Ruim twee derde van de Nederlandse securityprofessionals zegt dat kwetsbaarheden door een personeelstekort niet tijdig gepatcht worden, wat een datalek tot gevolg kan hebben. Reden voor bijna de helft (49 procent) om in het komende jaar extra it-beveiligers aan te nemen. Het aannemen van extra personeel is echter nog geen garantie op betere cybersecurity. Dit is de zogeheten patching paradox. Dat blijkt uit onderzoek van ServiceNow, leverancier van servicemanagementsoftware.
Voor het ‘Today’s State of Vulnerability Response: Patch Work Demands Attention’-onderzoeksrapport heeft het Ponemon Institute, in opdracht van ServiceNow, onder meer 340 Nederlandse it-beveiligingsprofessionals gevraagd naar de effectiviteit van de tools en processen die zij gebruiken om te reageren op kwetsbaarheden.
Hieruit blijkt dat 49 procent van plan is om het komende jaar personeel aan te nemen voor een snellere en effectievere ‘vulnerability response’, het reageren op fouten in de software (vulnerabilities: kwetsbaarheden). Zij willen gemiddeld vier personen inzetten voor het patchmanagement. Dat is een stijging van 44 procent in vergelijking met de huidige bezetting.
Dit aannemen van extra personeel is echter nog geen garantie op betere cybersecurity, zeggen de onderzoekers. Daarvoor moeten ook de achterliggende patching-processen en het securitybeleid worden aangepakt. Zo zegt 79 procent het lastig te vinden om te bepalen wat als eerste gepatcht moet worden.
Handmatige processen
Een andere boosdoener voor inefficiënt patchmanagement zijn de handmatige processen. 65 procent zegt dat dit soort processen er voor zorgen dat men achter de feiten aanloopt als het gaat om het patchen van kwetsbaarheden. Zo besteedt 59 procent van de ondervraagde it-beveiligers meer tijd aan het in goede banen leiden van handmatige processen dan aan het oplossen van kwetsbaarheden en gaan gemiddeld tien dagen verloren aan het handmatig coördineren van patching-activiteiten.
‘Alleen het aannemen van meer talent lost het probleem waarmee securityteams tegenwoordig te maken hebben niet op. Dit noemen we de patching paradox’, vertelt Michael Maas, directeur Noord-Europa van ServiceNow. ‘Het automatiseren van routinematige processen en het prioriteren van vulnerabilities helpt bedrijven deze paradox te voorkomen. Op deze manier kunnen ze hun mensen inzetten voor bedrijfskritische werkzaamheden die de kans op een beveiligingslek aanzienlijk verminderen.’
“Zo zegt 79 procent het lastig te vinden om te bepalen wat als eerste gepatcht moet worden.”
“Zo besteedt 59 procent van de ondervraagde it-beveiligers meer tijd aan het in goede banen leiden van handmatige processen”
Wat, hoe en wanneer dus.
Daar hebben we wat moeite mee in de ICT.
Alles 🙂
Eigenlijk geldt die paradox voor de hele automatisering (we automatiseren niet), maar voor patch bekt die ook nog lekker.
Gemiddeld vier personen zouden moeten worden ingezet lezen we. Daar hoort dan vast wel een manager bij die alle patches weer tegenhoudt tbv business continuiteit. En een hoop zelfingenomen officers met 3 letter afkortingen en tegengestelde belangen. ICT behoeft geen Melkertbanen, we maken ze zelf wel.