Acht redenen waarom uw cybersecurity-strategie een continu proces moet zijn

Bert-Stam-Rackspace-2-430x298

We zijn in de afgelopen decennia allemaal min of meer afhankelijk geworden van digitale middelen. In de laatste jaren hebben deze middelen zich bijna allemaal verplaatst naar de cloud. Waar voorheen de verantwoordelijkheid van de beveiliging van bijvoorbeeld persoonlijke gegevens heel eenvoudig lag bij de aanbieder van een bepaalde service, zijn er door de cloud-structuren ingewikkeldere situaties ontstaan. De aanbieder van de service is weliswaar nog altijd verantwoordelijk, maar de manier waarop hij de beveiliging moet regelen is sterk veranderd, omdat daar nu ook andere partijen bij betrokken zijn. Bovendien is het dreigingslandschap door de cloud-structuur ook anders dan voorheen. Tot slot worden de dreigingen niet alleen steeds groter, maar hebben deze ook betrekking op steeds meer facetten van het leven van mensen. Organisaties kunnen er niet onderuit om hun verantwoordelijkheid te nemen. Het opzetten van een cybersecurity-strategie is de eerste stap, maar de vervolgstap is misschien nog veel belangrijker: het doorlopend evalueren van de cybersecurity-strategie. Zijn (vitale) organisaties van vandaag de dag zich voldoende bewust van alle (online) kwetsbaarheden?

Binnen de EU is Nederland steeds actiever op het gebied van cybersecurity, onder andere door het stimuleren van cyber-sancties. De Defensie Cyberstrategie is een belangrijk instrument om de komende jaren in publiek, privaat en weten­schappelijk verband de cybersecurity van Nederland aan te pakken. Het doel? Nederland moet digitaal weerbaar worden en controle krijgen over de eigen IT- en wapensystemen. Maar los van de overkoepelende nationale strategie moeten organisaties ook zelf opstaan om zich tegen cybercriminaliteit te weren.

Of een organisatie zojuist een strategie heeft ontwikkeld of al jaren met cybersecurity bezig is, het is ontzettend belangrijk om deze strategie een hoge prioriteit te geven en continu te evalueren. Waarom? Deze acht redenen moeten meer dan genoeg zeggen.

1) Cyberaanvallen nemen toe

De frequentie, soort en ernst van cyberaanvallen blijven toenemen. Het aantal doelgerichte cyberaanvallen per organisatie is in 2018 (223 aanvallen) meer dan verdubbeld ten opzichte van 2017 (106 aanvallen). Grote bedrijven melden meer incidenten door een aanval van buitenaf dan kleinere bedrijven (Cybersecuritymonitor CBS, 2019). Maar wat de omvang van een organi­satie ook is, het aantal aanvallen neemt bij elk bedrijf toe.

Naarmate nieuwe en bestaande bedreigingen evolueren, moet ook de huidige cybersecurity-strategie dat doen om effectief te blijven. Het voortdurend evalueren en bijstellen van de cybersecurity-­strategie is dus van cruciaal belang om de omgeving veilig te kunnen stellen.

2) Criminelen zijn sluwer dan ooit

Internationale spanningen nemen toe en daarmee ook de dreiging van politiek gemotiveerde cyberspionage. Volgens het Verizon-rapport van 2019 wordt 39 procent van de aanvallen gedaan door criminele groeperingen, 23 procent is gesponsord door nationale staten en 69 procent door ‘buitenstaanders’. De drie belangrijkste datadoelen zijn toegangs­gegevens, bedrijfsgeheimen en bankgegevens.

3) De waarde van gegevens neemt toe

Data zijn steeds waardevoller voor bedrijven. Organisaties blijven daarom op grote schaal persoonsgegevens verzamelen, met een vergroot risico op datalekken als gevolg. De directe kosten van datalekken lopen op tot 1,1 procent van de marktwaarde van het bedrijf (Risicorapportage Cyberveiligheid, 2018). Een gestolen dataset kost gemiddeld 134 euro, terwijl de gemid­delde schade per volledig incident 3,51 miljoen euro bedraagt (Verizon 2019 Data Breach Investigations Report).

