Smart Profile: security-budget en aandacht voor awareness maken groei door
Meer aandacht voor security awareness; een toenemende focus op authenticatie en endpoints versus netwerken en cloud: het zijn enkele van de voornaamste conclusies uit het tweede Dutch IT Security-onderzoek van Dutch IT-channel en markt intelligentiebureau Smart Profile. Net als vorig jaar blijft business continuity en disaster recovery van groot belang in het licht van het toenemende aantal (succesvolle) ransomware-aanvallen, stelt Jurgen Verheijen van Smart Profile. Ook is bij zo’n 20 procent van de organisaties de IT-dienstverlener in de lead als het gaat om security-beslissingen. “Vooral kleinere organisaties hebben vaak zelf niet de juiste kennis hiervoor in huis en vertrouwen dus op hun trusted advisor.”
Dutch IT-channel en Smart Profile hebben dit jaar voor de tweede keer het Dutch IT Security-onderzoek uitgevoerd onder security-beslissers van Nederlandse organisaties. 74 respondenten hebben hieraan meegewerkt. In het onderzoek staat IT Security in Nederland centraal, vooral het perspectief van de IT-beslisser. Daarbij wordt stilgestaan bij het budget, het totale securityplan en beleid rondom IT-security.
Hele grote verschuivingen zijn er tussen beide onderzoeken (2020, 2021) niet zichtbaar, stelt Jurgen Verheijen, Marketing Lead Link Smart Profile. Wel is er duidelijk meer aandacht gekomen voor security awareness naast technologie. Dat blijkt onder meer uit de groei in het aantal trainingen op dit gebied in vergelijking met de uitkomsten van het onderzoek vorig jaar.
Verder is het – niet onlogisch gezien de versnelde digitalisering door Covid – dat de meeste bedrijven meer budget beschikbaar stellen voor security. Een groter deel van het IT-budget gaat naar security. Zat dat vorig jaar meer tussen de 0 en 15 procent, het afgelopen jaar is dat richting 20 procent opgeschoven. De toenemende cyberdreigingen en een structurele verschuiving naar thuiswerken brengt veel organisaties ertoe om hun security te moderniseren, of zelfs helemaal te vernieuwen in de komende jaren.
Authenticatie wint aan belang
Dit jaar is ook gevraagd naar welke thema’s men ziet rondom de noodzaak van security. Daarbij komen (multifactor-) authenticatie, identity en access bovengemiddeld vaak naar voren, stelt Verheijen. Er wordt relatief gezien minder gekeken naar de beveiliging van het netwerk en meer naar de beveiliging van toepassingen en data.
“Men wil er zeker van zijn dat alleen de juiste mensen toegang hebben tot bepaalde informatie en systemen. Verder is er meer aandacht voor protocollen rondom ransomware en phishing als onderdeel van het security-beleid. Los van awareness-training is het belangrijk dat mensen weten hoe ze moeten handelen na een ransomware-aanval of wat ze met een phishing-mail moeten doen.”
Daarbij is er volgens Verheijen ook meer aandacht voor de manier waarop specifieke afdelingen in een organisatie, zoals administratie, HR, finance of het C-level, benaderd worden met zaken zoals phishing-tools. “Denk aan de aanpak van CEO-fraude. Kortom, ook hier kijkt men vaker verder dan alleen de technologie voor security.”
De toenemende aandacht sinds de Covid-crisis voor endpoints – zoals van alle thuiswerkende mensen – betekent ook een verschuiving weg van aandacht voor cloud-security, concludeert Verheijen op basis van alle reacties. “Dat betekent niet dat men netwerken, applicaties en cloud-toegang minder beveiligt, maar wel dat authenticatie relatief gezien aan belang gewonnen heeft.”
BCDR blijft belangrijk
Business continuity & disaster recovery (BCDR) blijven belangrijk in het verlengde van security. Ondanks alle beveiligingsmaatregelen gaat het toch regelmatig mis. Dan is vooral belangrijk hoe snel je weer toegang hebt tot data en systemen en hoe snel je dus weer in business bent, merkt Verheijen op. “Het ligt er ook aan hoe belangrijk gedigitaliseerde processen zijn en wat men erin wil of kan investeren om zo snel mogelijk weer up & running te zijn. Ongeveer de helft van alle respondenten accepteert een downtime van maximaal enkele uren.”
Een ander belangrijk onderwerp is de keuze van veel bedrijven voor een multivendor-strategie. Aan de ene kant beperkt dit een vendor lockin en afhankelijkheid, maar aan de andere kant wordt security er niet eenvoudiger op naarmate je meer producten van diverse vendors gebruikt. Het is in de praktijk ook vrijwel onmogelijk om één enkele vendor te vinden die aan alle security-behoeften van een organisatie kan voldoen, ziet Verheijen.
“Bovendien zijn er voortdurend verschuivingen. Zo zie je nu dat Fortinet door groei in bepaalde markten Cisco voorbij gaat. En je hebt wisselende marktleiders in deelmarkten en sectoren, zoals Trend Micro of Microsoft. Elke partij heeft bepaalde USP’s die sommige organisaties meer aanspreken en andere minder. Vendors kunnen wel zeggen dat ze voor elk security-probleem een oplossing hebben, maar IT-beslissers zien dat toch anders.”
In de lead bij security
Ook interessant vindt Verheijen de zeer wisselende reacties op de vraag wie IT-beslissers vinden dat er in de lead is op het gebied van security in hun organisatie. “Soms is dat de business, soms de IT, soms de CISO en soms ook de IT service provider. Het zal er ook mee te maken hebben hoe groot een organisatie is, of men bijvoorbeeld een eigen CISO heeft of een eigen IT-afdeling.”
Bij zo’n 20 procent van de organisaties is de belangrijkste IT-dienstverlener in de lead op het gebied van security. Bij kleinere organisaties is dit vaker het geval. Men heeft vaak geen eigen IT-afdeling en dus ook niet de security-kennis. Maar ook als ze niet in lead zijn, hebben deze dienstverleners een belangrijke rol, zoals in de keuze voor het soort oplossingen en diensten. Vooral als het gaat om het ontzorgen van een organisatie wordt de IT-dienstverlener als zeer belangrijk gezien.
Compliance ligt bij business
Voldoen aan wet- en regelgeving, compliance, juridische aspecten, hebben een toenemende invloed op security-beslissingen, schetst Verheijen tot slot. “Dit ligt wel vrijwel altijd op directieniveau, al hebben sommige organisaties aparte functies op gebieden zoals AVG of compliance. Het is in ieder geval meestal meer een business- of juridisch element, dan dat het bij IT ligt.”
Auteurs: Martijn Kregting en Witold Kepinski
