De illusie van cybersecurity
Waarom IT-professionals overmoedig zijn en organisaties kwetsbaar blijven
Een greep uit recent securitynieuws: bij een Haarlems bedrijf zijn gegevens van honderdduizenden mensen gestolen; de website van de Staten-Generaal wordt platgelegd met een DDoS-aanval en een woningcorporatie betaalt tonnen aan losgeld na een ransomware-aanval. Cyber secure? Not so much. Toch denkt 63,1% van IT-professionals dat hun organisatie voldoende weerstand biedt tegen cyberaanvallen. Dit blijkt uit ons eigen recente onderzoeksrapport, ‘Smarter Security’. Maar is die zekerheid wel terecht?
Na het rapport in 2020 hebben we voor de tweede keer onderzoek gedaan naar hoe Nederlandse IT-professionals de weerbaarheid van hun organisaties beoordelen. Is de situatie in de afgelopen jaren verbeterd? De resultaten schetsen een vergelijkbaar beeld. In 2020 dacht maar liefst 70,3% van de onderzochte bedrijven genoeg weerstand te hebben. Die gedachte was destijds wat naïef, omdat basismaatregelen, zoals patching, vaak niet op orde waren. Ook nu, met bijna 300 cyberaanvallen per week volgens de KvK, is de vraag of er nog steeds een te grote kloof is tussen perceptie en werkelijkheid.
Kijk verder dan je audit lang is
Een veilige IT-omgeving begint met inzicht. 69,7% van de ondervraagde IT-professionals weet waar hun organisatie kwetsbaar is én zegt daar gerichte maatregelen op te hebben genomen. Maar daarmee heeft bijna één op de drie organisaties het dus nog niet op orde en valt er nog heel wat te winnen. Het onderzoek laat ook zien dat geavanceerdere monitoringtools, zoals IDP- en SIEM-oplossingen, door een meerderheid van de bedrijven nog niet worden ingezet.
Het helpt niet dat er met name wordt vertrouwd op audits (bij 55,9% van de organisaties) om de weerbaarheid van de organisatie te toetsen. Tussen deze momentopnamen kan namelijk ontzettend veel gebeuren, zeker gezien de vliegensvlugge technologische ontwikkelingen van vandaag. Doorlopende toetsing van de cybersecurity is dan ook broodnodig, met technieken zoals applicatie code testing en vulnerability scanning.
To patch or not to patch
De snelheid waarmee patches en updates worden doorgevoerd, geeft een indicatie hoe organisaties daadwerkelijk omgaan met hun kwetsbaarheden. Cybercriminelen maken dankbaar misbruik van bekende kwetsbaarheden in IT-systemen die niet (op tijd) worden verholpen. Toch kiest 84,6% van de respondenten er soms voor patches en updates niet te installeren. Bijvoorbeeld omdat de impact op de organisatie niet goed kan worden ingeschat, of simpelweg wegens tijdgebrek.
Dit is begrijpelijk wanneer je als organisatie nog veel legacy-applicaties in huis hebt, maar uiteindelijk zijn er weinig valide redenen voor uitstel. Vaak is het een symptoom van onderliggende problemen, zoals achterstallig lifecycle management. En het is veel beter om die onderliggende problemen aan te pakken.
Ondanks dat patching nog vaak wordt uit- of afgesteld, is er wel meer besef over het belang ervan. Met name onder management is er minder weerstand. Waar in 2020 in 37,8% van de gevallen werd afgezien van patching omdat management vreesde voor de bedrijfscontinuïteit, is dat nu met 16,7% fors lager.
Capaciteit zit security in de weg
Een goede ontwikkeling: de afgelopen jaren is de perceptie van security van ‘nice-to-have’ tot een ‘must-have’ getransformeerd. Zorgelijk is wel dat het begrip ‘capaciteitsgebrek’ als een rode draad door de resultaten van het onderzoek loopt. Ruim één op de vijf respondenten geeft aan dat er onvoldoende capaciteit is om tijdig te patchen, en voor 42,1% is het topprioriteit om de nodige kennis aan boord te krijgen.
IT-talent is schaars en de middelen die tot je beschikking staan zijn niet oneindig. Daardoor moet je voortdurend afwegingen maken: zet je je beperkte capaciteit in voor security of voor innovatie en bedrijfsgroei? Dit kan een goed argument zijn voor IT outsourcing. Door het technische beheer van de infrastructuur en bedrijfsnetwerken buiten de deur te zetten, speel je de tijd, kennis en ervaring van je interne teams vrij voor het versterken van je concurrentiepositie. Maar besef wel dat hier specialistische kennis voor nodig is. Niet alleen om de kosten onder controle te houden. Ook security moet je in de cloud vanaf het begin goed aanvliegen.
Met het ‘vrijspelen’ van interne teams komt ook gemoedsrust. Zo kun je bij het volgende Solvinity-onderzoek terecht zeggen dat jouw organisatie prima weerstand kan bieden tegen cybercriminelen.
Download het volledige rapport met de belangrijkste onderzoeksresultaten en mogelijkheden om jouw IT-omgeving verder te beveiligen tegen cybersecurityrisico’s.
Meer inzicht nodig in effectieve cybersecurity maatregelen? Nieuwsgierig hoe je (beter) omgaat met capaciteitsgebrek, of jouw IT-budget beter kunt verdelen? Of twijfel je of jouw cybersecurity up to date is? Solvinity denkt graag met je mee en helpt je bij het vinden van een passende oplossing. Neem vrijblijvend contact met ons op voor meer informatie.
Download het Smarter Security onderzoeksrapport
Cyber Security 2023
Wil je meer weten over effectieve cybersecurity maatregelen, verschillende methoden van securitytesting en de verdeling van IT-budget? Download nu het onderzoeksrapport!
Lees ook
Meer
De complexe wereld van IT-regelgeving voor gemeenten
Voor IT- en compliance-verantwoordelijken bij gemeenten wordt de wereld steeds complexer. Naast de dagelijkse uitdaging om...
READ MORESecurity controls in hybride cloudomgevingen
Een holistische benadering van security controls is cruciaal voor het verhogen van de digitale weerbaarheid.
De stand van cybersecurity in de financiele sector in Nederland
Bedreigingen worden steeds geavanceerder, regelgeving wordt strenger en de druk op IT-professionals blijft toenemen.