Risico op beveiligingsincidenten – zijn grote ondernemingen de realiteitszin verloren?

Stay tuned, abonneer!

Het is opvallend dat een groot aantal respondenten van grote ondernemingen in een recent onderzoek aangaf vertrouwen te hebben in de huidige cybersecurity-strategie. Maar wanneer we kijken naar het aantal datalekken lijkt dit vertrouwen niet op zijn plaats. Toch lijkt er een lichtpuntje te zijn: er komt vanuit de overheid en vanuit Europe steeds meer druk om het risico op beveiligingsincidenten te verkleinen en de bewustwording over de gevaren in grote ondernemingen is flink gestegen, al lijkt dit niet over de hele linie het geval te zijn.

Als onderdeel van een onderzoek met de titel Building Confidence – Facing the Cybersecurity Conundrum, heeft Accenture 2000 security professionals ondervraagd over de security-positie van hun bedrijf. Het hoge aantal respondenten dat ‘veel vertrouwen’ zegt te hebben in de gehele cybersecurity-strategie is indrukwekkend. De meerderheid van de ondernemingen in het onderzoek beweert erin te zijn geslaagd de bedrijfsstructuur aan te pakkenen de steun van het bestuur of management te krijgen op het gebied van security-vraagstukken.  

Compliance versus security

Toch, ondanks de verbeteringen, neemt het aantal datalekken in een schrikbarend tempo toe. De dissonantie tussen het gevoel van veiligheid van de respondenten en de werkelijke mogelijkheid van de organisatie om dreigingen af te weren, ligt waarschijnlijk aan een verkeerde implementatie van het security governance plan en een misplaatste toewijzing van budget. De belangrijkste vragen op dit gebied zijn “Wat staat er op het spel?” en “Waar moet worden geïnvesteerd?” en die vragen moeten worden beantwoord met security in het achterhoofd. Uiteindelijk blijkt dat bedrijven moeite hebben om kwaadaardige activiteiten een halt toe te roepen en beveiligingsincidenten compleet te voorkomen. Volgens het onderzoek is één op de drie gerichte aanvallen succesvol. Veel voorkomende problemen houden verband met de investeringsstrategie van het bedrijf die leiden tot een imperfect security-beleid: de urgentie om compliance doelstellingen te halen conflicteert soms met het tegengaan van reële risico’s die het bedrijf bedreigen. Compliance vraagt om grote investeringen en andere resources, maar garandeert lang niet altijd de security van een bedrijf.

Effectieve strategieën

Wat kunnen ondernemingen dan doen als zij voor dergelijke uitdagingen staan? Het ‘plakken van een pleister’ is een soort plaag geworden, die de security niet structureel verbetert. Een grondige risicoanalyse is de enige manier om goed te achterhalen waar oplossingen voor moeten komen. Vreemd genoeg hebben de meeste ondernemingen geen idee van de waarde van hun data en welke moeten worden beschermd. Een moderne cultuur van risicomanagement kan deze issues allemaal aanpakken.

Wat ons echt aan het denken zou moeten zetten, is het gebrek aan serieuze opleidingen en trainingen. Alertheid op cybersecurity moet als fundament worden gezien, een gebied waar veel in moet worden geïnvesteerd zodat het kennis-  en bewustwordingsniveau van elke medewerker wordt verhoogd. Werknemers kunnen worden gezien als ‘consumenten van security’. Een goed voorbereide medewerker kan het security-team helpen. Als medewerkers voldoende zijn getraind en de indicators kennen, kunnen zij helpen om beveiligingsincidenten te voorkomen. Iedereen in de organisatie betrekken bij security zal de algemene security van een onderneming sterk verbeteren.

Een groot vertrouwen in de security van je bedrijf is niet verkeerd als je bedrijf ook daadwerkelijk in staat is om goed met cybergevaren om te gaan.

Deze blog is ingezonden door Eddy Willems, Security Evangelist bij G DATA.