Security staat nog steeds niet hoog genoeg op de agenda bij het management. De risico’s die bedrijven daardoor lopen, komen ook steeds vaker van binnenuit de eigen organisatie. Beheerders en beveiligingsspecialisten verleggen de focus dit jaar van technische oplossingen naar het strenger toezien op het naleven van het security-beleid. Zomaar drie punten die uit recent onderzoek onder it-managers naar voren komen.
Bijna de helft van bedrijven heeft afgelopen jaar te maken gehad met een gerichte bedreiging op het bedrijfsnetwerk. In een kwart van de gevallen, en daarmee de voornaamste oorzaak, ging het hierbij om een DDoS-aanval. Niet verrassend, gezien de vele lekken en hacks die ook in het ‘normale’ nieuws aandacht kregen. Opvallender is dat het in 13 procent van de gevallen ging om fraude. De gemiddelde it-manager plant dan ook een versteviging van het security-beleid dit jaar. De to-do lijst voor 2015 wordt aangevuld met beveiliging op gebruikersniveau en centraal beveiligingsbeheer.
Ondersteuning van management
Goede voornemens, maar houden ze stand? Al jarenlang wordt geroepen dat security hoger op de managementagenda moet komen, om een groter draagvlak te creëren en beslissingen te nemen die de beveiliging ten goede komen. Nog steeds is dit niet het geval. Meer dan de helft (56 procent) van de respondenten geeft aan dat security te weinig aandacht krijgt in de bovenste lagen van de organisatie.
Men is wel anders gaan kijken naar de gevolgen van beveiligingsbreuken. Waar voorheen verloren data en technische problemen golden als grootste zorg, maakt men zich nu meer druk om reputatieschade. Terecht denk ik. In voorgaande onderzoeken van F5 Networks bleek dat it-managers te weinig kennis van zaken hadden over de oorzaken en gevolgen van de verschillende bedreigingen. Dat is verbeterd en men is in staat nauwkeuriger te kijken naar waar de risico’s vandaan komen en welke gevolgen ze hebben. De gevaren verschuiven van buitenaf naar intern en technische zaken zijn snel te herstellen, terwijl reputatieschade grotere gevolgen kan hebben. Het (top)management moet hier dus wel in meegenomen worden; er ligt veel focus op de eigen organisatie. En als de reputatie van het bedrijf, of de mensen zelf, op het spel staat, zou het dit jaar zomaar eens kunnen gaan lukken om security hoger op de managementagenda te krijgen.
