'Bedrijven moeten werk maken van hun IT-security basics'

Organisaties in Nederland doen er goed aan te kijken of hun IT-security voldoet aan de minimale eisen die nodig zijn om veilig te kunnen werken. Veel organisaties in ons land maken nog geen gebruik van eenvoudige basistechnologie om hun netwerken, apparaten, data en medewerkers te beveiligen. Dat blijkt uit een grootschalig security-onderzoek dat VMware in Nederland en België heeft laten uitvoeren onder managers en professionals die betrokken zijn bij de IT-organisatie in hun bedrijf. VMware raadt alle IT-beslissers binnen Nederlandse organisaties dan ook aan om in de planning voor 2019 de nodige aandacht te besteden aan een optimaal securitybeleid en daarbij minimaal de basic cyber hygiëne-principes toe te passen.

Goed nieuws

Eerst het goede nieuws: vrijwel alle Nederlandse organisaties hebben hun visie op security, met het bijbehorende beleid en de procedures, duidelijk in kaart gebracht of zijn daar momenteel mee bezig. Ongeveer 52 procent van de Nederlandse respondenten heeft alles op papier uitgewerkt en 42 procent is daar momenteel mee bezig. Bovendien is in de helft van de Nederlandse organisaties elke werknemer op de hoogte van het securitybeleid waarbij in bijna 15 procent ook audits wordt uitgevoerd om dit te toetsen. Dit betekent tegelijkertijd dat in ongeveer 46 procent van de organisaties niet iedereen op de hoogte is van het securitybeleid. Opmerkelijk is dat onder bijna vier procent van de Nederlandse respondenten niemand van het personeel op de hoogte is van het securitybeleid.

VMWare

“Bij de overgrote meerderheid van de bedrijven leeft het besef dat security meer is dan alleen de juiste hardware en software installeren. Organisaties moeten echter niet alleen een beleid uitwerken maar ook medewerkers trainen zodat ze weten waar het fout kan gaan en wat ze mogen en kunnen doen. Daarbij zit veiligheid vaak in kleine, eenvoudige zaken, bijvoorbeeld op openbare plaatsen zorgen dat niet iedereen kan zien wat er op je scherm staat”, zegt Leon de Werker, Senior Regional Director Benelux van VMware.

Investeren

In een economie die steeds digitaler wordt, zijn data en de IT-omgeving zeer bedrijfskritisch. Dat is duidelijk te zien in de budgetten die de organisaties beschikbaar hebben voor de beveiliging van hun data en IT-infrastructuur. Uit het onderzoek blijkt dat meer dan 47% procent van de Nederlandse bedrijven tussen de 11 en 30 procent van hun IT-budget heeft gereserveerd voor beveiliging. Nog eens een kleine 20 procent investeert wel 31 tot 50 procent van het jaarlijkse IT-budget in security-oplossingen. Een kleine vijf procent van de bedrijven in ons land besteedt zelfs meer dan de helft van het IT-budget aan security.

Leon de Werker: “Hoeveel je exact moet investeren in IT-security, hangt in grote mate af van het soort data waar je mee werkt en hoe kritiek die data voor de privacy van je klanten en voor je bedrijfsvoering is. Dankzij digitalisering is security is noodzakelijk om je IT en business draaiende te houden. Toch is het wenselijk om de kosten van de implementatie en het operationeel budget voor security zo laag mogelijk te houden, zodat dit niet ten koste gaat van innovatie en groei. Als je veertig procent of meer van het IT-budget uitgeeft aan security, kan je kannibaliseren op innovatie en human capital blokkeren: Je moet voorkomen dat IT-specialisten zich voornamelijk moeten bezighouden met security issues. Hou hiermee rekening bij je investeringsbeleid voor het komende jaar.”

