Veel Belgische bedrijven maken nog geen gebruik van eenvoudige basistechnologie om hun netwerken, apparaten, data en medewerkers te beveiligen. Nederland doet het beter. Dat blijkt uit een security-onderzoek van VMware in België en Nederland bij vijfhonderd bedrijfsleiders en it-professionals.
Eerst het goede nieuws: heel wat Belgische organisaties hebben hun visie op security, met het bijbehorende beleid en de procedures, duidelijk in kaart gebracht of zijn er mee bezig. Ongeveer 86 procent van de Belgische respondenten heeft ofwel alles op papier uitgewerkt (39 procent), of is daar momenteel mee bezig (47 procent). Bovendien is in meer dan 34 procent van de organisaties elke werknemer op de hoogte van het securitybeleid. Iets meer dan de helft (54 procent) geeft aan dat slechts een deel van het personeel op de hoogte is van het securitybeleid. Opmerkelijk is dat bij twaalf procent van de Belgische respondenten niemand van het personeel op de hoogte is van het securitybeleid.
In een economie die digitaliseert, zijn data en de it-omgeving zeer bedrijfskritisch. Dat weerspiegelt zich in de budgetten die de organisaties besteden aan de beveiliging van hun it-infrastructuur. Uit het onderzoek blijkt dat 43 procent van de bedrijven tussen de elf en dertig procent van hun it-budget naar beveiliging laat gaan. Nog eens 13,5 procent investeert 31 tot vijftig procent van het it-budget in security-oplossingen. Een kleine vijf procent van de bedrijven besteedt zelfs meer dan de helft van het it-budget aan security.
Ondanks de intentie om iedereen bewust te maken van het gevaar en om procedures in het leven te roepen, is de realiteit dat niemand gevrijwaard is van cybercrime. Alleen al in het voorbije jaar heeft 64 procent van de bedrijven één of meerdere security issues gehad. Malware komt het vaakst voor in organisaties, zowel op de computer (22 procent), als op het netwerk (21 procent). Daarna volgen datadiefstal (11,6 procent), Ddos-aanvallen (11 procent), malware op mobiele toestellen (10 procent) en ransomware (9 procent).
Encryptie, een techniek waarbij data worden versleuteld zodat de cybercrimineel hier niets mee kan aanvangen, vind je in 74 procent van de bedrijven terug. Opvallend: in 26 procent van de bedrijven wordt geen enkel bestand versleuteld.
Een ander belangrijk instrument is de toegang tot het netwerk en de data controleren. Zeventig procent van de ondervraagden in België heeft een goed inzicht in wie zich wanneer en vanaf welke locatie toegang tracht te verschaffen tot het netwerk en de applicaties van de organisatie.
Impact is groot
De impact van een datalek is groot. Daarom trachten organisaties datalekken zoveel mogelijk te vermijden door de risico’s te verkleinen. Ze gebruiken daarvoor vaak een breed scala aan tools waarbij het van groot belang is dat altijd de laatste versies geïnstalleerd zijn met de laatste updates. Uit het onderzoek blijkt dat automatische updates het meest ingeburgerd zijn in bedrijven (77 procent).
Eenmaal er een inbreuk is, komt het er op aan om het lek zo snel mogelijk te identificeren en het ook te isoleren op het netwerk. Dit kan door microsegmentatie waarbij het netwerk wordt onderverdeeld in kleinere segmenten en de geïnfecteerde delen zijn af te sluiten van de rest van het netwerk. Iets meer dan een derde van de respondenten geeft aan dat hun organisatie deze techniek reeds gebruikt.
Nederland doet beter
Over het algemeen scoren de Nederlandse organisaties iets beter dan de Belgische op vlak van security. Zo is het securitybeleid bij het personeel er beter bekend (96,5 t.o.v. 86 procent in België). Op vlak van gebruikte tools zien we in Nederland dat maar liefst 93 procent bestanden versleutelt, en ook wat microsegmentatie betreft, zijn er meer bedrijven (45 procent) die deze technologie gebruiken.
‘Dit onderzoek toont wederom aan dat, hoewel er veel wordt gesproken over security, er nog veel moet gebeuren om organisaties en hun medewerkers echt veilig te maken’, zegt Bart Coole, country manager BeLux van VMWare. ‘Wij adviseren organisaties die geen idee hebben waar te beginnen of beperkte budgetten hebben, te starten met de vijf Cyber Hygiene-principes die we ook in dit onderzoek hebben meegenomen. Deze principes houden in dat de juiste mensen, op basis van multi-factorauthenticatie, toegang moeten hebben tot de juiste data en systemen; versleuteling zorgt ervoor dat derden niets aan jouw data hebben; je systemen moeten altijd de laatste updates draaien; microsegmentatie maakt dat je snel kunt handelen wanneer er toch iets fout gaat; en patches moeten zo snel mogelijk worden toegepast om veiligheidslekken te dichten.’