Ondernemingen en organisaties maken zich meestal niet erg veel zorgen over de veiligheid van hun it-netwerk. Dat blijkt uit de vierde jaarlijkse benchmarkstudie over Cyber Resilience, uitgevoerd door het Ponemon Institute en gesponsord door IBM Resilient.
Van de meer dan 3.600 it-professionals die wereldwijd voor de studie werden ondervraagd, blijkt bijvoorbeeld dat zo’n 77 procent geen adequaat stappenplan voor de hele organisatie heeft opgesteld in geval van een cybersecurity-incident. Van de bedrijven die wel een plan hebben, laat 54 procent het na om dit regelmatig te testen. Bijna de helft van de respondenten (46 procent) zegt ook dat hun organisatie de GDPR-wetgeving nog niet volledig naleeft, zelfs al nadert de eerste verjaardag van de wetgeving snel. Bovendien worden trends en tendensen inzake cyberveiligheid slecht opgevolgd.
Maar dertig procent van de ondervraagden meldde dat hun security-personeelsbestand volstaat om voldoende cyberveerkracht te hebben. Driekwart geeft ook aan dat het vinden en aanwerven van geschikt personeel geen evidentie is.
De studie polste dit jaar ook specifiek naar de mate waarin bedrijven hun cybersecurity geautomatiseerd hebben. Dat blijkt voorlopig nog erg mager te scoren. In geval van een aanval maakt minder dan een kwart van de bedrijven gebruik van automatisatie om de schade in te perken. Tools als identiteitsmanagement en -authenticatie, incident response-platformen of siem-tools (security information and event management) zijn nog grote onbekenden.
Organisaties die die tools wel inzetten schatten hun capaciteit om incidenten te voorkomen, te detecteren, te beantwoorden en te beheersen echter stukken hoger in dan organisaties die dat niet doen. Bijna de helft zegt ook dat hun bedrijf te veel verschillende, aparte tools gebruikt, waardoor er grote operationele complexiteit optreedt.
De volledig studie is hier te downloaden.
Ik kan de bevindingen beamen. Het wordt als een kostenpost gezien en medewerkers zelf interesseert het nauwelijks. Een zeer groot percentage hanteert niet eens een basis veiligheid, maar komt daarmee weg omdat het meestal goed gaat.
Security wordt meestal verlegd naar de outsourcing partner. Tenminste dat denkt men om dat in de meeste gevallen de kleine lettertjes over aansprakelijkheid niet gelezen worden. De outsourcing partner levert slechts beschikbaarheid en heeft meestal een basale vorm van infrastructuurbeveiliging. Beveiliging op applicatieniveau (SAP bijvoorbeeld) is in de meeste gevallen ondermaats.