4) Het duurt maanden om aanvallen te ontdekken

In 2017 hadden bedrijven, overheden en organisaties gemiddeld 175 dagen nodig om aanvallers te detecteren. Een groot aantal zwakheden of aanvallen dat een securityteam niet signaleert, wordt ontdekt door ingehuurde hackers (bij 49 procent in de top 3), via branchegenoten of door concurrenten (bij 67 procent in de top 3). De politie ontdekt slechts tien procent van de aanvallen (Accenture, 2018).

5) Het hoogste veiligheidsrisico zijn medewerkers

Phishing blijft een van de succesvolste manieren om inloggegevens en bankdata te bemachtigen. Nep-mails zijn zelfs voor het getrainde oog soms moeilijk van echt te onderscheiden. Hoewel het aantal gemelde phishing-mails wereldwijd sterk fluctueert over de tijd, is er een stijgende lijn te zien. Ongeveer 30 procent van deze berichten wordt door het doelwit geopend. Zonder toegewijde en terugkerende training van personeelsleden om de awareness voor phishing en cybercrime te vergroten, valt niet te verwachten dat dit in de komende jaren minder wordt.

6) Firewalls onvoldoende

Een virusscanner en firewall zijn vandaag de dag niet meer genoeg. Aanvallen die firewalls niet kunnen stoppen zijn onder andere phishing en moedwillige diefstal van data door medewerkers. Uit een onderzoek van Forrester Research is gebleken dat 48 procent van de IT-professionals een verhoogde kwetsbaarheid opmerkten als gevolg van verouderde firewalls. Trends zoals mobiele en cloud computing hebben het speelveld waar firewalls doorgaans worden ingezet, verkleind. Organisaties moeten hun algemene beveiligings­strategie herzien om dergelijke trends aan te pakken en ervoor te zorgen dat hun beveiligingsmiddelen toereikend zijn om de nieuwe cyberrealiteit te beveiligen.

7) Cybersecurity: géén 9-tot-5-mentaliteit

Beveiligingsteams willen hun netwerken effectiever beschermen maar worden mogelijk beperkt in het vermogen hun plannen uit te voeren. In het Cisco beveiligingsrapport 2016 zijn de volgende belemmeringen voor beveiligingsupgrades gevonden: budget­beperkingen (39%), compatibiliteits­problemen (32%), certificeringsvereisten (25%), conflicterende prioriteiten (24%), te hoge werkdruk (24%), gebrek aan kennis, cultuur/houding van organisatie (beide 23%), gebrek aan getraind personeel (22%) en ‘wil pas aanschaffen wanneer bewezen’ (22%) en als laatste buy-in door hoger management (20%). Het bemannen van een 24 x 7 x 365 security center is vandaag de dag buiten het bereik van veel organisaties.

8) IT is nog niet klaar

Los van alle bedreigingen die spelen, is er vaak nog geen uitgebreide strategie om aanvallen te identificeren en te stoppen. De strategie moet doordacht zijn om effectief te kunnen zijn. Daarnaast ontbreekt het vaak aan instrumenten en middelen die nodig zijn om bedreigingen te monitoren.

Het is nooit klaar

Deze acht ontwikkelingen laten duidelijk zien dat een cybersecurity-strategie nooit ‘af’ is. Met een beweging naar de cloud ontstaat er zo een volledig nieuwe dreigingssituatie. Maar dat is slechts één evoluerende factor die de noodzaak dringend maakt om van security een proces te maken in plaats van een project. En daarom bestaat een goede cybersecurity-strategie uit defensieve en preventieve tactieken. Zo worden organisaties ontlast van de eigen vereisten op het gebied van beveiliging, compliance en beheer. Uiteindelijk willen we allemaal de dreigingen op tijd evalueren en kunnen beperken.

Het continu verbeteren van de cybersecurity-strategie is hiervoor een absolute voorwaarde.

Bert Stam, Sales Director Northern Europe, Rackspace