BLOG – Het dreigingslandschap breidt zich voortdurend uit en met de komst van ai wordt de snelheid waarmee cybercriminelen gaten in een beveiligingsframework kunnen uitbuiten, alleen maar groter. Organisaties zijn niet proactief of snel genoeg om mogelijke nieuwe tactieken van cybercriminelen te bestrijden. In plaats daarvan vallen ze terug op een reactieve benadering van cyberbeveiliging.
Om deze mentaliteit te veranderen worden nieuwe regelgevingen zoals de NIS2-richtlijn geïmplementeerd. Deze regelgeving schrijft een basisniveau voor van beveiligingsprocessen en -kaders om de cyberhygiëne van kritieke infrastructuren te verhogen. Door organisaties te dwingen hun huidige kaders te herzien en te upgraden, wil de richtlijn hun beveiligingsaanpak preventiever en proactiever maken. Maar bewegen deze regelgevingen organisaties nu echt richting actie?
Vertrouwen
Op het eerste gezicht lijken it-leiders er vertrouwen in te hebben dat hun organisaties NIS2-compliance kunnen bereiken vóór de deadline (die in Nederland vooralsnog onbekend is). Uit een onderzoek over NIS2-adoptie (na registratie in te zien) blijkt dat tachtig procent van de respondenten dit vertrouwen heeft. Een krappe vijftien procent beweert zelfs dat ze deze compliance al ruim vóór de deadline gaan halen.
Veel organisaties vertrouwen erop dat ze op tijd compliant zullen zijn en it-teams hebben de steun van leiderschapsteams die het belang van dergelijke regelgeving voor cyberbeveiligingssucces erkennen. Maar is er meer aan de hand dan op het eerste gezicht lijkt?
Geloof
Ondanks het sterke geloof van it-leiders dat hun organisaties binnen de deadline aan de vereisten zullen voldoen, suggereert genoemde studie dat dit vertrouwen niet zo hoog zou moeten zijn. Slechts iets meer dan de helft van de respondenten gelooft dat hun teams volledig begrijpen wat de vereisten zijn van NIS2. Dit daalt naar minder dan de helft wanneer wordt gevraagd of het leiderschap de vereisten volledig begrijpt. Zonder deze kennis lopen organisaties het risico iets te missen in hun NIS2-aanpak, waardoor ze zich op het laatste moment moeten haasten om te voldoen aan alle vereisten als ze geen hoge boetes willen krijgen.
Het onderzoek benadrukt ook een verschil tussen hoe de richtlijn wordt gepositioneerd en hoe it-leiders deze zien. NIS2 wordt gepositioneerd als een richtlijn om de fundamentele beveiliging te verbeteren en als een uitbreiding van het bestaande NIS-framework. Bijna twee derde van de respondenten gelooft echter dat het aanzienlijk afwijkt van hun huidige strategie. Dit suggereert dat veel organisaties de veranderende technologische ontwikkelingen niet hebben bijgebeend en zo lang mogelijk zijn weggekomen met het handhaven van minimale beveiligingsvereisten. Deze aanname wordt bevestigd door het feit dat slechts een derde van de it-leiders hun bestaande cyberhygiëne als uitstekend beoordeelt. Verder zegt twee vijfde dat hun organisatie nog geen zero-trust-architectuur heeft geïmplementeerd als onderdeel van hun cyberbeveiligingsaanpak.
Hierdoor moeten organisaties nog een aanzienlijke inhaalslag maken in de resterende maand voordat de richtlijn op nationaal niveau in heel Europa wordt omgezet in lokale wetgeving. Drie specifieke gebieden waar grote veranderingen in nodig zijn om compliant te worden, zijn het updaten van hun technologiestack en hun cyberbeveiligingsoplossingen en het opleiden van zowel werknemers als leidinggevenden.
De bevindingen van het onderzoek suggereren dat veel organisaties in Europa nog niet zo ver zijn met hun huidige cyberbeveiligingsnormen als ze zouden moeten zijn, en dat er actie nodig is om de noodzakelijke fundamentele veranderingen binnen de beschikbare tijd te realiseren. Maar hoe kunnen organisaties dit op de efficiëntste en effectiefste manier doen?
Vinkje
Van oudsher implementeren it-teams nieuwe technologie op de huidige stack om het compliance-vakje aan te vinkje. Tegenwoordig is dat niet genoeg om een it-omgeving te beschermen. In plaats daarvan zouden it-teams ernaar moeten streven om hun technologiestack te vereenvoudigen, zodat ze wendbaarder worden en hun omgeving sneller kunnen updaten. Dat betekent echter niet dat technologie een minder belangrijke rol speelt bij compliance-inspanningen. Sterker nog, 44% van de it-leiders gelooft dat tools en services cruciaal zijn voor een succesvolle NIS2-implementatie.
Overheidsrichtlijnen zoals NIS2 dwingen organisaties om hun huidige beveiligingsprocessen te herzien en, indien nodig, deze te verbeteren zodat het aansluit op wat nu wordt beschouwd als de basislaag van beveiliging. Die regelgevende initiatieven zijn echter niet gericht op uitmuntende cyberbeveiliging. Hoewel het dus mogelijk is om op papier volledig NIS2-compliant te zijn, kunnen organisaties die het alleen met dit einddoel benaderen uiteindelijk een laag niveau van beveiliging hebben.
Een verandering in mindset is nodig om de beveiliging van it in het digitale tijdperk te verbeteren en te voorkomen dat organisaties actieve dreigingen pas beperken terwijl ze plaatsvinden. In plaats daarvan moeten ze een holistisch overzicht bouwen van hun omgeving waarmee risicogebieden van tevoren zijn te identificeren. Om dit te doen, moeten it-teams de verschillende technologieën en tools in hun omgeving samenbrengen in één platform dat uiteenlopende gegevens kan verbinden en wat hun beveiligingsniveau en risico’s zijn.
Beveiligingsteams moeten regelmatig compliance-audits uitvoeren om cybercriminelen voor te blijven en ervoor te zorgen dat hun beveiligingsinfrastructuur geschikt is voor het beoogde doel. Dit levert organisaties een aanzienlijk zakelijk voordeel ten opzichte van concurrenten, omdat compliance eenvoudiger en goedkoper wordt en op de lange termijn tot risicobeperkingen leidt.
Tony Fergusson is ciso bij Zscaler
