Ciso’s, verantwoordelijk voor de cybersecurity in het bedrijf, trekken bij de verdeling van budgetten vaak aan het kortste eind. Hoewel (bijna) iedereen het erover eens is dat beveiliging de allereerste prioriteit moet zijn, blijven de investeringen op dit gebied achter. Op andere technologische initiatieven ligt meer focus. Dat blijkt uit onderzoek van it-beroepsvereniging Comptia.
De discrepantie komt naar voren in het ‘Comptia State of Cybersecurity Report 2025‘, een internationale studie naar hoe bedrijven strategisch omgaan met cybersecurity-kwesties waarbij de blik op de volledige organisatiestructuur, inclusief bedrijfsprocessen en technologische infrastructuur.
In de zes wereldwijde regio’s die zijn onderzocht, waaronder de Benelux, gelooft een kwart van de respondenten dat de algemene richting van cybersecurity significant verbetert. Iets meer dan twintig procent beschrijft de cybersecurity-inspanningen van hun organisatie als ‘volledig bevredigend’. Hoewel ruim driekwart van de Benelux-respondenten aangaf dat cybersecurity een hoge prioriteit, zag de helft het cybersecurity-budget stijgen. Ruim een derde moet met hetzelfde of minder doen, en iets meer dan tien procent heeft geen duidelijk zicht op het budget.
Ideale cybersecurity
‘Er ontbreekt iets, hetzij in de aanpak die organisaties hanteren, hetzij in hun verwachtingen van hoe ideale cybersecurity eruit zou moeten zien’, aldus Seth Robinson, vice president industry research bij Comptia (it-certificering). ‘Bedrijven moeten voortdurende gesprekken voeren over hun cybersecurity-technologiestack, processen die zorgen voor de bescherming van activa en een organisatiestructuur die cutting-edge expertise biedt.’
Genoemd onderzoek toont ook dit jaar weer aan dat vaardigheidsontwikkeling een voortdurend punt van zorg blijft. Benelux-respondenten zijn zich ervan bewust dat kennis over cybersecurity snel verouderd kan raken. Aanvallers vinden voortdurend nieuwe methoden van dreiging. Hoewel infrastructuurbeveiliging het gebied is met de meeste expertise, is het ook het gebied waar de behoefte aan aanvullende training het grootst is. Een derde van de respondenten geeft aan dat zij experts in huis hebben, terwijl 55 procent medewerkers heeft met een behoorlijke hoeveelheid kennis.
Negentig procent is van mening dat de behoefte aan verbetering significant of redelijk groot is. Het gebied met de minste expertise is kunstmatige intelligentie; iets minder dan een kwart denkt experts te hebben, en net niet de helft heeft medewerkers met enige kennis van het onderwerp. Cybersecurity-certificeringen worden gezien als een manier om kernconcepten binnen het team vast te leggen en vaardigheden uit te breiden in opkomende focusgebieden.
De studie ondervroeg 1.181 it-managers en -professionals in zes wereldregio’s, waaronder de Benelux.
Securitybudgetonderzoek Computable
Eerder dit jaar deed Computable in samenwerking met Enigma Research ook onderzoek naar de securitybudgetten in de Benelux. Hieruit blijkt dat de investeringen in ict-beveiliging terug zijn op het niveau van 2022. Daar waar er vorig jaar minder geld naar security ging, daar zien we dat in 2024 17 procent van het totale ict-budget naar beveiliging en veiligheid gaat. In 2023 was dit gedaald naar 15 procent.
Securitybudgetonderzoek Computable
Eerder dit jaar deed Computable in samenwerking met Enigma Research ook onderzoek naar de securitybudgetten. Hieruit blijkt dat de investeringen in ict-beveiliging terug zijn op het niveau van 2022. Daar waar er vorig jaar minder geld naar security ging, daar zien we dat in 2024 17 procent van het totale ict-budget naar beveiliging en veiligheid gaat. In 2023 was dit gedaald naar 15 procent. Het onderzoek vond plaats onder 291 ict- en securityprofessionals in de Benelux.
ICT in zijn algemeenheid is het gebied waar de behoefte aan aanvullende training het grootst is want al die vaardigheidsdiploma’s van eerdere certificeringen verliezen hun waarde door voortschrijdende
technologische ontwikkelingen. Als we kijken naar vaardigheidsontwikkeling volgens de taxonomie van Bloom met didactische modellen zoals doe voor, doe mee en doe zelfstandig zijn de certificeringen een bestuurlijke aanpak welke me doen denken aan een peloton soldaten wat vers van de opleiding nog veel moest leren over hoe het werkelijk in het veld gaat. Dat stukje over viewpoints in rapport gaat
om de pijn die vanuit een standpunt geleden wordt want on-topic zal CISO die geïnformeerd maar niet gebudgetteerd is problemen bagatelliseren door een slecht risicomanagement met de dompteurs van papieren tijgers. Wat betreft verwachtingen die niet overeenkomen met de praktijk omdat wel geïnformeerd maar niet gebudgetteerd uiteindelijk om al het achterstallig onderhoud gaat lijkt het me meer de tijd van poetsen dan trainen. De cutting-edge expertise van een bajonet gaat om de vaardigheid van het gereedschap want veel organisaties snijden zich aan de onervarenheid met nieuwe technologie.