Zo optimaliseer je het securitybudget

Het goede nieuws is dat securitybudgetten in de lift zitten. Het slechte nieuws? Dat geldt ook voor succesvolle aanvallen. Het is niet voor niets dat er afgelopen jaar 51 procent meer werd uitgegeven dan in 2012 en dat het cijfer in vergelijking met 2010 is verdubbeld.

Dit zijn de uitkomsten van de Global Information Security Survey, uitgevoerd door PwC. De belangrijkste vraag is: waarom stijgen budgetten maar slagen organisaties er niet in de gewenste resultaten te behalen? "Veel organisaties zijn het zat om altijd mee te moeten met de laatste technologie, onafhankelijk of deze nu wel of niet toepasbaar is voor hun specifieke securityvraagstuk", zegt CISO Jay Leek van The Blackstone Group.

De 11e jaarlijkse Global Information Security Survey onder 9600 bestuurders laat ook zien dat het aantal organisaties dat grotere verliezen dan 10 miljoen dollar per incident rapporteert is gestegen met 75 procent ten opzichte van 2012. De kosten van data-inbraken namen ook flink toe, met 9 procent.

Een ding is zeker: organisaties besteden hun budget niet aan de zaken waaraan het besteed zou moeten worden, zoals malware-analyse (51 procent doet dat wel), inspectie van netwerkverkeer (41 procent), monitoring op verdachte apparaten (34 procent), deep packet inspection (27 procent) of risicomodellering (21 procent).

Hoe kun je aan de hand van deze cijfers zeggen of het toegenomen budget dat jij ontvangt op de juiste manier wordt uitgegeven?

Het juiste personeel

Allereerst is het van belang om de juiste IT-securitymensen rond te hebben lopen.

"Erachter komen of je te veel of te weinig personeel hebt rondlopen kan lastig zijn", zegt directeur Emerging Security Trends John Pescatore van SANS Insititute. "Als je 10 firewalls in gebruik hebt, hoeveel FTE kost het dan om ze te beheren? Als je 3 FTE nodig hebt om 10 firewalls te beheersen, dan heb je of hele slechte firewallmanagers of zou je moeten investeren in een tool die je in staat stelt slechts 1 FTE aan die 10 firewalls te besteden."

Een manier om personeel te evalueren is om te kijken hoeveel FTE aan het securityprogramma wordt besteed in vergelijking met het totale aantal IT-posities. Een ander is om het security/algemeen IT personeelsratio naast dat van het gemiddelde in je branche te leggen, adviseert Pescatore. "Dat is een goede indicatie. Zorg dat je goed kijkt naar hoeveel FTE je eigenlijk zou hebben als je van outsourcing gebruikmaakt, bijvoorbeeld voor beheer van de firewall en monitoring", zegt hij.

Te weinig securityprofessionals creëren een situatie waarin de organisatie onveilige projecten in productie plaatst, niet goed kan reageren op incidenten en niet in staat is een gezond securityprogramma te onderhouden. Dat betekent dat degenen die wel voor je werken constant van hot naar her rennen om brandjes te blussen.

Related:
1 2 Page 1
Page 1 of 2
Discover what your peers are reading. Sign up for our FREE email newsletters today!