ‘Least-Privilege’-strategie flink beperkt kan worden.”

CISO’s blijven met problemen worstelen
CISO’s staan voor de moeilijke opgave om draagvlak bij de directie te vinden voor hun beveiligingsinitiatieven. Bijna twee vijfde (37%) zag voorstellen afgewezen omdat de directie van mening was dat de risico’s de investering niet rechtvaardigden of dat de beveiligingstechnologie geen aantoonbare ROI bood. Een derde (33%) meent dat hun directie bij de besluitvorming rond security-investeringen geen oog heeft voor schaalomvang van cyberbedreigingen.

CISO’s denken strategisch, maar investeren tactisch
De inkoopbeslissingen die CISOs’ zelf nemen zijn op de toekomst gericht. Hun investeringen hebben ten doel om gelijke pas te kunnen houden met de ontwikkelingen op beveiligingsgebied en de initiatieven van hun branchegenoten. Een overweldigende meerderheid (75%) zegt innovatieve nieuwe tools uit te willen proberen. In de praktijk worden zij echter beïnvloed door wat hun branchegenoten doen. Bijna de helft van de respondenten (46%) zet hun inkoopbeslissingen af tegen die van andere bedrijven in hun sector. In de Benelux wordt er ook gekeken naar aanbevelingen van grote onderzoeksbedrijven, waarbij met name oplossingen van het ‘leaders quadrant’ de voorkeur hebben. Dit kan ertoe leiden dat CISO’s kiezen voor de bekende weg in plaats van nieuwe oplossingen uit te proberen.

“Uit ons onderzoek komt duidelijk naar voren dat CISO’s eerst alle stakeholders moeten voorlichten over de zakelijke meerwaarde van cybersecurity alvorens ze technologische innovatie kunnen nastreven”, zegt Hoefsloot. “Om zich van de financiële steun van de directie te verzekeren moeten ze zorgen voor een subtiel evenwicht tussen innovatie en compliance.”

Dit evenwicht is terug te zien in het de manier waarop besluitvormers het risicoprofiel van hun organisatie beschrijven. Bijna de helft van de respondenten is van mening dat hun organisatie met de kudde meeloopt (45%). Slechts een derde (36%) ziet hun organisatie als een pionier die nieuwe technologische ontwikkelingen omarmt. Verder is slechts 17 procent van mening dat hun organisatie de vinger aan de pols heeft wat betreft de laatste cyberbedreigingen en het overeenkomstig prioriteren van hun investeringen.

“Hoewel directies wel degelijk een luisterend oor bieden en het security-budget opkrikken, zijn ze geneigd om elke investering als een kostenpost te zien in plaats van een oplossing die zakelijke toegevoegde waarde biedt”, verklaart Hoefsloot. “Desondanks is er sprake van bemoedigende signalen; vooral waar het verminderen van bedrijfsrisico een primaire overweging is bij de investeringsbeslissingen op het gebied van cybersecurity. Maar organisaties hebben nog wel een lange weg te gaan. Het feit dat directies investeringen in de meeste gevallen goedkeuren nadat er een beveiligingsincident is opgetreden, of dat doen uit angst voor boetes van toezichthouders, wijst erop dat investeringen in cybersecurity vooral als een ‘verzekering’ zien. Dit vloeit niet voort uit de wens om een koploperspositie op het gebied van IT-beveiliging in te nemen. Maar op de lange duur beperkt dit het vermogen van de security-branche om het tempo van cybercriminelen bij te houden.”

1. Het CISO Besluitvormings-onderzoek van Thycotic werd uitgevoerd onder 908 senior besluitvormers op het gebied van IT-beveiliging. Deze respondenten waren actief bij organisaties met meer dan 500 werknemers. De vraaggesprekken werden in augustus 2020 afgenomen door Sapio Research. Hiervoor werd gebruikgemaakt van een e-mailuitnodiging en een online enquête.
2. Cijfers zijn afkomstig uit DLA Piper GDPR Data Breach Survey 2020

