Nationale IT-Security Monitor 2016: belangrijkste trends en investeringen in kaart gebracht

De Nationale IT-Security Monitor komt er weer aan. Net als in de vorige edities werkt Infosecurity Magazine samen met Pb7 Research om te onderzoeken wat de belangrijkste trends en investeringen op het gebied van IT-beveiliging in de zakelijke markt. Het onderzoek wordt dit jaar mede mogelijk gemaakt dankzij de steun van Platinum sponsors Sogeti en IBM en Gold sponsors TSTC en Sophos.

In het onderzoek proberen we veel vraagpunten over een aantal jaar heen ter herhalen, zodat we goed inzicht krijgen in de ontwikkelingen. Maar we borduren ook voort op de laatste bevindingen en houden onze ogen open voor nieuwe thema’s. Zo gaan we dit jaar weer goed kijken naar de impact van de cloud, hoe ‘compliant’ Nederlandse organisaties zijn op het gebied van databeveiliging en hoe de dreigingskaart voor organisaties er daadwerkelijk uitziet.

Cloud

Vorig jaar constateerden we een belangrijke verschuiving in de aandacht van de Nederlandse security-beslisser. Voor 38% van de Nederlandse organisaties met meer dan 50 werknemers bleek cloud het belangrijkste security thema. Daarmee kwam cloud met stip op nummer één. Waar organisaties eerder aangaven vooral de aandacht te richten op cybercrime (in algemene zin), web security en privacy, stond cloud een jaar eerder slechts op de vijfde plek.

Het toenemend gebruik van de cloud bezorgt IT-beveiligers veel hoofdbrekens. Aan de ene kant is er een sterke toename van het gebruik van cloudoplossingen binnen Nederlandse organisaties. Dat het volume toeneemt, is één ding. Maar ook de complexiteit van het cloudgebruik neemt alsmaar toe. Niet alleen neemt het aantal applicaties in de cloud toe, maar ook op het gebied van de infrastructuur (IaaS) omarmen organisaties in snel tempo een multi-cloud aanpak. En dan hebben we het nog niet eens over het gebruik van cloudoplossingen buiten IT op alle mogelijke niveaus: van de medewerker die Dropbox gebruikt, de manager die Salesforce binnenhaalt, tot aan de software ontwikkelaar die geen zin heeft om te wachten op een server.

Als we naar de uitkomsten van het onderzoek van vorig jaar kijken, is het sterk de vraag of Nederlandse organisaties wel opgewassen zijn tegen de security uitdagingen die de cloud met zich meebrengt. Hoe prijzenswaardig het ook is dat organisaties het cloudgebruik vooral proberen te kanaliseren, zul je als organisatie ook moeten accepteren dat (cloud-)gebruikers op enig moment data kwijtraken die in verkeerde handen terecht komt. En hoe je het ook wendt of keert, kwaadwillenden zullen een weg vinden om op je netwerk te komen, al is je netwerkbeveiliging nog zo goed. Vaak, maar zeker niet altijd, speelt de menselijke factor daarin een grote rol. Er is maar één werknemer met een verkeerde inschatting nodig om een inbreuk mogelijk te maken. Alle training in de wereld kan de frequentie verlagen, maar gaat het niet voorkomen. Het is dus zaak om data onbruikbaar te maken voor onbevoegden. In de nieuwe Nationale IT-Security Monitor zullen we dus opnieuw goed kijken naar hoe IT-beveiligers omgaan met de uitdagingen die de cloud met zich meebrengt en of het zwaartepunt in investeringen meer gaat verschuiven van netwerk- naar databeveiliging.

Wet- en regelgeving

2016 is ook het jaar van de Meldplicht Datalekken. En natuurlijk van de data protectie verordening waar deze meldplicht een onderdeel van is. Vorig jaar was bij 1 op de 4 directies deze verordening niet eens bekend en 37% zei dat het wel bekend was, maar dat er geen prioriteit aan werd gegeven. Dat werd gereflecteerd in de mate van voorbereiding op bijvoorbeeld de Meldplicht Datalekken. Een jaar geleden gaf slechts 15% van de IT-beveiligers aan klaar te zijn voor de Meldplicht. We zijn erg benieuwd of alle Nederlandse organisaties inmiddels alles op orde hebben en waar ze nog mee worstelen.

Nieuwe bedreigingen

We zullen dit jaar in de vragenlijst ook ruimte maken voor veranderende dreigingen. Wat we vooral willen weten, is met welke incidenten organisaties de afgelopen tijd mee te maken hebben gehad en of men schade heeft weten te voorkomen. Is 2016 bijvoorbeeld het jaar van de ransomware, of valt de impact eigenlijk wel mee? Nog even, en we hopen het u te kunnen vertellen.

Tenslotte

Er is één ding wat maar heel langzaam verandert aan IT-security. IT-security wordt nog altijd als een noodzakelijk kwaad beschouwd en daarmee als een kostenpost. Hoewel dat op zich niet onjuist is, wordt het alsmaar belangrijker dat IT-security op de radar is en blijft van de directie. De mogelijke impact van incidenten neemt ieder jaar sterk toe. Allereerst omdat cybercrime steeds beter georganiseerd is en in complexiteit toeneemt, vervolgens omdat wet- en regelgeving hele grote, hele scherpe tanden heeft gekregen en tenslotte omdat bedrijfsprocessen in snel tempo digitaliseren, waardoor inbreuken en verstoringen organisaties tot in het hart zijn gaan raken. Hoewel velen er de mond vol van hebben, hebben we in de monitor tot nog toe geen cultuurverschuiving waargenomen die hier recht aan doet. Zien we dit jaar het kantelpunt? Hou ons in de gaten!

Over de Nationale IT-Security Monitor 2016

De Nationale IT-Security Monitor is een jaarlijks terugkerend onderzoek op initiatief van Pb7 Research en Infosecurity Magazine. Het is een onafhankelijk onderzoek, dit jaar financieel mogelijk gemaakt door sponsors IBM, Sogeti, Sophos en TSTC. In het onderzoek kijken we naar de stand van zaken in de Nederlandse IT-security markt. Hoe ziet de security organisatie in elkaar? Hoe past het beleid zich aan aan de veranderende eisen van de markt? Waar liggen de prioriteiten op het gebied van investeringen? Ook kijken we ieder jaar naar een aantal specifieke onderwerpen.

Peter Vermeulen is directeur van Pb7 Research