Smarter Security-onderzoek: een reality-check voor Nederlandse bedrijven

Dit blijkt uit onderzoek van Solvinity in samenwerking met PanelWizard. ‘Smarter Security’ werd uitgevoerd onder ruim 400 IT-professionals werkzaam bij Nederlandse organisaties met meer dan 200 medewerkers. In vergelijking met de resultaten van de voorloper van dit onderzoek uit 2020, lijken bedrijven wakker geschud te zijn – mede dankzij berichtgeving in de media over de vele ransomware-incidenten en cyberaanvallen in de afgelopen jaren. De resultaten geven aan dat er meer inzicht is dan ooit in kwetsbaarheden en weerbaarheid van de organisatie. Dat vertaalt zich echter niet direct in betere security.

Van nice-to-have naar must-have

Wanneer je niet weet waar de kwetsbaarheden van een organisatie liggen, kun je je er ook niet tegen beschermen. Van de respondenten geeft 69,7% aan duidelijk inzicht te hebben in deze kwetsbaarheden én gerichte beveiligingsmaatregelen te hebben getroffen. Een flinke stijging in vergelijking met de slechts 49% van respondenten uit hetzelfde onderzoek van 2020.

Ik ben voorzichtig optimistisch over deze stijging. Jarenlang werd vulnerability management gezien als een nice-to-have. Het is goed om te zien dat meer respondenten concluderen dat het een must-have is. Bijna één op de drie organisaties heeft echter nog steeds niet alles in orde. Er valt dus nog genoeg winst te behalen!

De basishygiëne nog steeds niet in orde?

Vulnerability management omvat niet alleen monitoring en verdediging van de IT-omgeving. Andere basishygiëne maatregelen, zoals hardening en patching, vallen hier ook onder. Hardening is een verzameling van maatregelen om het aanvalsoppervlak van een bedrijfsnetwerk te verkleinen, zoals het uitschakelen van niet-gebruikte softwarecomponenten en het gebruik van sterke en periodiek veranderende wachtwoorden. Anno 2023 zijn respondenten bekend met het concept; in 2020 had 26% van de IT-professionals er nooit van gehoord, nu is dat percentage gedaald tot 15,5%.

In 2020 kende 5% van de IT-professionals de term wel, maar wist toen niet hoe de organisatie ermee omging. Dát percentage is nu gestegen naar 23%, maar niet direct een reden tot zorg. Hardening is basishygiëne. Het kan dus goed zijn dat het wel degelijk wordt meegenomen, maar respondenten alleen niet precies weten hoe of wanneer. Minder positief: één op de tien ondervraagde securityprofessionals is hier onzeker over.

Er zijn verschillende redenen om bepaalde hardening-maatregelen niet te nemen. Bijvoorbeeld wanneer dit de werking van applicaties verhindert en wanneer eenzelfde security-niveau op alternatieve wijze kan worden bereikt. Desondanks is het van essentieel belang dat securitymedewerkers volledig op de hoogte zijn van de maatregelen die wél worden toegepast. Het streven zou daarom moeten zijn om dit percentage op nul te krijgen.

Testing blijft steken bij audits

Uit het rapport blijkt ook dat organisaties vooral audits (55%) gebruiken om hun cybersecurity te testen. Slechts 41,9% laat dit doen door gekwalificeerde instanties. Maar audits zijn niet waterdicht en er kan tussen twee meetmomenten veel gebeuren. In het razendsnel veranderende IT-landschap van vandaag moet je te allen tijde kunnen vertrouwen op de correcte beveiliging van je systemen. Audits alleen zijn hiervoor niet voldoende. Voortdurende scanning en testing van beveiligingsmaatregelen zijn noodzakelijk om bij te blijven met de ontwikkelingen in het landschap.

Capaciteitsgebrek

Een duidelijke trend die naar voren komt is capaciteitsgebrek. Ruim één op de vijf respondenten (22,2%) geeft aan dat er te weinig capaciteit is om patching uit te voeren (vergeleken met 16% in 2020). Voor 42,1% is het binnenhalen van voldoende talent bovendien topprioriteit om de organisatie ook in de toekomst veilig te houden.

Legacy on-premises infrastructuren slokken veel IT-capaciteit op, omdat hier veel handmatig werk aan te pas komt. Desondanks werkt nog altijd 22,4% van de respondenten met dit soort omgevingen. Daarnaast maakt 40,2% gebruik van een hybride cloud, waar – vooral in het private deel – ook veel legacy kan voorkomen. Public en (geoutsourcete) private cloud-omgevingen bieden daarentegen veel betere mogelijkheden tot automatisering. Daarmee kan het gebrek aan capaciteit worden ingelopen. Mits de juiste expertise in huis is, ben ik een groot voorstander van cloud computing. Zonder die kennis is het onbegonnen werk. Het wordt daardoor niet alleen veel en veel moeilijker om kosten onder controle te houden, maar ook om vanaf het begin de beveiliging in de cloud goed aan te pakken. Daarom blijft een hoog kennisniveau voor elke organisatie een prioriteit.

Marc Guardiola, CTO bij Solvinity