Onderzoek: Nationale IT-Security Monitor 2015
Het is alweer een bijna een jaar geleden dat de Nationale IT-Security Monitor voor het eerst het licht zag. Op initiatief van FenceWorks, de uitgever van Infosecurity Magazine heeft Pb7 Research een jaarlijks terugkerend onderzoek opgestart om in kaart te brengen hoe Nederlandse organisaties omgaan met IT-beveiliging. In plaats van in te gaan op het aantal incidenten, kijken we daarbij naar hoe IT-beveiliging georganiseerd wordt, hoe er wordt geïnvesteerd, hoe bedrijven omgaan met het veranderende dreigingsveld en welke uitdagingen ze daarbij tegenkomen. Ook gaan we ieder jaar in op een aantal specifieke thema’s. In 2014 ging het bijvoorbeeld om cloud security, databeveiliging en trainingen.
Het onderzoek wordt onafhankelijk opgezet en uitgevoerd en wordt gefinancierd met behulp van een aantal sponsors. Dit jaar zijn dat Centric, HP, Sogeti, Sophos en TSTC.
Conclusies en vervolgonderzoek
Het afgelopen jaar kwamen we tot een aantal interessante conclusies, die we dit jaar zeker verder moeten gaan onderzoeken. De voornaamste conclusie was dat IT-beveiliging zich vooral richt op de IT van gisteren en minder aandacht heeft voor de technologie die nieuw de organisatie binnenkomt. De helft van de bedrijven gaf aan te weinig kennis te hebben om cloudoplossingen veilig te kunnen gebruiken. Hetzelfde blijkt het geval te zijn voor mobiele toepassingen. Er blijkt dan ook nog heel veel geïnvesteerd te worden in netwerkbeveiliging, terwijl de aandacht juist steeds meer zou moeten verschuiven naar databeveiliging. Dit jaar gaan we wederom kijken waar het security budget aan wordt uitgegeven en of er meer richting nieuwe technologie als cloud en mobiel gaat.
Privacy
Een tweede conclusie was dat privacy in een hele korte tijd zich bovenaan de agenda heeft weten te nestelen. Hoewel we met de vinger naar bijvoorbeeld de NSA zouden kunnen wijzen, heeft dat vooral de maken met de langzaam maar zeker aanstormende algemene dataprotectie verordening en de daarop vooruitlopende nationale wet- en regelgeving. De meeste Nederlandse organisaties kiezen ervoor om toch maar vooral op het laatste moment klaar te zijn. Opvallend is ook dat organisaties uit de zorg zich er het minste druk om maken, terwijl daar juist de urgentie het hoogst zou moeten zijn. Ook dit jaar gaan we weer kijken hoe Nederlandse organisaties vorderen en of de zorgsector aan de inhaalslag begint.
Concurrentievoordeel
Een derde conclusie is dat bedrijven die IT-security solide én flexibel weten in te richten steeds meer een concurrentievoordeel weten te realiseren. Steeds meer producten en diensten zijn sterk IT-afhankelijk en vereisen een naadloos functionerende IT-omgeving. Veel innovaties lopen stuk doordat security te laat aanschuift bij productontwikkeling. Bedrijven die secure en private by design effectief weten te implementeren (iedereen zegt het te doen, maar de praktijk blijkt weerbarstig) en een flexibele, veilige omgeving weten te creëren, verkorten hun time-to-market en voorkomen zo goed als mogelijk gênante fails. Dit jaar willen we verder kijken naar de relatie tussen security en zakelijk succes.
Ook vonden we dat organisaties steeds meer op zoek zijn naar de juiste partners op het gebied van IT-beveiliging. Natuurlijk bouwt niemand meer zijn eigen virusscanner of firewall, maar veel organisaties erkennen dat de complexiteit van IT-beveiliging dermate toeneemt, dat meer hulp van buitenaf noodzakelijk wordt. Steeds meer bedrijven denken zelfs voor de regie op IT-beveiliging binnen enkele jaren een strategische partner te hebben. Dit jaar willen we ook dit verder onderzoeken. Wat zijn de ontwikkelingen op het vlak van managed services? En in welke mate lopen bedrijven warm voor (managed) SIEM, een dienst waar veel aanbieders zich flink warm beginnen te lopen.
Ondanks alle verbeterpunten zien we in de resultaten en de vele discussies die volgden, dat organisaties in Nederland het helemaal niet zo slecht doen. Er is vaak een duidelijke visie voorhanden, men erkent wel dat er verbeterpunten zijn, zet zich daarvoor in en men vindt uiteindelijk wel de benodigde budgetten, hoewel het natuurlijk nooit genoeg is. In vergelijking met veel andere landen, zijn we zelfs wat aan de risicomijdende kant. We willen met dit onderzoek juist niet aansluiten bij de gebruikelijke FUD-communicatie (Fear, Uncertainty & Doubt) rond security. Behalve dat niemand nog schrikt van het vreselijke dat de vaak wel heel verre buurman is overkomen, doet het geen recht aan de zakelijke bijdrage die security iedere dag aan iedere organisatie levert. Liever gaan we op zoek naar hoe bedrijven meer zakelijk voordeel weten te realiseren doordat ze hun beveiliging goed voor elkaar hebben.
Peter Vermeulen is directeur van Pb7 Research