'Twintig procent it-budget gaat naar security'

Een vijfde van het bedrag dat organisaties aan technologie uitgeven is gerelateerd aan beveiliging, zo blijkt uit onderzoek. In de komende twaalf maanden verwachten bedrijven een nog groter deel aan veiligheid te spenderen.

Sleutels / security De Computing Technology Industry Association ondervroeg meer dan duizend organisaties naar hun budget voor technologie. Uit het onderzoek bleek dat in 2006 gemiddeld 20 procent van de uitgaven voor beveiliging bestemd was. In 2005 betrof dat aandeel nog 15 procent terwijl het in 2004 op 12 procent lag.

Het onderzoek toonde ook aan dat voor elke dollar die aan beveiliging werd gespendeerd, er 42 dollarcent voor de aankoop van technologieproducten bestemd was en 17 cent opging aan veiligheidsdiensten. Training nam nog eens 15 cent voor zijn rekening, beoordelingen 12 cent en certificering maakte de resterende 9 cent uit. Op al deze gebieden zullen de uitgaven het komende jaar stijgen, volgens de organisaties. In totaal zal de toename richting 23 procent van het budget gaan, zo is de gemiddelde verwachting.

IT-banen

Reacties (46)

MAX3400 11 oktober 2007 01:40

Wat anderen ook al gedeeltelijk laten vallen; eigen personeel is vaak ook een security-issue. Zijn thuis gewend om te werken met beschrijfbare & removable media, admin-rechten en dergelijke. En dan komen ze op de zaak en verwachten dat dat daar ook maar kan.

Kan het niet, dan gaan veel gebruikers tot het gaatje om iets voor elkaar te krijgen; naar jezelf mailen, USB-stick proberen, CD branden, etc. Ik vermoed dat een gemiddelde kantoorgebruiker minstens 128MB aan data "buiten kantoor" heeft gestald op de een of andere manier.

We lachen altijd wel als er een USB-stick van de politie op straat wordt gevonden maar niemand kijkt dan eens om zich heen als 'ie zijn collega weer eens een CD ziet branden op werk en die dan in de tas verdwijnt.

Opkomst van dingen als thuiswerken is dus ook erg kritisch; bedrijven moeten dit soort endpoint-oplossingen zeer veilig houden om niet alle data compatible te houden met de interne kantoorautomatisering (dus niet dat Jantje thuis lekker met Office 2007 dingen gaat zitten opslaan in docx-formaat ofzo) maar ook dat het volledige verkeer tussen de thuiswerkers en het kantoor niet eenvoudig open te breken is, al dan niet door de thuisgebruiker (drivemappings, printermappings, etc) of door externen (hackers, scriptkiddies, andere huisgenoten van thuiswerker).

regmaster 10 oktober 2007 18:55

Ik vind 20 % op zich wel een redelijk bedrag. Veel managers denken dat beveiliging heel veel geld kost. Maar vaak kunnen door eenvoudige organisatorische maatregelen al heel veel risico's worden opgelost tegen betrekkelijk lage kosten.
Binnen ITIL word de CRAMM methode gebruikt die op de formule Risico=Kans*Schade gebaseerd is. Bij veel bedrijven ziet men in het begin dat risico's relatief hoog liggen maar de schade weer lager ligt dan de kosten die moeten worden gemaakt voor traditionele beveiligingsmaatregelen.
In vrijwel alle gevallen is het eigen personeel de grootste risico factor. Het aanscherpen van procedures en werkwijzen lost dan al veel op. Bij een volgende analyse zie je dat de risico's zijn afgenomen.

Bor Coördinator Frontpage Admins / FP Powermod @regmaster • 10 oktober 2007 20:04

De CRAMM methode staat op zich totaal los van ITIL en is al jaren bv de standaard methode die men bij bv defensie gebruikt. Andere mogelijkheden zijn natuurlijk de meer bekende A&K. Vergeet ook niet dat je voor CRAMM erg dure licenties nodig hebt en dat het systeem uit gaat van modellen die in veel gevallen niet altijd de juiste weergave zijn voor de echte situatie.

flowerp @regmaster • 10 oktober 2007 19:10

In vrijwel alle gevallen is het eigen personeel de grootste risico factor. Het aanscherpen van procedures en werkwijzen lost dan al veel op. Bij een volgende analyse zie je dat de risico's zijn afgenomen.

