Uit onderzoek van IBM onder securityprofessionals en securitymanagers in 7 landen blijkt dat de verantwoordelijkheid over security verschuift van de werkvloer naar de boardroom. Bij een kwart van de organisaties bestaat inmiddels een nieuwe functie: de Chief Information Security Officer (CISO).

In bijna 25 procent van de organisaties heeft de CEO meer aandacht voor beveiligingsissues dan ooit. Deze organisaties hebben een sterk ontwikkeld securitybeleid en zijn goed voorbereid op externe bedreigingen. De CISO’s van deze organisaties streven naar een gecoördineerde aanpak van beveiligingsissues. Daarnaast hebben deze organisaties gemeen dat de verantwoordelijkheid over het security-budget gedeeld wordt tussen de CIO, de CEO en de CISO, er een risicobewuste cultuur bestaat, en vooruitgang gemeten wordt.

Van de overige 75% heeft een derde nog onvoldoende budget en daadkracht voor een degelijk securitybeleid. Bijna twee derde van de respondenten verwacht dat de security-budgetten in de komende twee jaar zullen stijgen. Bij het gros van de onderzochte organisaties ligt de verantwoordelijkheid voor het securitybudget nu nog exclusief bij de CIO. Maar organisaties met een sterk ontwikkeld securitybeleid en een goede voorbereiding op bedreigingen pakken security steeds strategischer aan. De kans is hier net zo groot dat security aangestuurd wordt door de CEO als door de CIO en er is bij deze organisaties vaker een CISO werkzaam. Van deze organisaties heeft 71 procent een budgetpost speciaal gewijd aan security. Bedrijven met een gebrek aan budget (27 procent), laten een onderontwikkeld securitybeleid zien, zijn slechter voorbereid op bedreigingen en pakken security issues vaker ad hoc en gefragmenteerd aan.

Met de komst van de CISO is security geen ad hoc onderwerp meer, maar komt het vaker ter sprake tijdens vergaderingen in de boardroom en is het onderdeel van de bedrijfscultuur. Hierdoor ontstaat er een sterke focus op organisatiebrede scholing, samenwerking en communicatie van security gerelateerde onderwerpen. CISO’s zijn geïntegreerd in de gehele organisatie, waardoor hun stem niet alleen op strategisch niveau weerklank krijgt, maar ze ook directe invloed kunnen uitoefenen op beslissingen over producten en services. Ook zetten CISO’s twee keer zo vaak meetinstrumenten in om hun vooruitgang bij te houden. Wanneer ze werken aan een risicobewuste cultuur monitoren CISO’s hoe het risicobewustzijn binnen de organisatie vorm krijgt en monitoren ze het verloop van educatieprogramma’s. Daarnaast meten ze de integratie van nieuwe technologieën en kijken ze continue hoe de organisatie beter om kan gaan met securityrisico’s. De juiste gestandaardiseerde meetinstrumenten ondersteunen CISO’s op deze manier zodat ze zich kunnen richten op de bredere systeem-gerelateerde risico’s voor de organisatie.

Onderzoek: www.ibm.com/smarter/cai/security