Uitgaven voor beveiliging omhoog
In de VS daalden de uitgaven aan ICT-beveiliging als deel van de totale ICT-budget van 8,5 procent in 2004 naar 6,9 procent in 2006. Dit jaar stijgt het naar 7,5 procent.
Dat het beveiligingsbudget drie jaar lang daalde, was deels een reactie op eerdere jaren waarin men zich had laten meeslepen in de hype en er te veel geld aan had besteed. Bovendien zijn veel producten en diensten die voorheen onder het beveiligingsbudget vielen, nu overgebracht naar algemenere IT-budgetten. Daarbij gaat het om firewalls en e-mailfilters. Vooral in de VS speelde bovendien dat men beveiligingsprojecten had uitgesteld omdat men – veelal ten onrechte – grote verbeteringen verwachtte op het gebied van ICT-beveiliging als gevolg van de eisen die gesteld werden in wettelijke compliancy-regelingen.
Europa
In Europa loopt het wat anders. Daar was het budget in 2005 op zijn top met 9,94 procent. Dat is in 2006 echter gedaald en ook dit jaar is het weer minder: 8,97 procent. Volgens Forrester komt dat doordat Europa achterloopt bij de VS. Pas in 2009 wordt een stijgende lijn verwacht. Dat het aandeel van de beveiligingskosten in het totale ICT-budget wél hoger is in Europa dan in de VS komt doordat Europese organisaties een inhaalslag moeten maken in technologie en automatisering.
Prioriteit voor de helft van de ondervraagden is – evenals in de drie voorgaande jaren – het verbeteren van de beveiligingsomgeving. Daarbij gaat het vooral om het consolideren van de infrastructuur en het verbeteren van de disaster recovery-mogelijkheden. Dat dit al drie jaar lang de prioriteit heeft – en dus in al die tijd niet gerealiseerd is – komt deels doordat de meeste CISO’s nog altijd de meeste tijd kwijt zijn aan het blussen van beveiligingsbrandjes en daardoor weinig tijd over hebben om een strategie te ontwikkelen voor de langere termijn. Een tweede reden is dat de technologie die eerder is aangeschaft, niet de beloofde vruchten heeft afgeworpen. Dat is deels de schuld van de leveranciers, die beloftes deden die niet waargemaakt werden. Maar ook CISO’s gaan niet vrijuit. Zij richtten zich vooral op de inkoop van nieuwe technologie zonder goed na te gaan of die technologische snufjes wel in de strategie pasten en of ze wel compatibel waren met de bestaande omgeving.
De onderzoekers van Forrester zijn er van overtuigd dat de CISO zijn geld anders moet gaan besteden. Hij moet ten eerste de organisatie beter bewust maken van de beveiligingsrisico’s. Immers: 85 procent van de problemen is te wijten aan de eigen medewerkers. Daarnaast moet hij op zoek naar goede methodes om het nut van zijn huidige en geplande uitgaven te kwantificeren en te verantwoorden voor het algemeen management.