Inderdaad. Alweer een flink poosje geleden kwam ik bij een bedrijfje over de vloer waar een systeembeheerder best wel ijverig was om allemaal poorten af te sluiten, security patches bij te houden voor de servers etc.

Echter, de kantoor gebruikers daar hadden gewoon admin rechten op hun computer en zaten vrolijk van russische sites cracks te downloaden om b.v. de nieuwste versies van Photoshop te kunnen installeren!

Toen ik daar op wees werden de admin rechten ingeperkt, maar ook daar vonden de 'slimme' kantoor medewerkers een oplossing voor. Ze konden namelijk een laptop meenemen, en gewoon op kantoor met die laptop werken. Natuurlijk waren ze daarop weer wel admin. Binnen +- een half jaar zat het voltallige personeel op een laptop te werken en natuurlijk gingen de illegale CD'tjes weer vrolijk in het rond. De desktops met een standaard software installatie werden niet meer aangeraakt 'daar stond toch alleen oude software op en men werkte liever met de nieuwste versies'.

SunnieNL

@flowerp • 10 oktober 2007 20:44

zegt wel iets over de administrators als ze niet gemanagede laptops in hun netwerk laten

MAX3400 @SunnieNL • 11 oktober 2007 01:43

Onzin; de gemiddelde admin voert uit wat de nono's elders in het bedrijf belangrijk(er) vinden. En als de raad van bestuur onder het genot van een duur diner beslist dat laptops van thuis mogen worden ingezet op werk om zo flexibeler te werken, dan gebeurt dat in veel bedrijven dus ook ondanks dat IT-afdelingen/managers zich daar wel enigszins tegen zullen verzetten.

Altijd die rare opvatting "als de IT-infra stuk is, is het de schuld van de admins"; beetje moe word ik ervan.

mashell @MAX3400 • 11 oktober 2007 11:07

Als het personeel hun eigen IT middelen organiseren lijkt me dat toch een behoorlijke besparing op het IT budget. Best slim van de raad van bestuur.

g4wx3 @flowerp • 10 oktober 2007 22:42

Ik vind het raar, zal wel een klein bedrijfje zijn, anders werk je toch liever met een domein, en alle aplicaties op de server ofzo?
Werkt ideaal, alleen moet de systeembeheerd eens de software op de server updaten grrr
Met name internet applicaties!

[Reactie gewijzigd door g4wx3 op 27 juli 2024 19:06]

MAX3400 @g4wx3 • 11 oktober 2007 01:28

Zat bedrijven die de licentiekosten voor een server-based omgeving niet willen ophoesten en daardoor nog steeds met fat clients (moeten) werken.

En vergeet niet dat sommige applicaties niet eens vrolijk worden om in een multi-user omgeving te draaien; moet je dus nog eens gaan vogelen met stand-alone servers of andere vormen van applicaties aanbieden om het uberhaupt werkend te krijgen.

RealCato 10 oktober 2007 19:07

Het ideaal / de theorie is om je risico's te quantificeren (Risico=Kans*Schade) en vervolgens af te zetten tegen je security uitgaven. Dan kun je je namelijk beperken tot het afdekken van die risico's die per saldo geld kosten.

In de praktijk hebben (grote) bedrijven echter vaak niet voldoende gegevens om deze afweging te kunnen maken en hebben ze bovendien andere 'incentives' om toch veel uit te geven aan beveliging, bijvoorbeeld overcertificering als marketingmiddel.

Vergis je ook niet in de kosten om je organisatie helemaal dichtgetimmerd te krijgen, iets wat je nu vaak onder invloed van SOx of ISO27k ofzo ziet.

