Digitale dreigingen, cyberinbraken en datalekken komen nationaal en internationaal steeds vaker voor. Als gevolg van Covid-19 is de digitalisering van de maatschappij versneld, waardoor er een zwaarder beroep wordt gedaan op de digitale ruimte. Digitale processen zorgen voor veerkracht en continuïteit tijdens de pandemie, maar cybercriminelen en statelijke actoren spelen snel in op het uitbuiten van nieuwe kwetsbaarheden. Ook uit het IT Trendsonderzoek van Supply Value van dit jaar blijkt een groeiende rol van cyber- en datasecurity. 89 procent van de it-professionals geeft veel tot heel veel prioriteit aan deze trend en meer dan 86 procent van de respondenten rekent cyber- en datasecurity tot de drie belangrijkste trends, waarmee dit ook dit jaar als de belangrijkste it-trend naar voren komt.
Cyber- en datasecurity zijn van oorsprong twee verschillende disciplines, maar liggen in elkaars verlengde en kunnen elkaar versterken. Cybersecurity omvat het bredere spectrum van beveiliging van data en systemen tegen diefstal, verstoring of misbruik van hardware, software of data. Datasecurity gaat over de bescherming van data tegen bedoelde of onbedoelde aanpassing, verwijdering of openbaarmaking van data door ongeautoriseerde personen.
Cyber- en datasecurity is een discipline die al tientallen jaren meegaat, maar nog steeds elke dag meegroeit met de nieuwste ontwikkelingen. Uit onderzoek onder een expertpanel en de antwoorden van de respondenten komen vier relevante toepassingen naar voren binnen cyber- en datasecurity, namelijk security-awareness, securitymonitoring, veilig hybride werken en emergency-response.
Security-awareness
Naast de snelle groei in technologische mogelijkheden om informatie veilig te houden, ontstaat ook meer en meer aandacht voor menselijk gedrag in de veiligheidsketen en wordt bewustwording zodoende vergroot. De combinatie van op kantoor en thuis werken maakt awareness creëren nog meer van belang. Een bedrijf kan technische maatregelen nemen om gevoelige informatie te beveiligen, maar zonder goede bewustwording bij medewerkers loopt een bedrijf nog steeds een verhoogd risico op datalekken.
Veel it-professionals zien dit jaar dan ook security-awareness als de belangrijkste toepassing binnen cyber- en datasecurity. Maar liefst 89 procent van de respondenten vindt security awareness een relevante ontwikkeling. Veel organisaties starten met awareness-programma’s. Op deze manier trainen zij medewerkers in het herkennen van (potentiële) cyberaanvallen en hoe te handelen in een dergelijke situatie, maar vooral ook in het voorkomen van cyberinbraken en datalekken.
Security monitoring
Preventieve beveiligingsoplossingen zijn belangrijk, maar hoewel deze oplossingen steeds slimmer worden, groeit de kans dat ze worden omzeild. Het actief monitoren en bewaken van informatiesystemen wordt daarom steeds belangrijker. Dreigingen, kwetsbaarheden en cyberaanvallen die anders onopgemerkt blijven, worden gesignaleerd met behulp van securitymonitoring. Ook alarmeert en adviseert securitymonitoring de organisatie over te treffen maatregelen. Zo geeft securitymonitoring inzicht in systemen en de status van digitale veiligheid en helpt het om ict-beveiliging op tijd te optimaliseren.
Net als afgelopen jaar wordt veel focus gelegd op deze toepassing. Van de respondenten die cyber- en datasecurity prioriteit geven, vindt 84 procent security monitoring een relevante ontwikkeling. Het beschermt organisaties tegen de directe schade van een datalek, onder andere door het beschermen van bedrijfsvoering en continuïteit, maar ook tegen indirecte schade in de vorm van reputatieschade.
Veilig hybride werken
Met de opkomst van het thuiswerken zijn hybride werkomgevingen ontstaan. Dit vraagt om meer flexibiliteit van de it-infrastructuur, maar leidt ook tot andere risico’s omdat de organisatie minder directe controle over de werkplek heeft. Zo spelen bij hybride werken het beleid en de beveiliging een steeds grotere rol. Binnen een kantoor kan de it-afdeling op een relatief eenvoudige manier apparaten beheren en beveiligen tegen cyberaanvallen. In geval van het thuiswerken is het van belang duidelijke afspraken te maken en dit mee te nemen in het beleid.
Naast het instellen van beleid zijn er ook technische maatregelen te nemen voor veilig hybride werken. Hybride werken is en blijft zeker nog voor een lange tijd het nieuwe normaal. Organisaties zien de urgentie in om naast een hybride werkstructuur aan te nemen, ook te kijken hoe dit zo veilig mogelijk kan. Van de respondenten geeft dan ook 68 procent aan veilig hybride werken een relevante ontwikkeling te vinden.
Emergency response
In het geval van een cyberaanval is het belangrijk om snel, kalm en gecoördineerd te reageren. Emergency response bestaat vaak uit een gespecialiseerd team dat in staat is snel en grondig beveiligingsinbreuken, datalekken en andere ernstige incidenten te onderzoeken en maatregelen te nemen om ervoor te zorgen dat de schade wordt beperkt en de organisatie zo snel mogelijk back in business is. De uitbraak van de Morris-worm op het internet in 1988 vormde aanleiding voor de oprichting van teams gericht op emergency response, omdat deze worm zich wist te verspreiden naar een groot deel van het toenmalig internet, wat maar moeizaam kon worden hersteld.
