Security Management Trendonderzoek. Chloë Hezemans

Transcriptie

1 Security Management Trendonderzoek Chloë Hezemans

2 Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020?

3 Voorstellen Chloë Hezemans Psycholoog met specialisaties; Sociale Psychologie en Gedrag&Gezondheidspsychologie Interesse voor onderzoek, waarom mensen doen wat ze doen en hoe je dat kunt beïnvloeden. Sinds 2013 Docent/Onderzoeker bij hogeschool Saxion bij de opleiding Security Management

4 Methode Surveyonderzoek 56 vragen 10 stellingen Online verspreid door het vakblad Security Management gedurende één maand.

5 Methode Survey is samengesteld door COT in Gegevens van de eerste drie edities zijn overgedragen. Vragen nagenoeg gelijk gebleven. Stellingen worden iedere editie aangevuld/vervangen. Dit jaar nieuw onderdeel: profiel Security Consultant

6 Methode Onderwerpen enquête: Profiel Security Manager Profiel Security Consultant (nieuw!) Invulling functie/plaats in de organisatie Verantwoordelijkheden Samenwerken Commitment Strategie en beleid Budget Derden Security bewustzijn Security Risico s 2015 Security Incidenten 2014 Registreren, leren, trainen, testen Prestaties, volwassenheid Cybersecurity Stellingen

7 Trends Profiel Security Manager Steeds meer vrouwen in het vakgebied van security manager (van 4% in 2010 naar 11% in 2015) % % ,3% Invulling functie/plaats in de organisatie Afname van het percentage dat security management als nevenfunctie heeft. Tot de laatste editie

8 Ondergebracht binnen de organisatie op niveau van: (begin 2014): (eind 2014): (Beleids-/staf) Medewerker Teamleider/coördinator Interim manager/projectmanager Management Directie (ook eigenaar en zelfstandig ondernemer) Raad van Bestuur

9 Budget(verantwoordelijkheid) Mediaan budget ,- (vorige editie ,-). Security Management wordt vaker als kostenpost gezien: Eind 2014: 47,9% Begin 2014: 36,7% 2013: 20% De budgetverantwoordelijkheid ligt voor 51,7% (vorige editie 43,3%) op directieniveau, waarbij voor 32,1% (vorige editie 20%) zelfs meerdere directeuren verantwoordelijk zijn.

10 Verantwoordelijkheden Begin 2014 Eind 2014 Fysieke en elektronische beveiliging 79,0% 80,3% Incident- /crisismanagement 58,0% 64,8% Beveiliging personen 56,3% 56,3% Brandpreventie 43,7% 43,7% Informatiebeveiliging 42,9% 36,6% Riskmanagement 41,2% 50,7% Integrale veiligheid 38,7% 43,7% Business continuity management 37,8% 36,6% Integriteit 36,1% 49,3% ICT-security 25,2% 22,5%

11 Samenwerken Begin 2014 Eind 2014 Risicomanagement 58,9% 60,6% Crisismanagement 56,2% 46,5% Safetymanagement 54,8% 46,5% ICT 53,4% 46,5% Business continuity 49,3% 36,6% management Juridische zaken 46,6% 40,8% Arbo/Gezondheid 42,5% 42,3% Integriteit 35,6% 47,9% Compliance 34,2% 42,3% Kwaliteit 30,1% 36,6% Verzekeringen 21,9% 19,7% Milieu 17,8% 21,1%

12 Commitment, strategie en beleid Commitment is steeds vaker herkenbaar belegd. Niet herkenbaar belegd % Begin ,4% Eind ,3% Strategie en beleid wordt steeds vaker bepaald door wet- en regelgeving en risicoanalyses. Wet- en regelgeving Risicoanalyses % 55% Begin ,3% 50% Eind ,3% 75%