Zaken waaraan je moet denken:
- Procedures opstellen
- werknemers trainen (niet alleen de procedures, maar ook de security 'mindset')
- Systemen veilig inrichten en tegelijkertijd toch al je (legacy) applicaties in de lucht houden
- Autorisaties (ook hoeveelheid rechten binnen applicaties en systemen) in kaart brengen + bijhouden + monitoren
- Netwerk dichttimmeren en dichthouden (firewalls, interfaces, etc)
- Fysieke toegangsbeveliging datacenters

...en daar komt dan nog die anti-virus software etc. bij

[Reactie gewijzigd door RealCato op 27 juli 2024 19:06]

Verwijderd 10 oktober 2007 23:09

Hilarisch bericht.
Ben een Mastervak aan de Radboud Universiteit Nijmegen aan het volgen (Security in Organisations), weet de docent doodleuk te melden op zijn slides:

Current Situation:
Majority of businesses are spending less than 1% of their IT budget on security

Dus

YoMarK @Verwijderd • 10 oktober 2007 23:45

Ik ken geen bedrijven die 20% van hun IT-budget aan beveiliging opmaken, maar 1% klinkt nogal ongeloofwaardig. Een getal uit 1990 misschien?

Verwijderd @Verwijderd • 11 oktober 2007 10:47

Ik ben eigenlijk ook wel heel benieuwd waar die 20% dan naar toe zijn gegaan. Ik heb het idee dat er verschrikkelijk veel dingen over die noemer zijn geschoven.
Zouden het backup systeem ook onder de noemer security zijn gezet? Dan snap ik het al veel meer...

Jammer dat het onderzoek zelf niet vrij te downloaden is.

Verwijderd 10 oktober 2007 23:41

Gebruik vooral geen windows machines, dan blijf je problemen houden.

Neem bijvoorbeeld Redhat linux, apple machines, andere linux.

Als je windows wilt blijven gebruiken, omdat de typmiep dan word bestanden kan typen (omdat ze een cursus word voor windows heeft gevolgd voor 400 euro) en niks anders kent,
dan blijf je problemen houden.

MAX3400 @Verwijderd • 11 oktober 2007 01:32

Nee, vooral geen Windows gebruiken. Maar dan niet raar opkijken als je gebruikers het niet meer snappen of 90% van de algemeen geaccepteerde/gebruikte applicaties de deur uit kan, want niet *nix-compatible; en dan hebben we het niet over dingen als "Office" maar tientallen, zo niet honderden applicaties die in het bedrijfsleven worden gebruikt en waar geen native *nix-versie van beschikbaar is.

Beetje kortzichtig weer? Dacht juist dat *nix-mensen zou trots waren dat een oud bakkie met een distro een enorme Windows-omgeving kon beveiligen door als firewall te fungeren, bijvoorbeeld?

[Reactie gewijzigd door MAX3400 op 27 juli 2024 19:06]

flowerp @Verwijderd • 11 oktober 2007 01:13

Als je windows wilt blijven gebruiken, omdat de typmiep dan word bestanden kan typen (omdat ze een cursus word voor windows heeft gevolgd voor 400 euro) en niks anders kent, dan blijf je problemen houden.

Het klinkt een beetje flamerig, maar de kern is wel degelijk waar.

Juist het monotone beeld in IT land (overal het exact zelfde OS en exact zelfde wordprocessor etc) maakt IT omgevingen kwetsbaar. Diversiteit is juist 1 van de wapens. (niet het enige wapen natuurlijk, maar zeker een niet te onderschatten factor).

Daarnaast is het vaak inderdaad zo'n stomme typemiep die perse Window en Word wil, terwijl haar (of zijn!) werkzaamheden net zo goed op Linux met OpenOffice zouden kunnen. Pure onwil om wat anders te gebruiken. Een extra security risk en soms behoorlijk extra koste in principe om helemaal niets. (weinig typemieps die zulke specifieke dingen doen dat ze -echt- perse alleen Word kunnen gebruiken voor hun taak)

Verwijderd @flowerp • 11 oktober 2007 10:53

Je vergeet nu wel eventjes dat de IT infra structuur nog altijd slechts een dienst is die geleverd wordt om het echte werk uit te voeren. Die typemiep zit het geld voor de IT'er te verdienen! Dus eventjes wat minder arrogant graag!

En als je ooit eens de moeite had genoemen om daadwerkelijk te kijken wat die typemiepen doen, dan was je er achter gekomen dat er genoeg zijn die alle mogelijkheden van Office volop benutten, en waarschijnlijk meer weten van Office dan jij!