Tegenwoordig is internet een vast onderdeel geworden van de maatschappij, wat er zelfs toe heeft geleid dat veel landen op nationaal niveau emergency response coördineren. Denk in Nederland aan Z-Cert, het computer emergency response team voor de gehele zorgsector. Dagelijks speuren zij diverse bronnen af naar dreigingen voor de zorgsector. Ook wordt emergency response als relevant gezien door 58 procent van de respondenten die cyber- en datasecurity prioriteit geven, wat vergelijkbaar is met afgelopen jaar. Het minimaliseren van de directe en indirecte schade voor kwetsbare organisatieprocessen vormt daarin een belangrijke drijfveer.
Opnieuw op één
Afgelopen jaar bleek uit het IT Trendsonderzoek van Supply Value dat het groeiende belang en inzet van data gepaard gaan met kwetsbaarheid. Respondenten gaven aan dat organisaties databeveiliging opnemen in de bedrijfsstrategie om deze kwetsbaarheid te mitigeren. Het belang van databeveiliging komt ook dit jaar weer sterk terug in het onderzoek. Zo ziet Supply Value dat nog steeds in 2021 prioriteit wordt gegeven aan cyber- en datasecurity. Vorig jaar kwam de trend op de eerste plek te staan, ook in 2021 verkiest meer dan 86 procent van de respondenten cyber- en datasecurity tot de top drie belangrijkste it-trends, waarbij meer dan de helft van deze 86 procent het op de eerste plek zet.
Veel it-professionals geven aan dat door de toenemende gebruik van data en privégegevens het van belang is om alle bedrijfsprocessen zo optimaal mogelijk te ondersteunen door een veilige en betrouwbare (digitale) werkomgeving te creëren. Doordat veel mensen vanuit huis werken is de bezorgdheid toegenomen of privacygevoelige gegevens goed worden beschermd. De toename van cybercriminaliteit zorgt ervoor dat bedrijven nog meer gaan inzetten op een veilige manier van werken op kantoor, maar ook in een thuisomgeving.
Bedrijfscontinuïteit waarborgen
Bewustwording creëren binnen een bedrijf en bijbehorende trainingen wordt door één op de zeven respondenten genoemd als een manier om de nodige handvaten mee te geven om voor een veilige werkomgeving te zorgen en het risico op een cyberaanval te verkleinen. Daarnaast blijkt uit het onderzoek dat het investeren in cyber- en datasecurity van belang is om financiële en imagoschade te voorkomen om zo de bedrijfscontinuïteit te waarborgen.
‘Nu bedrijven hun medewerkers gedeeltelijk vanuit huis laten werken, zien we dat mensen steeds vaker hun smartphone of tablet voor bedrijfstoepassingen gebruiken’, aldus Thijs Latour, consultant bij Supply Value. ‘Handig, maar is het ook veilig? Waar bedrijven veel aandacht besteden aan de pc van hun personeel, worden mobiele toestellen al gauw over het hoofd gezien. Desondanks vormen applicaties voor hackers een potentieel toegangspoortje tot gevoelige informatie.’
Impact op veiligheid
Het is volgens Latour ondoenlijk een organisatie overal tegen te beveiligen. ‘Security wordt meer en meer een kwestie van prioriteiten stellen. Elk it-beveiligingsplan begint met een goed begrip van de voornaamste risico’s en waar die vandaan komen. Met de enorme aantallen partners waarmee grote ondernemingen werken, wordt het steeds lastiger die risico’s goed in beeld te krijgen. De toenemende digitalisering maakt het ‘plaatje’ extra moeilijk. Hoe hebben al deze toeleveranciers hun security geregeld? En welke impact heeft dat op de veiligheid?’
Dat cyber- en datasecurity een belangrijke trend is, blijkt volgens Latours collega Emina Halilovic, eveneens consultant bij Supply Value, ook dit jaar weer uit het onderzoek. ‘Het beveiligen van data en privacygevoelige gegevens krijgt steeds meer prioriteit. Dit is mede te verklaren door de cyberaanvallen die zowel stijgen in aantal als in diversiteit van slachtoffers en door het groeiende aantal thuiswerkers, al dan niet ‘geholpen’ door de pandemie. Cyber- en datasecurity vraagt om een combinatie van harde en zachte maatregelen, variërend van firewalls tot bewustzijn van medewerkers.’
Voornaamste risico’s
Daarnaast is het volgens Halilovic belangrijk om naast de laptop, ook rekening te houden met andere mobiele toestellen. ‘Een smartphone of tablet is erg handig in gebruik, maar is het ook veilig? Actuele toepassingen binnen cyber- en datasecurity zijn dit jaar met name security awareness, security monitoring, veilig hybride werken en emergency response. Hiermee kunnen organisaties de risico’s binnen informatiebeveiliging voor zijn en eventuele incidenten snel en adequaat afhandelen. Het is ondoenlijk een organisatie te beveiligen tegen alle risico’s op dit vlak. Security wordt meer en meer een kwestie van prioriteiten stellen. ‘Elk it-beveiligingsplan begint met een goed begrip van de voornaamste risico’s en waar die vandaan komen.’