回答者であるビジネスやテクノロジー、セキュリティの責任者の半数以上(55%)が、「最も重要なリスクに基づいてサイバーセキュリティ予算を編成できている」という自信を持てていないことが分かりました。また、「最も高いROI(Return on investment)をもたらすようなサイバーセキュリティ対策に予算を投入できている」という自信を持てていないことも判明しています(55%)。さらに、「深刻なサイバーインシデントへの対応に割り当てるリソースを調達できている」ことへの自信のなさ(55%)、「サイバーセキュリティ関連の支出に対し、対策の有効性をモニタリングするプロセスを持つことができている」ことへの自信のなさ(54%)も同様の数値を記録しました。
サイバーセキュリティ関連予算は、戦略的かつリスクに基づくデータドリブンな方法で、企業全体または事業単位の予算に紐付けられるようにすべきと考えられますが、回答者の53%は「現行のプロセスでこれを達成できている」という自信を持てていません。
さらに、今後のリスクへの対応について、「現状のサイバーセキュリティ関連予算で急成長するテクノロジーを適切に管理できる」とは考えていない(58%)ことも分かりました。
サイバーセキュリティへの支出に関する予算編成プロセスに自信を持てないことから、経営者からは「直ちに抜本的な見直しが必要である」といった声が聞かれました。また回答者の44%が「新たなプロセスを試行中であり、必要な予算を割り当てられるようCEOや取締役会を説得する最良の方法を検討中である」と述べています。しかし、回答者の3分の1以上が「テクノロジーの自動化や合理化によって、コストを抑えたまま自社のサイバーセキュリティ対策を強化できる」とも考えています。