Verwijderd @Verwijderd • 11 oktober 2007 07:52

Op zich heeft die gelijk, wanneer er in de dieren- of plantenwereld ook teveel van hetzelfde soort bij elkaar zijn, weet men ook dat er allerlei ziektes uitbreken, daarom wordt er geld tegen bestrijding ervan uitgegeven, zie vooral de landbouw en veeteelt.

Parallellen genoeg.....

svenk91 10 oktober 2007 17:29

In totaal zal de toename 23 procent bedragen, zo is de gemiddelde verwachting.

die 20%+23%=43% van alle kosten?

of dat er 23% van die 20% meer wordt uitgegeven aan beveiliging is nogal een groot verschil. heeft iemand hier duidelijkheid over?

Auteur

Olaf @svenk91 • 10 oktober 2007 17:31

was idd onduidelijk, heb het aangepast

Kalief 10 oktober 2007 19:13

Ik vind het een nogal technocratische besteding met die slechts 15% aan training. Beveiliging tegen social engineers is bijna alleen maar training. Zouden ze niet teveel vertrouwen op technologische oplossingen?

Bor Coördinator Frontpage Admins / FP Powermod @Kalief • 10 oktober 2007 20:06

De organisatorische kant van beveiliging word inderdaad vrijwel overal onderschat. Dit is zelfs mede te wijten aan de gehanteerde standaarden zoals ISO etc die de implementatie van een firewall voorschrijven maar verder niets roepen over de configuratie, het bekijken en analyseren van de logs etc.

PHiXioN 10 oktober 2007 20:08

Zolang het bedrag dat aan security besteed wordt verliezen voorkomt die groter zijn dan die 20% van het IT budget dan is het volkomen gerechtvaardigd.

g4wx3 @PHiXioN • 10 oktober 2007 22:45

Ik denk dat je sommige 'verliezen' niet in bedragen kan verwoorden...

Soldaatje 10 oktober 2007 17:21

Tja, die virusschrijvers sporen ook niet he, wat wil je nou bereiken?
Het zou ons een hoop ellende besparen als die mensen eens een normale hobby gingen zoeken.

HarmoniousVibe @Soldaatje • 10 oktober 2007 17:23

Net of virussen de enige bedreigingen zijn voor de informatievoorziening van een onderneming

trixx @Soldaatje • 10 oktober 2007 17:27

Denk dat ze zich meer moeten beschermen tegen criminelen die gegevens willen gebruiken om financieel wat te winnen. En dat daar het meeste aan wordt uitgegeven

PHiXioN @trixx • 11 oktober 2007 03:25

Bewust misbruik is slechts een van de factoren waarmee rekening wordt gehouden, het voorkomen van een grote impact door gebruikersfouten valt ook onder security. Verder gaan die kosten verder dan een licentie op een firewall, denk ook aan procedures en het slot op de deur van het serverhok.

Olaf van der Spek @Soldaatje • 10 oktober 2007 19:06

Het zou ons een hoop ellende besparen als die mensen eens een normale hobby gingen zoeken.

Is dat zo?
Dus beveiliging negeren en maar hopen dat er toch niet een keer iets gebeurd?

coretx @Soldaatje • 11 oktober 2007 11:46

Het is frequent bewezen dat het grootste gevaar de ( ex ) werknemers zelf zijn.

DavidAxe @Soldaatje • 11 oktober 2007 11:59

Ik denk dat de kosten voor bescherming tegen virussen, maar een klein deel zijn van die 20%. Daar zijn al goede en goedkope geautomatiseerde systemen voor (virusscanners).
De kosten voor knowhow (architectuur) en monitoren zijn waarschijnlijk veel groter.

mae-t.net @Soldaatje • 11 oktober 2007 14:44

Als de meeste virusschrijvers geen virussen zouden schrijven, was de beveiliging van veel computers nog slechter geweest dan die nu al is... Beveiligingsproblemen in het algemeen kosten dan mogelijk nog meer geld.

Verwijderd 10 oktober 2007 17:29

Ik kan het wel begrijpen,
je klant gegevens zullen maar op straat komen.

Of bedrijfsgevoelige informatie, zou je als bedrijf ook niet willen.

Andros @Verwijderd • 10 oktober 2007 18:33

Mja, daar kan de overheid toch van leren...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: