Dutch IT Security Day: meer budget en awareness, uitdagingen blijven

Er is structureel meer budget voor cybersecurity; de awareness over de gevaren van cybercriminaliteit groeit onder medewerkers van organisaties. Dat zijn twee van de belangrijkste uitkomsten van het Dutch IT Leaders Security Survey 2022. Dit onderzoek van Smart Profile en Dutch IT Channel onder CIO’s en CISO’s werd mede mogelijk gemaakt door Veeam, Cloudian en Trend Micro. Tijdens de Dutch IT Security Dag op donderdag 1 december in de Amersfoortse Rijtuigenloods, werden de resultaten van het onderzoek bekend gemaakt en onder de loep gehouden tijdens een paneldiscussie.

“Niemand van de respondenten zegt dat budgetten of awareness dalen”, vertelde Erik van Gurp, data-analist bij Smart Profile, aan moderator Danny Frietman. “Een derde geeft aan dat budgetten gelijk blijven, maar twee derde stelt dat ze stijgen.” Dit is ook te zien bij de mate van bewustzijn onder medewerkers over de gevaren van cybercriminaliteit, zoals phishing en ransomware. “25 procent van de CIO’s en CISO’s ziet dat het ongeveer gelijk blijft, en maar liefst driekwart ziet een toename. Het geven van trainingen helpt hierbij: 65 procent van de organisaties doet dit, vaak organisatiebreed.”

Awareness belangrijkste uitdaging

Frappant is volgens Van Gurp dat ondanks de toename van awareness, dit bewustzijn volgens 55 procent van de respondenten ook de komende jaren nog de belangrijkste uitdaging blijft. Mogelijk heeft dit te maken met het feit dat, ondanks stijgende budgetten en awareness, ook het aantal (ernstige) cyberaanvallen groeit. Afgelopen jaar had volgens het onderzoek 30 procent van de organisaties een serieus cyberincident meegemaakt.

Verder bleek volgens Van Gurp nog dat volgens maar liefst 87 procent van de respondenten hun organisatie beschikt over een disaster recovery of business continuity-plan, voor wanneer het toch fout gaat. Overigens geeft 11 procent aan dat dit plan nog alles behalve sluitend is.

Een heel relevant inzicht uit het onderzoek, zo reageerde Vincent van der Linden, director sales Nordics, Benelux, Midden-Oosten & Frankrijk bij Cloudian (object storage), tijdens de paneldiscussie die volgde op de presentatie van het onderzoek. “De noodzaak voor zo’n plan is iets dat wij iedere dag met klanten bespreken. We merken dat de organisatie als geheel steeds meer betrokken raakt. De awareness wordt beter en de gebruiker krijgt inspraak. Security wordt niet langer alleen als IT-probleem gezien.”

Draaiboek relevant houden

Als kanttekening stelt Van der Linden wel dat plannen en draaiboeken snel verouderen, zeker op papier. “Zorg dat het draaiboek relevant blijft. En nog belangrijker: ervaar zo’n draaiboek of checklist niet als een verplicht afvinklijstje, maar zorg ervoor dat het je echt kan helpen. Anders is het een verplichte invuloefening. Hou het dynamisch en beschikbaar en als het fout gaat, leer daar dan van en pas het draaiboek aan.”

Sander Schreven, manager presales Veeam Benelux (backup, recovery & datamanagement), onderstreept dit. “Als je een draaiboek hebt voor wanneer het mis gaat – en zorg er anders voor het zo snel mogelijk te krijgen – test het dan ook regelmatig. Veel organisaties doen dit niet. En als je vraagt of er iets is gedaan met verbeterpunten uit die testen, valt het meestal stil. zorg dat je weet wat je moet doen als je het plan nodig hebt.”

Groeiend bewustzijn

Security-aanbieder Trend Micro herkent uit het onderzoek vooral de trend dat het bewustzijn over het belang van security steeds groter wordt”, vertelde Pieter Molen, technisch directeur Trend Micro Benelux. “Positief om te zien dat Cybersecurity steeds meer wordt gezien als cruciaal om business continuity te waarborgen. Ik herken uit het onderzoek dat budgetten en awareness stijgen. Maar uit mondiaal onderzoek van Trend Micro zelf blijkt dat van de IT-verantwoordelijken voor security de helft vindt dat begripsvorming over security op C-level nog niet goed is ontwikkeld. Het idee is vaak dat als men vorig jaar al heeft geïnvesteerd, men nu toch wel veilig is? Maar de wereld verandert continu, dus je zult ook je maatregelen continu moeten actualiseren aan de aanvalstechnieken die steeds door ontwikkelen.”

