‘Veel Nederlandse organisaties hebben basis securityprincipes niet op orde’

‘Veel Nederlandse organisaties hebben basis securityprincipes niet op orde’

VMware presenteert vandaag voor het eerst een grootschalig security onderzoek dat volledig gericht is op de Benelux-markt. Hieruit zijn allerlei interessante bevindingen over het security-beleid van Nederlandse organisaties naar voren gekomen. Eén van de grootste conclusies die uit het onderzoek naar voren komt is dat veel Nederlandse bedrijven eenvoudige basistechnologie voor de beveiliging van netwerken, endpoints, data en medewerkers nog niet toepassen. Om wat beter zicht op deze constatering en het gehele rapport te krijgen, gingen we in gesprek met Senior Manager Presales Benelux Boudewijn Aelbers.

Met het onderzoek heeft VMware een zo compleet mogelijk beeld proberen te schetsen van de staat van het securitybeleid binnen Nederlandse organisaties. Het scheelt hierin dat het bedrijf niet direct verbonden is aan een specifieke beveiligingsoplossing, maar dat het zelf en met partners bezig is om klanten te voorzien van het juiste beveiligingsniveau. Daardoor heeft VMware geen belang om bijvoorbeeld spear phishing als belangrijkst aandachtspunt aan te stippen, in tegenstelling tot een leverancier die hier wel erg gerichte oplossingen voor maakt.

Een duidelijke trend kunnen we dan weer niet uit het rapport halen. Dit heeft te maken met het feit dat het onderzoek voor het eerst gehouden wordt. Toch komt VMware met stevige conclusies, wat het onderzoek voor veel IT-decisionmakers interessant maakt.

Organisaties zien het belang

Hoewel de implementatie van basistechnologie bij verschillende bedrijven nog achterblijft, is het wel zo dat bijna alle bedrijven in ons land hun visie op security in kaart hebben gebracht. Is dat niet het geval, dan zijn ze daar vaak wel mee bezig. Slechts zes procent valt niet in één van beide groepen in te delen, waardoor VMware vooral dit uitlicht als het goede nieuws. Bij de overgrote meerderheid lijkt er dus het besef dat security één van de belangrijkste thema’s moet zijn.

Het heeft er toe geleid dat bijna de helft van de bedrijven 11 tot 30 procent van het IT-budget reserveert voor cybersecurity. Bijna een kwart kiest er zelfs voor om nog meer van het IT-budget in cybersecurity te steken. De hoogte van die investering is afhankelijk van de data waarmee gewerkt wordt. Is die bijvoorbeeld erg kritiek voor de bedrijfsvoering en privacy van de klanten, dan is het logisch dat er meer budget in security gaat zitten.

Geen garantie

Dit soort statistieken tonen aan dat er weldegelijk werk gemaakt wordt om veiligheid te garanderen. De realiteit leert ons echter dat vrijwel niemand gevrijwaard is van cybercrime, zo concludeert ook VMware. Deze constatering kent eigenlijk twee oorzaken. Allereerst is het lastig om alles te beveiligen. Er dient rekening gehouden te worden met de security van de netwerken, de cloud, de endpoints en awareness onder personeel zodat zij zorgvuldig met kostbare bedrijfsbezittingen omgaan. Wil je bijvoorbeeld de cloud zo veilig mogelijk hebben, dan dien je een variëteit aan oplossingen te omarmen. Hierover gingen we al eens in gesprek met Dimension Data.

Anderzijds is het ook zo dat je met al de mogelijke security-oplossingen implementeren wel een goede defensie hebt, maar dat het geen 100 procent veiligheid biedt. Hoe goed de oplossingen van de verschillende vendoren ook zijn, cybercriminelen blijven zoeken naar manieren om het bedrijfsnetwerk binnen te komen. En in sommige gevallen met succes.

Doordat het moeilijk is om alle gewenste security-maatregelen te treffen en cybercriminelen altijd op de loer liggen, zullen security-problemen voorlopig wel een big issue blijven. VMware keek zodoende ook naar wat de grootste problemen zijn in Nederland en constanteerde het volgende: malware op de computer (34 procent), malware op het netwerk (24 procent), DDoS-aanvallen (21 procent), ransomware (18 procent) en datadiefstal (17 procent).

IT-security basics

Deze voortdurende dreiging binnen het IT-landschap vraagt uiteindelijk toch om weer eens goed te kijken naar een aantal basis securityprincipes. Naar aanleiding van het onderzoek wil VMware dan ook het vijftal cyberhygiëneprincipes (tips) om de IT-security basics op orde te krijgen, nog eens benadrukken. Voor de meeste IT-decisionmakers niet hele nieuwe tips, maar zoals gezegd worden ze soms toch niet allemaal toegepast.

  • Least privilege – Waardevolle data moet zo goed mogelijk beschermd blijven. Eén van de methodes om dit te bewerkstelligen is medewerkers en gasten alleen de toegangsrechten geven die ze daadwerkelijk nodig hebben.
  • Microsegmentatie – Het netwerk inrichten in lagen en op zichzelf staande omgevingen zorgt voor bescherming van het hele systeem. Toegangspunten zijn daardoor niet kwetsbaar voor aanvallen. VMware benadrukt daarbij je perimeter niet te verwaarlozen, maar er ook niet blind op te vertrouwen.
  • Encryptie – Wanneer alle maatregelen falen en firewalls en toegangsprotocollen niet meer goed werken, zorgt versleuteling ervoor dat de opgeslagen data onbruikbaar is voor indringers. Daarmee is encryptie het laatste wapen tegen hackers.
  • Multi-factor authenticatie – Biometrische authenticatie heeft ervoor gezorgd dat security steeds persoonlijker wordt. Dat is een goede ontwikkeling, aangezien in het verleden een gestolen pincode wel eens voldoende was voor toegang tot bepaalde punten. De extra beveiligingslaag middels een vingerafdruk of gezichtscan is effectiever.
  • Patching – Zorg ervoor dat de nodige updates en upgrades doorgevoerd worden, de systemen vereisen niet voor niets een update. Serviceproviders reageren met de systeem- en software-updates onder andere op malware die geavanceerder wordt.

Gaat iedereen aan

Uiteindelijk weerspiegelt VMware hiermee problematiek die als erg logisch klinkt, maar de principes worden vaak niet door iedere medewerker binnen de organisatie gevolgd. Dat maakt het goed dat het onderzoek gelijk aangegrepen wordt om nog maar eens het belang van bijvoorbeeld multi-factor authenticatie aan te stippen. Dit is één van de richtlijnen waar niet alleen de IT-decisionmaker verantwoordelijkheden heeft, maar ook de secretaresse en accountmanagers. Een stukje bewustwording waar nog aan gewerkt moet worden, want de security basics worden helaas nog niet altijd gevolgd. Wellicht dat een volgend security-onderzoek van VMware daar progressie in vaststelt.