Security wordt een strategische asset

ISM-#sp-4

IT-beveiliging is en blijft één van de belangrijkste aandachtspunten van IT binnen Nederlandse organisaties. Zonder IT-beveiliging zou iedere grote organisatie en ook de meeste MKB-bedrijven gierend tot stilstand komen. IT-beveiliging is daarom voor iedere organisatie een noodzaak, maar is het daarmee eigenlijk ook een noodzakelijk kwaad?

De meeste van de 150 respondenten in de Nationale IT-Security Monitor 2015 (NITSM 2015), security beslissers binnen organisaties met 50 of meer medewerkers, menen van wel. Maar security is ook meer. Meer dan 2 op de 3 respondenten geeft dat dat hun organisatie in security investeert om nieuwe producten en diensten succesvol aan te kunnen bieden bij hun klanten. En meer dan 2 op de 3 respondenten zegt dat in security wordt geïnvesteerd om processen te kunnen optimaliseren. In een wereld waar de inzet van ICT steeds meer bepalend wordt voor zakelijk succes, wordt security een strategische asset.

Het is goed om te zien dat bedrijven deze rol van security onderkennen. Maar vorig jaar constateerden we met de NITSM al dat er een groot kennisgat bestaat op het gebied van nieuwe technologie als cloud en mobile computing. Tegelijkertijd bleek de nadruk van de investeringen op de beveiliging van de perimeter te liggen bij de meeste bedrijven en veel minder op de beveiliging van de data zelf.

Een jaar later zien we dat de urgentie om de cloud te beveiligen veel beter is doorgedrongen. Voor 38% van de Nederlandse organisaties met meer dan 50 werknemers is cloud het belangrijkste security thema voor de komende 12 maanden. Daarmee komt cloud met stip op nummer één. In 2014 gaven organisaties aan vooral de aandacht te richten op cybercrime (in algemene zin), web security en privacy, en stond cloud pas op de vijfde plek. Maar dat de urgentie wordt onderkend, betekent allerminst dat Nederlandse bedrijven alles al op orde hebben. Net als vorig jaar onderkennen veel bedrijven niet over voldoende kennis te beschikken om cloudoplossingen goed te beveiligen en hetzelfde geldt voor mobiel gebruik. En om het probleem nog wat groter te maken: slechts 23% van de onderzochte beslissers zegt dat IT zicht heeft op alle cloudtoepassingen die gebruikt worden binnen de organisatie. En dus probeert IT allereerst en meer dan wat dan ook, om de grip op cloudtoepassingen te vergroten.

Deze maatregelen om het cloudgebruik veilig te houden, zijn vooral restrictief van aard. Er wordt geprobeerd om de wildgroei tot stand te brengen door te standaardiseren op leveranciers (35%) en men doet dat ook beduidend vaker dan vorig jaar. Daarnaast krijgen medewerkers vaak richtlijnen mee voor veilig cloudgebruik (32%). Tegelijkertijd zijn er wel steeds minder organisaties die beperkingen aan managers opleggen bij de aanschaf van cloudapplicaties. Misschien kunnen we beter zeggen dat managers zich steeds beperkingen laten opleggen. En dan wordt het lastig!

Als we naar deze uitkomsten kijken, kunnen we rustig stellen dat de meeste Nederlandse organisaties niet opgewassen zijn tegen de security uitdagingen die de cloud met zich meebrengt. Hoe prijzenswaardig het ook is dat men het cloudgebruik probeert te kanaliseren, zal men moeten accepteren dat (cloud-)gebruikers op enig moment data kwijtraken die in verkeerde handen terecht komt. Het is dus zaak om deze data onbruikbaar te maken voor kwaadwillenden. ‘Cloud’ is geen geïsoleerd probleem. In de hele security benadering van Nederlandse organisaties zien we in het onderzoek nog altijd te vaak het beeld van verbieden, te weinig kennis en aandacht voor nieuwe IT en nieuwe bedreigingen en het te zwaar leunen op perimeterbeveiliging doorgaan.

Investeringen en groei

Tussen de toename van het aantal dreigingen, de toenemende complexiteit daarvan, de veranderende technologie en het belang daarvan voor de organisatie, zou verwacht mogen worden dat organisaties het niet alleen belangrijk vinden, maar er ook voldoende aandacht aan besteden en er budget voor vrij weten te maken. Toch laat de NITSM 2015 zien dat de securitybudgetten onder druk komen te staan. Terwijl volgens de respondenten in 2014 het budget nog met 11% groeide, is de verwachting dat de groei in 2015 beperkt blijft tot 7% en dat de groei in 2016 niet verder komt dan 5%.

Zoals we al aangaven leggen Nederlandse organisaties nog altijd vaak de meeste prioriteit op de netwerkbeveiliging. Dat zien we terug als we vragen naar waar organisaties het meeste denken te gaan investeren. Zowel dit jaar als vorig jaar, gaf 45% van de ondervraagde organisaties aan vooral op dat gebied prioriteit te geven. Opvallend is dat we vorig jaar zagen dat men aangaf dat de investeringen op het gebied van identiteits- en toegangsbeheer zouden gaan afvlakken en dat het aantal bedrijven dat daar prioriteit aan geeft, stevig is gekrompen van 43% tot 29%.

Ook zien we in eerste instantie nog niet terug dat er de afgelopen tijd extra veel aandacht is voor het (on)veilige gedrag van medewerkers, die bijvoorbeeld al snel op een min of meer geloofwaardige link klikken of onzorgvuldig omgaan met inloggegevens. Ongeveer 1 op de 4 organisaties heeft het als een prioriteit aangemerkt, vrij weinig in vergelijking met de meeste andere investeringsgebieden.

