Beschermen wat je het dierbaarst is. Hoewel het voor de hand ligt, doet een meerderheid van de Europese bedrijven dit niet. Zo’n zeventig procent legt qua security niet de focus op de applicaties die van bedrijfskritisch belang zijn.
We kunnen niet zonder systemen als erp en crm. Sterker, de impact van zelfs al de kleinste downtime van deze apps wordt als ernstig bestempeld. Toch krijgen ze vaak evenveel aandacht als andere apps of services die veel minder relevant zijn voor de dagelijkse bedrijfsvoering.
Downtime zorgt voor kosten, maar er zijn ook aanvullende kosten, zoals schadevergoedingen en boetes. De gemiddelde kosten van een aanval op een erp-systeem liep vorig jaar op tot 5,5 miljoen dollar. Een meerderheid van de bedrijven heeft te maken met gegevensverlies, datalekken of downtime van services. Nederland staat hierin zelfs hoog genoteerd. De helft van alle issues in 2018 werd veroorzaakt door georganiseerde misdaad, vaak door middel van misbruik van privileges binnen it-systemen. Een aanvaller die beheerderstoegang krijgt voor bepaalde applicaties kan serieuze schade aanrichten of een bedrijf zelfs stilleggen. Toch denkt driekwart van de bedrijven dat ze prima in staat is alle aanvallen aan de rand van het netwerk tegen te houden. Er is daarmee geen overeenstemming in de focus van de security-strategie en de visie op wat het waardevolst is in het bedrijf.
Cloud en prioriteit
Uit recent onderzoek (bovengenoemde cijfers komen daar ook uit) blijkt dat driekwart van de bedrijven kritische apps naar de cloud wil verplaatsen. Ze moeten ook bijna wel, omdat alle grote spelers van bedrijfssoftware hun producten via die weg aanbieden, en steeds meer klanten op dat model over willen zetten. Het is van belang deze data te beschermen op basis van risico om een overstap naar de cloud soepel te laten verlopen. Zo’n zeventig procent migreert data van populaire erp-toepassingen naar de cloud. Welke security-prioriteiten gelden in deze situatie?
Elk bedrijf heeft zijn cruciale apps. Wanneer deze uitvallen of corrupt raken, merkt een organisatie dat meteen. Door het belang ervan en de hoeveelheid info die in de systemen zit, staan ze uiteraard ook bovenaan de lijstjes van hackers. Ciso’s, securitymanagers en vergelijkbare verantwoordelijken moeten prioriteiten stellen en een risico-gebaseerde aanpak hanteren om bedrijfskritische apps rigoureus te beschermen. Hierbij is privileged access-beveiliging van cruciaal belang, zodat die accounts bruikbaar blijven, ongeacht welke aanvallen de perimeter voorbijkomen.