13 Trends Security bewustzijn begin 2014 Zeer laag Laag Neutraal Security bewustzijn eind 2014 Zeer laag Laag Neutraal

14 Trends: Top 10 inschatting van de risico s Diefstal 2. Informatiediefstal 3. Agressie en geweld 4. Vandalisme 5. Fraude 6. Lekken of manipuleren van informatie 7. Hacking 8. Bedrijfsspionage 9. Bewust toebrengen van imagoschade 10. Bewuste negatieve continuïteitsbeïnvloeding 1. Diefstal 2. Informatiediefstal 3. Agressie en geweld 4. Lekken of manipuleren van informatie 5. Fraude 6. Hacking 7. Vandalisme 8. Bedrijfsspionage 9. Bewust toebrengen van imagochade 10. Arbeidsonrust 1. Diefstal 2. Informatiediefstal 3. Cybercrime / cybercriminaliteit 4. Financiële fraude 5. Agressie en geweld 6. Bewust toebrengen reputatieschade 7. Vandalisme 8. Hacking 9. Bedrijfsspionage 10. Overval 1. Diefstal 2. Cybercrime/ cybercriminaliteit 3. Informatiediefstal 4. Agressie en geweld 5. Financiële fraude 6. Vandalisme 7. Hacking 8. Bedrijfsspionage 9. Identiteitsfraude (nieuw!) 10. Bewust toebrengen van reputatieschade.

15 Trends: Top 10 incidenten 2013 Voorjaar 2014 Najaar Diefstal 2. Agressie en geweld 3. Lekken of manipuleren van informatie 4. Vandalisme 5. Fraude 6. Informatiediefstal 7. Hacking 8. Arbeidsonrust 9. Bewust toebrengen van imagoschade 10. Ongewenste intimiteiten 1. Diefstal 2. Agressie en geweld 3. Financiele fraude (nieuw) 4. Cybercrime / cybercriminaliteit 5. Vandalisme 6. Informatiediefstal 7. Intimidatie (nieuw) 8. Ongewenste intimiteiten 9. Arbeidsonrust 10. Bewust toebrengen van reputatieschade 1. Diefstal 2. Vandalisme 3. Agressie en geweld 4. Cybercrime/cybercriminaliteit 5. Financiële fraude 6. Informatiediefstal 7. Intimidatie 8. Hacking (nieuw!) 9. Identiteitsfraude (nieuw!) 10. Ongewenste intimiteiten

16 Registreren, leren, trainen, testen Kleine verschuivingen ten opzichte van vorige editie. Er wordt minder consequent geregistreerd, bijna incidenten worden vaker niet geregistreerd. Ruim 60% geeft aan op basis van incidentenevaluatie geregeld tot vaak het risicoprofiel van de organisatie of de veiligheidsmaatregelen aan te passen. Bijna 80% geeft aan regelmatig audits of realistische beveiligingstests te doen (vorige editie 70%). Een kleine 70% geeft tevens aan te trainen en te oefenen met/op securitydreigingen en -incidenten.

17 Stelling Eens Oneens 1. Security wordt binnen uw organisatie over het algemeen beschouwd als een 47,4% 52,6% kostenpost. 2. De security manager (van de toekomst) moet meer algemene management 50,7% 49,3% vaardigheden hebben, echte securityvak kennis is minder vereist. 3. De economische crisis lijkt voorbij; investeringen in security trekken aan. 59,2% 40,8% 4. Samenwerking tussen security en safety is essentieel voor beheersen van risico s. 85,5% 14,5% 5. Privacy waarborgen is belangrijk bij het werk van de security manager. 92,1% 7,9% 6. Door de komst van online security verandert het werk van de security manager. 78,9% 21,1% 7. Het idee dat de security manager alles kan beveiligen moet losgelaten worden, de focus 85,5% 14,5% ligt nu op bedrijfscontinuïteit. 8. Er is meer specialistische kennis nodig om de cybersecurity te kunnen waarborgen in de 65,8% 34,2% organisatie(s) waar ik werkzaam ben. 9. De organisatie(s) waar ik werkzaam ben, schenk(t)(en) veel aandacht, tijd en geld aan 53,9% 46,1% cybersecurity. 10. Cybercrime is de grootste securitydreiging voor (mijn) organisatie(s). 48,7% 51,3%

18 Opvallende resultaten deze editie Het budget van security manager is kleiner geworden. Security Management wordt meer als kostenpost gezien. Economische crisis heeft nog steeds invloed. De security manager is op een minder hoog niveau ondergebracht. Cybersecurity wordt veel genoemd als risico, maar samenwerking met ICT neemt af.

19 Opvallende resultaten deze editie De verantwoordelijkheid wordt steeds duidelijker vastgelegd. Budgetverantwoordelijkheid ligt in hogere mate op directieniveau. Wijze waarop het security beleid wordt uitgevoerd, gehandhaafd en geëvalueerd wordt minder incidentgedreven. Het securitybewustzijn wordt ook steeds hoger ingeschat.

20 Security Management 2020? Total convergence? Meer business continuity management? Meer samenwerking met ICT? Één safety&security-afdeling? Proactief?