Heel herkenbaar voor Schreven is juist het budget-aspect. “Dat komt bij veel klantgesprekken naar voren. Ik denk dat het op peil houden, laat staan vergroten van security-budgetten voor veel organisaties al een uitdaging is. Maar een net zo grote uitdaging is het om de mensen met de juiste skillsets te vinden voor je IT-teams. Dat is een marktbreed probleem. Als je al geld beschikbaar hebt, hoe vind je dan de mensen om je security op peil te houden?”

Schreven stelt ook dat hij de eerdergenoemde 30 procent organisaties die een serieus cyberincident heeft meegemaakt, nog aan de lage kant vindt. “Ik denk dat veel meer bedrijven wel een keer geïnfecteerd zijn of hier nog mee te maken hebben, maar zich er nog niet bewust van zijn. Dat is eigenlijk mijn grootste zorg.”

Molen vult aan dat die 30 procent al een behoorlijk percentage is van bedrijven die ervoor uit durven te komen dat ze getroffen zijn. “Het is vaak een enorm leermoment om zaken voortaan anders aan te pakken. Een enabler die bewustwording kan vergroten over wat goed toepassen van cybersecurity betekent. Maar blijft te vaak nog een onderwerp waar niet open over wordt gesproken. Alleen: als je het al niet aan de markt vertelt – en sommige zaken moet je wel melden – moffel het dan in ieder geval niet voor jezelf weg. Zorg dat je weet wat er is gebeurd, zodat je dit kan aanpakken voor een volgende keer.”

Verantwoordelijkheid naar C-level

Uit het onderzoek blijkt verder dat de verantwoordelijkheid voor cybersecurity veel meer op C-level terecht is gekomen. Dat is een beeld dat volgens Van der Linden grotendeels klopt. “IT is veel meer geworden dan een backup regelen of een SOC inrichten. Nu wordt er van de IT’er verwacht dat die op business-niveau kan meepraten en daar zijn de meeste IT’ers niet voor aangenomen. Cloudian krijgt dan ook– meestal als het al een keer is misgegaan – van IT’ers steeds vaker de vraag: hoe kan ik hierover het gesprek op businessniveau voeren binnen mijn organisatie? Voorheen ging het veel meer over technologie en use-cases. Wat, waar en hoe te beveiligen. Nu zie je ook dat de organisatie breder bij dit soort gesprekken betrokken wordt.”

Uit mondiaal onderzoek van Trend Micro zelf blijkt dat van de IT-verantwoordelijken voor security de helft vindt dat begripsvorming over security op C-level nog niet goed is ontwikkeld, nuanceert Molen. “Het idee is vaak dat als men vorig jaar al heeft geïnvesteerd, men nu toch wel veilig is? Maar de wereld verandert continu dus je zult ook je security voortdurend moeten aanpassen.”

Ook awareness is een continu proces, meent Schreven van Veeam. “We horen vaak dat medewerkers vorig jaar al een training gehad hebben. Maar awareness is net als security een continu proces in een organisatie. En doe dat op een leuke manier. Hou mensen aan boord middels gamification, of via incentives.”

Vendors kunnen hier helpen, antwoordt Molen op een vraag van moderator Frietman. “Wij zitten als Trend Micro niet alleen op awareness, maar op bredere begripsvorming van hoe cybersecurity in een organisatie goed aan te pakken. Onze boodschap is: verzorg een proces waardoor je continu veilig blijft. We helpen hier onder meer bij door phishing-testen aan te bieden zodat organisaties kunnen kijken wie erop klikt, en die op vriendelijke wijze kan helpen met een training. We doen dit intern ook en ook bij ons klikken er collega’s nog op. Belangrijk is dat je als organisatie duidelijk maakt dat iemand zich hier niet voor hoeft te schamen en dat het helpt om awareness bij collega’s te creëren door hierover te praten.”

100 procent bescherming is illusie

Tot slot blijkt uit de survey dat organisaties over het algemeen vrij tevreden zijn over de vendors die hen helpen, met een gemiddeld cijfer van een 7,4. Schreven vindt zo’n cijfer echter een vertekend beeld geven. “Het lijkt dan alsof je ook 100 procent kan bereiken, een 10. En ik denk dat we van de illusie moeten wegblijven dat wie dan ook 100 procent bescherming kan bieden.”

Van der Linden vindt dat zo’n cijfer vooral iets over het hier en nu en over een enkele vendor zegt. “Terwijl security niet alleen een firewall is, alleen maar storage, alleen maar backup. Het is belangrijk om integraal te kijken en voor- en achterkant mee te nemen. Praat als organisatie ook met meerdere vendors die aspecten leveren van security – zoals ook storage, backup en disaster recovery, anders krijg je maar en bepaald aspect van de totaaloplossing. En doe dat tegelijkertijd, bijvoorbeeld tijdens een workshop.”