In een onderzoek dat onderdeel is van een whitepaper rondom Critical Security Controls, heeft Motiv 327 IT-beslissers in Nederland bevraagd. Daaruit komt naar voren dat het aandeel van organisaties dat meer dan 10 procent van het beschikbare IT-budget besteedt aan cybersecurity met 7 procentpunten is gestegen. Was dat voor de uitbraak van de pandemie nog 17 procent, uit het meest recente onderzoek komt dat dit nu 24 procent is. Een derde van de respondenten verwacht verder ook dat dat deze trend ook in 2021 zal doorzetten.

Die grens van 10 procent wordt in de wereld van cybersecurity aangehouden als de drempel om naar te streven als je security hoog genoeg op de agenda hebt staan. Laten we de 10 procent als ondergrens even los, dan zien we dat het budget is gestegen met 33 procent.

Nieuw speelveld

De oorzaak van de toegenomen investeringen laat zich op zich redelijk eenvoudig verklaren. Door de pandemie is de inrichting van organisaties compleet veranderd. Zo is de perimeter nog minder hard geworden dan hij al was, vanwege al het werken vanuit huis. Dat heeft ook gevolgen voor hoe je een organisatie beschermt tegen securitydreigingen. 65 procent van de respondenten geeft dan ook aan dat er meer aandacht is geweest voor cybersecurity sinds het begin van de uitbraak vergeleken met ervoor. 

Ondanks de toegenomen aandacht voor het thema en de toegenomen investeringen, komt uit het onderzoek van Motiv ook dat niet alleen maar gaat om better safe than sorry. 1 op de 5 bedrijven geeft aan daadwerkelijk doelwit te zijn geweest van een cyberaanval tijdens de crisis, waarvan 8 procent zelfs meerdere malen. Hoeveel meer dat is dan voor de pandemie het geval was, is niet zo eenvoudig te achterhalen, als we navraag doen bij Motiv met deze vraag. Een woordvoerder van het bedrijf vertelt ons het volgende: “We kunnen niet zeggen of het is toegenomen of afgenomen op basis van ons onderzoek. De cijfers in andere onderzoeken zijn daarin ook niet eenduidig. Wat we wel heel duidelijk zien is dat de aandacht en het bewustzijn in de corona periode is toegenomen. Waardoor cybercrime wellicht eerder ontdekt wordt.” 

Waarin investeren?

Zoals eigenlijk altijd wel het geval is bij dit soort onderzoeken, zien we ook hier weer wat op het eerste gezicht in ieder geval tegenstrijdige resultaten. Aan de ene kant geeft 71 procent van de respondenten aan dat hun beveiliging op orde is, maar maakt ook 51 procent zich zorgen over het toegenomen en toenemende aantal incidenten. Anders gesteld, ook onder de 71 procent die op dit moment tevreden is, zullen er zijn die meer gaan investeren.

motiv whitepaper Motiv

De grote vraag is vervolgens waar je die investeringen dan moet doen. Daar heeft Motiv zelf uiteraard een mening over. Daarbij gaat het er volgens Bastiaan Bakker, directeur business development bij Motiv ICT Security, in ieder geval over dat je alle basale zaken op orde hebt. Uit het persbericht dat Motiv hierover heeft laten uitsturen: “Mijn advies is dan ook aan het Nederlandse bedrijfsleven om te beginnen met het fixen van de basics. De beste tooling heeft namelijk alleen effect wanneer de basis op orde is.” Als je deze twintig procent op orde hebt, heb je volgens het al eerder aangehaalde whitepaper je weerbaarheid al tot boven de 80 procent opgekrikt. 

Wat deze zaken zijn? De eerste 6 van de in totaal 20 Critical Security Controls (best-practice richtlijnen) van het Center for Internet Security (CIS). Weten welke hardware en welke software je hebt, doorlopend vulnerability management, gecontroleerd gebruik van beheerdersrechten, veilige configuratie van om het even welke hardware en software en auditlogs die zijn verzameld beheren en analyseren.

Gebrek aan awareness als primair issue?

Kijken we naar de resultaten van het onderzoek, dan lijken veel respondenten hier al voorbij te kijken. 15 procent geeft aan dat vulnerability management (CSC 3) een investeringsthema is, verder zien we security awareness (37 procent), cloud security (39 procent), web- en e-mail security (41 procent) en netwerksecurity (44 procent). Dat zijn allemaal thema’s die niet binnen de eerste 6 controls vallen, waarbij awareness sowieso een beetje een vreemd eend in de bijt is. Dat is geen onderdeel van de CSC, of in ieder geval geen specifieke control. Het zal ongetwijfeld onderdeel zijn van vrijwel iedere control overigens.

De grote vraag als het gaat om waar je het best kunt investeren, is wat ons betreft vooral hoe het advies van Motiv bij monde van Bakker zich verhoudt tot de thema’s die spelen bij de doelgroep. Het kan zijn dat de eerste 6 controls ook bij deze respondenten nog niet goed genoeg op de radar staat en derhalve ontbreken. Je zou dan kunnen zeggen dat een van de investeringsthema’s (een gebrek aan security awareness) ervoor zorgt dat ze niet goed in kunnen schatten waar ze moeten beginnen en je feitelijk eerst daarin moet investeren alvorens je de basics op orde kunt krijgen.

Het kan uiteraard ook zijn dat een groot gedeelte van de respondenten die basics al wel gewoon op orde heeft en dat de eerste 6 controls daarom niet meer prominent op de radar staan. Dat lijkt ons sterk, dus we zouden eerder geneigd zijn om het eerste scenario aan te nemen.

Wat de exacte achterliggende oorzaken ook mogen zijn van de hierboven genoemde verschillen, hernieuwde aandacht voor de basics op het gebied van cybersecurity is eigenlijk zelden een slecht idee. En dat kan nu dus ook beter gerealiseerd worden, met de toegenomen budgetten die ervoor vrijgemaakt worden.

Copyright © 2020 IDG Communications, Inc.



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here