Grote bedrijven hebben hun it-beveiliging niet per definitie beter geregeld dan kleinere bedrijven. Dat blijkt uit onderzoek van RSA. De security-divisie van EMC trekt deze conclusie naar aanleiding van zijn Cybersecurity Poverty Index. Deze bestaat uit onderzoek onder vierhonderd security professionals uit 61 landen.
Voor dit onderzoek konden de participanten zelf de volwassenheid van hun cybersecurity-programma vaststellen door het NIST Cybersecurity Framework (CSF) als maatstaf te gebruiken. Hierbij konden zij hun bedrijf punten toekennen aan de hand van de volgende thema’s: Identify, Protect, Detect, Respond en Recover. Deze cijfers gaven vervolgens een beeld van hoe volwassen zij hun organisatie, allen variërend in grootte, industrie en geografie, achten op het gebied van cybersecurity. Hierbij kwam als belangrijk percentage naar boven dat 75 procent van de bevraagde professionals, de security-volwassenheid van zijn of haar organisatie onvoldoende vindt.
Onvolwassen
Veel van de onderzochte bedrijven kregen het afgelopen jaar te maken met security-incidenten die resulteerden in schade of dataverlies. Bedrijven voelen zich het meest volwassen op het gebied van ‘Protection’. Uit de onderzoeksresultaten komt naar voren dat het meest volwassen onderdeel van cybersecurity in veel organisaties in preventie zit. Een opvallende uitkomst aangezien preventieve strategieën en -oplossingen vaak onvoldoende bescherming bieden. Dit doordat aanvallen steeds geavanceerder worden.
Achilleshiel
De achilleshiel van de onderzochte organisaties is het vermogen om cybersecurity-risico’s te meten en aanvallen af te weren. Zeker 45 procent geeft aan dergelijke mogelijkheden niet in huis te hebben of alleen ad hoc toe te passen. 21 procent geeft aan volwassen te zijn op dit gebied. Het gebrek hieraan maakt het moeilijk, of zelfs onmogelijk, security-activiteiten en -investeringen te prioriteren.
Size doesn’t matter
Het onderzoek laat verder zien dat de omvang van een organisatie niets zegt over zijn volwassenheid. Zo geeft 83 procent van de onderzochte organisaties met meer dan 10000 werknemers aan dat de volwassenheid op het gebied van cybersecurity onder het niveau ‘ontwikkeld’ scoort. Bij die organisaties lijkt er behoefte aan meer ervaring met, en inzicht in geavanceerde bedreigingen. De lage scores die de respondenten zichzelf geven, lijken te wijzen op een groeiende behoefte naar ‘detect-’ en ‘respond’-oplossingen, om tot volwassen security te komen.
Sectoren
Opmerkelijk zijn de resultaten in de financiële sector, die vaak gezien wordt als meest volwassen op het gebied van security. Ondanks dit imago beoordeelt slechts een derde van de respondenten in deze industrie zijn organisatie als ‘goed voorbereid’. Ook bedrijven die actief zijn op het gebied van kritieke infrastructuren, de oorspronkelijke doelgroep van het CSF, moeten significante stappen zetten richting volwassenheid. De helft van de respondenten in deze sector geeft aan een ‘enigszins ontwikkeld’ of ‘geavanceerd’ beleid te hebben op het gebied van cybersecurity. Dat percentage is bij de overheid slechts 18 procent, waarmee het duidelijk de hekkensluiter vormt in dit onderzoek.
Ondanks dat het CSF is ontwikkeld in de Verenigde Staten, geven organisaties in EMEA en APJ (Azië, Pacific en Japan) zichzelf een hogere score. Vooral organisaties in APJ scoren hoog, waarbij 39 procent zijn cybersecurity-volwassenheid als ‘ontwikkeld’ of zelfs ‘geavanceerd’ bestempelt. Dit percentage ligt in EMEA en Noord- en Zuid-Amerika op respectievelijk 26 procent en 24 procent.
Omdenken
Corné van Rooij, district manager Benelux van RSA: “Dit onderzoek laat duidelijk zien dat ondernemingen nog steeds veel investeren in next generation firewalls, anti-virus en geavanceerde malware-beveiliging in de hoop dat geavanceerde bedreigingen worden gestopt. Ondanks deze investeringen voelen zelfs de grootste bedrijven zich niet optimaal beschermd tegen de dreigingen waar ze mee te maken krijgen. Deze situatie is het resultaat van de huidige security-modellen, die enkel focussen op preventie om geavanceerde bedreigingen het hoofd te kunnen bieden. We moeten onze manier van denken over security veranderen en dat begint bij het onderkennen dat alleen preventie niet meer werkt en dat er meer aandacht uit moet gaan naar strategieën die gebaseerd zijn op detectie en respons.’