Over Thycotic
Thycotic is een vooraanstaande leverancier van cloudoplossingen voor privileged access management. Zijn beveiligingstools worden gebruikt door ruim 10.000 organisaties variërend van kleine bedrijven tot Fortune 100-ondernemingen. Ze stellen hen in staat om de risico’s rond gebruikersaccounts met speciale toegangsrechten te minimaliseren, ‘least privilege’-beleidsregels toe te passen, grip op applicaties te houden en hun overeenstemming met de richtlijnen aan te tonen. Thycotic maakt privileged access management van grootzakelijk niveau toegankelijk voor iedereen door een einde te maken aan de afhankelijkheid van ingewikkelde beveiligingstools en oplossingen aan te reiken die de productiviteit, flexibiliteit en beheereenvoud vooropstellen. Het in Washington, DC gevestigde Thycotic is wereldwijd actief. Het heeft vestigingen in Australië, Duitsland, Spanje en het Verenigd Koninkrijk.

Noot voor de redactie [niet voor publicatie]
Wil u meer weten over dit onderzoek of Thycotic, dan kunt u terecht bij:
Karianne Hoekstra
Zeekhoe Communicatie
M. +31 (0)6-460 80656
E. karianne@zeekhoe.nl
www.zeekhoe.nl

	Vier op de vijf supportprofessionals hoort zaken die voor de rest van de organisatie nog geheim zijn

	Onderzoek Thales: Thuiswerken vraagt om een moderne security-aanpak

	Sophos-onderzoek: Meer dan 2 miljoen dollar aan herstelkosten bij ransomware-aanvallen in de financiële sector

	ProctorExam is Security Verified door ICT Institute

	Thuiswerkers met extra toegangsrechten beter beschermen

	CyberArk biedt gratis controle-tool voor SolarWinds klanten

	Thycotic breidt zijn succesformule voor PAM en bescherming van thuiswerkers uit naar Nederland

	Thycotic streeft concurrentie voorbij in het KuppingerCole Leadership Compass voor Privileged Access Management (PAM)

maandag 20 september 2021
	Online een huis zoeken en kopen: van 6 weken naar een paar minuten

	Rapportageportaal BInqcs en meer inzicht in uw bedrijf

	Kaspersky publiceert zijn eerste Transparency Report

	Xperit onderdeel van AXELIO, een nieuwe groep Microsoft-partners

	Lubbers De Jong versterkt team met drie nieuwe aanwinsten

	Vier op de vijf supportprofessionals hoort zaken die voor de rest van de organisatie nog geheim zijn

	Barracuda lanceert ‘cloud-native’ security om de implementatie van Secure Access Service Edge (SASE) te versnellen

	Onderzoek Thales: Thuiswerken vraagt om een moderne security-aanpak

	Financieel verantwoordelijken willen dat de vrije ruimte in werkkostenregeling blijvend verhoogd wordt naar 3 procent

	Slechts helft huishoudens verandert standaard wachtwoord wifi-netwerk

	GrassGreener slaat handen ineen met Twegos om visie op werving breder in te zetten

	Gelijkheid, diversiteit en inclusie: goed voor de medewerkers, maar ook goed voor het bedrijf?

	Universiteit van Oxford en Oracle helpen onderzoeksorganisaties om samen sneller COVID-19-varianten te identificeren

	CCS benoemt Winfried van Holland als nieuwe CTO

	Economie Randstad relatief hard getroffen in coronacrisis
17 september 2021 (4 dagen geleden)
	Wereldprimeur: International Patiënt Summary (IPS) uitwisseling door Drimpy

	NorthC Group tekent bindende overeenkomst voor de overname van Duitse colocatieprovider IPX

	Privacysoftwaregigant ExpressVPN zwaar onder vuur

	Planners presteren áchter de schermen

	Eerste editie Planet Robot op woensdag 30 maart 2022

	Onderzoek ThycoticCentrify: veel werknemers schuwen security-verantwoordelijkheid

	Onderzoek Thycotic: dreiging AVG-boetes bepalen investeringsbeslissingen in cybersecurity

	Thycotic breidt zijn succesformule voor PAM en bescherming van thuiswerkers uit naar Nederland

Onderzoek Thycotic: dreiging AVG-boetes bepalen investeringsbeslissingen in cybersecurity

Investeringen in cybersecurity worden gedaan na beveiligingsincident of uit angst voor audit