Toch neemt de bereidheid om hierin te investeren sterk toe. Maar liefst 47% van de respondenten zegt dat de uitgaven hieraan zullen gaan toenemen. En dat sluit aan bij de aanpak van cloud security (en ook mobile security) zoals we die terugzien in het onderzoek: er wordt veel prioriteit gegeven aan het maken van spelregels voor het gebruik van technologie en misschien wel te weinig geïnvesteerd in de beveiliging op het technische vlak. Het probleem hierbij is dat dataverlies optreedt, hoeveel bewustzijnstraining je er ook tegenaan gooit. Je kan de schuld dan wel bij de gebruikers leggen, maar niet weglopen van je verantwoordelijkheid voor een goede databeveiliging. Zeker niet met de gevolgen die dataverlies voor de organisatie kan hebben.

Organisatie en Beleid

Hoewel er steeds meer wordt gesproken over de ‘CISO’, heeft maar een kleine groep bedrijven (12%) ook op papier een CISO aangesteld. Wel heeft een vrij grote groep bedrijven een hoofd informatiebeveiliging. Toch is het duidelijk dat er geen algemeen geldende blauwdruk is voor de verantwoordelijkheid voor IT-beveiliging en de organisatie daarvan. De reikwijdte van het IT-security beleid verschilt al even veel van organisatie tot organisatie.

Veel organisaties geven aan beleid te hebben geformuleerd op het gebied van databeveiliging, privacy – sterk in opkomst de laatste jaren, en gedragsregels voor gebruikers. Maar veel organisaties ook niet. Maar wat belangrijker is, net als vorig jaar wordt er maar in beperkte mate beleid geformuleerd omtrent wat te doen met technologische vernieuwing, terwijl veel respondenten aangeven daar over onvoldoende kennis te beschikken. Security blijkt zelfs minder invloed te hebben op de technologische keuzes dan vorig jaar. Terwijl managers steeds meer zelf technologische keuzes maken, lijkt het er op dat steeds minder organisaties tijdig security in dat proces weten aan te schuiven. Daar staat gelukkig wel tegenover dat steeds meer organisaties beleid hebben rond het testen van nieuwe toepassingen. Hoe dan ook, we blijven het over een minderheid van de organisaties hebben die echt beleid maken rond de introductie van nieuwe technologie binnen de organisatie, terwijl juist daar grote veiligheidsrisico’s op de loer liggen.

Voortuitgang

Vorig jaar concludeerden we dat Nederlandse IT-beveiligers prima bezig zijn, maar zich meer richten op het beveiligen van het verleden dat het beveiligen van de toekomst. Daarmee doelden we op het gebrek aan kennis op het gebied van nieuwe technologie die de organisatie binnenkomt, zoals cloud en mobiel en ook het gebrek aan aandacht hiervoor. Dit jaar kunnen we alleen maar concluderen dat er de afgelopen 12 maanden wat begint te veranderen. Vooral het bewustzijn dat IT-security hier meer bovenop moet zitten, is duidelijk gegroeid. In de praktijk lijkt er echter nog maar bitter weinig veranderd. Er is dus nog een hoop werk aan de winkel. Hopelijk zien we de resultaten daarvan het komende jaar terug.

Over de Nationale IT-Security Monitor 2015

De Nationale IT-Security Monitor is een jaarlijks terugkerend onderzoek op initiatief van Pb7 Research en Infosecurity Magazine. Het is een onafhankelijk onderzoek, dit jaar financieel mogelijk gemaakt door sponsors Centric, HP Nederland, Sogeti, Sophos en TSTC. In het onderzoek kijken we naar de stand van zaken in de Nederlandse IT-security markt. Hoe ziet de security organisatie in elkaar? Hoe past het beleid zich aan aan de veranderende eisen van de markt? Waar liggen de prioriteiten op het gebied van investeringen? Ook kijken we ieder jaar naar een aantal specifieke onderwerpen. Dit jaar ging het onder meer om SIEM, managed services, training en opleiding en cloud security.

 
Meer over
Lees ook
Fortinet: 80% fabrikanten kreeg te maken met onbevoegde toegang tot data na inbreuk

Fortinet: 80% fabrikanten kreeg te maken met onbevoegde toegang tot data na inbreuk

Fortinet heeft samen met Manufacturers Alliance een onderzoek uitgevoerd naar beveiligingsrisico’s bij productiebedrijven. Daarbij werd onder andere gevraagd naar beveiligingsincidenten, de stand van zaken rond de samenwerking tussen IT-teams en operationele technologie (OT)-teams en audits op OT-beveiliging. Uit het onderzoek bleek onder andere d1

Verizon Business 2023 Mobile Security Index: stem beveiliging af op zakelijke vereisten

Verizon Business 2023 Mobile Security Index: stem beveiliging af op zakelijke vereisten

Verizon Business brengt het 2023 Mobile Security Index (MSI) rapport uit. Deze zesde editie van het rapport presenteert de topdreigingen voor het beveiligen van mobiele apparaten. Het MSI-rapport bevat inzichten en best practices van partners Akamai, Fortinet, Lookout, Allot, IBM, Proofpoint, Check-Point en Ivanti die organisaties ondersteunen bij1

ISACA: kloof in cyberskills maakt bedrijven kwetsbaar voor aanvallen

ISACA: kloof in cyberskills maakt bedrijven kwetsbaar voor aanvallen

ISACA lanceert vandaag nieuw onderzoek naar de staat van cyberbeveiliging. Uit het onderzoek, ‘State of Cybersecurity 2023’, blijkt dat de helft (52%) van cybersecurity-professionals die een jaar geleden een toename of afname zagen in het aantal cyberaanvallen, nu meer cyberaanvallen ervaren.