Grote bedrijven hebben hun IT-beveiliging niet beter op orde dan kleinere bedrijven

Wereldwijd onderzoek van RSA, de security-divisie van EMC, wijst uit dat grote bedrijven hun IT-beveiliging niet per se beter op orde hebben dan kleinere bedrijven. RSA trekt deze conclusie in zijn Cybersecurity Poverty Index die is opgesteld na onderzoek onder 400 security-professionals uit 61 landen. Zij moesten voor dit onderzoek zelf de volwassenheid van hun cybersecurity-programma vaststellen door het NIST Cybersecurity Framework (CSF) als maatstaf te gebruiken.

De security-professionals hebben hun bedrijf punten toegekend op de volgende thema’s: Identify, Protect, Detect, Respond en Recover. Dat geeft een beeld van hoe volwassen zij hun organisatie, allen variërend in grootte, industrie en geografie, achten op het gebied van cybersecurity. Hier kwam uit naar voren dat maar liefst 75 procent van de bevraagde professionals, de security-volwassenheid van zijn of haar organisatie onvoldoende vindt.

Veel security-incidenten
Dat gebrek aan volwassenheid is in wezen niet vreemd, omdat veel van de onderzochte bedrijven het afgelopen jaar te maken kregen met security-incidenten die resulteerden in schade of verlies. Bedrijven voelen zich het meest volwassen op het gebied van ‘Protection’. Uit de onderzoeksresultaten komt naar voren dat het meest volwassen onderdeel van cybersecurity in veel organisaties in preventie zit. Een opvallende uitkomst aangezien preventieve strategieën en -oplossingen vaak onvoldoende bescherming bieden. Dit vanwege almaar geavanceerdere aanvallen.

Achilleshiel in cybersecurity-risico’s
De grootste achilleshiel van de onderzochte organisaties is het vermogen om cybersecurity-risico’s te meten en aanvallen af te weren. Zeker 45 procent geeft aan dergelijke mogelijkheden niet in huis te hebben of alleen ad hoc toe te passen. Slechts 21 procent geeft aan volwassen te zijn op dit gebied. Het gebrek hieraan maakt het moeilijk, of zelfs onmogelijk, security-activiteiten en -investeringen te prioriteren.

Investeren in Detect & Respond
Het onderzoek laat verder zien dat de omvang van een organisatie niets zegt over zijn volwassenheid. Zo geeft 83 procent van de onderzochte organisaties met meer dan 10.000 werknemers aan dat de volwassenheid op het gebied van cybersecurity onder het niveau ‘ontwikkeld’ scoort. Bij die organisaties lijkt er behoefte aan meer ervaring met, en inzicht in geavanceerde bedreigingen. De lage scores die de respondenten zichzelf geven, lijken te wijzen op een groeiende behoefte naar ‘detect-’ en ‘respond’-oplossingen, om tot volwassen security te komen.  

Sectoren
Opmerkelijk zijn de resultaten in de financiële sector, die vaak gezien wordt als meest volwassen op het gebied van security. Ondanks dit imago beoordeelt slechts een derde van de respondenten in deze industrie zijn organisatie als ‘goed voorbereid’. Ook bedrijven die actief zijn op het gebied van kritieke infrastructuren, de oorspronkelijke doelgroep van het CSF, moeten significante stappen zetten richting volwassenheid. De helft van de respondenten in deze sector geeft aan een ‘enigszins ontwikkeld’ of ‘geavanceerd’ beleid te hebben op het gebied van cybersecurity. Dat percentage is bij de overheid slechts 18 procent, waarmee het duidelijk de hekkensluiter vormt in dit onderzoek.

Ondanks dat het CSF is ontwikkeld in de Verenigde Staten, geven organisaties in EMEA en APJ zichzelf een hogere score. Vooral organisaties in APJ (Azië, Pacific en Japan) scoren hoog, waarbij 39 procent zijn cybersecurity-volwassenheid als ‘ontwikkeld’ of zelfs ‘geavanceerd’ bestempelt. Dit percentage ligt in EMEA en Noord- en Zuid-Amerika op respectievelijk 26 procent en 24 procent.

Corné van Rooij (foto), District Manager Benelux van RSA: “Dit onderzoek laat duidelijk zien dat ondernemingen nog steeds veel investeren in next generation firewalls, anti-virus en geavanceerde malware-beveiliging in de hoop dat geavanceerde bedreigingen worden gestopt. Ondanks deze investeringen voelen zelfs de grootste bedrijven zich niet optimaal beschermd tegen de dreigingen waar ze mee te maken krijgen. Deze situatie is het resultaat van de huidige security-modellen, die enkel focussen op preventie om geavanceerde bedreigingen het hoofd te kunnen bieden. We moeten onze manier van denken over security veranderen en dat begint bij het onderkennen dat alleen preventie niet meer werkt en dat er meer aandacht uit moet gaan naar strategieën die gebaseerd zijn op detectie en respons.”

WK