Malware grootste security issue in Nederland

Ondanks campagnes om iedereen bewust te maken van de potentiële gevaren van bepaald gedrag (of het gebrek daaraan), is de realiteit dat vrijwel niemand gevrijwaard is van cybercrime. Alleen al in het afgelopen jaar heeft 71 procent van de bedrijven in Nederland één of meerdere security issues gehad. Van alle opties die respondenten konden selecteren kwam malware het vaakst voor. Dit is de top vijf van security issues in Nederland:

  1. Malware op de computer (34%)
  2. Malware op het netwerk (24%)
  3. DDoS-aanval (21%)
  4. Ransomware (18%)
  5. Datadiefstel (17%)

Populaire maatregelen om risico’s te verkleinen

Encryptie, waarbij data wordt versleuteld zodat de derden hier niets mee kunnen doen, wordt op verschillende manieren ingezet in 75 procent van de Nederlandse bedrijven. Zo worden bestanden op het netwerk en/of mobiele apparaten en vaak ook dataverkeer binnen en buiten het netwerk versleuteld. Opvallend: in 25 procent van de bedrijven wordt data op geen enkele manier en op geen enkel apparaat versleuteld.

Een ander belangrijk IT-security-toepassing is het controleren van de toegang tot het netwerk en de data die in gebruik is. Bijna 82 procent van de ondervraagden in Nederland zegt goed inzicht te hebben in wie zich wanneer en vanaf welke locatie toegang tracht te verschaffen tot het netwerk en de applicaties van de organisatie.

De impact van een datalek is enorm. Organisaties kunnen hoge boetes krijgen en lopen daarbij het gevaar op imagoschade. Wanneer de bewuste data ook niet meer beschikbaar is heeft het ook direct gevolgen voor de bedrijfsvoering. Eerder onderzoek van VMware laat zien dat zo’n 70 procent van de mkb-bedrijven failliet gaat na een serieuze datadiefstal. Organisaties trachten daarom datalekken zoveel mogelijk te vermijden door de risico’s te verkleinen. Een van de manieren om risico’s te verkleinen is zorgen dat systemen altijd voorzien zijn van de laatste updates en patches. Uit het onderzoek blijkt dat met ruim 50 procent geforceerde automatische updates van endpoints (pc’s en mobiele devices) de voorkeur heeft boven het handmatig updaten door de eindgebruikers. Slechts in iets meer dan acht procent van de gevallen mogen eindgebruikers helemaal zelf weten welke updates ze wanneer doorvoeren.

“Automatisering is een belangrijke stap in security. Het geeft je de mogelijkheid om compliant te zijn of worden met regelgeving zoals de GDPR. Het updaten overlaten aan de werknemer zorgt per definitie voor een zwakke schakel in de beleid. Het gaat daarbij ook niet alleen over het pc-park up-to-date houden maar ook de talrijke smartphones en andere mobiele en IoT-devices die in gebruik zijn, want het aantal IoT-devices overstijgt inmiddels de hoeveelheid andere apparaten die op internet zijn aangesloten”, zegt De Werker.

Wanneer er toch sprake is van een inbraak, komt het er op aan om het lek zo snel mogelijk te identificeren en onwenselijk verkeer te isoleren op het netwerk. Dit kan door gebruik te maken van microsegmentatie waarbij het netwerk wordt onderverdeeld in kleinere segmenten van elkaar kunnen worden afgesloten. Ongeveer 45 procent van de respondenten in Nederland geeft aan dat hun organisatie deze techniek reeds gebruikt. Tegelijkertijd heeft bijna 28% nog nooit van deze technologie gehoord.

Nederland versus België

Over het algemeen laten Nederlandse respondenten net iets hogere scores zien dan hun collega’s in België op vlak van security. Zo is in ons land het securitybeleid beter bekend bij het personeel. Op vlak van gebruikte IT-security tooling zien we in België dat bijna 27% geen enkele vorm van versleuteling toepast en bijna 41 procent heeft geen idee wat microsegmentatie inhoudt.

Cyber hygiëne

“Dit onderzoek toont wederom aan dat ondanks dat er veel wordt gesproken over security, er nog veel moet gebeuren om organisaties en hun medewerkers echt veilig te maken. Wij adviseren organisaties die geen idee hebben waar te beginnen of zeer beperkte budgetten hebben te starten met de vijf ‘cyber hygiëne-principes’ die we ook in dit onderzoek hebben meegenomen. Deze principes houden in dat de juiste mensen, op basis van multi-factor authenticatie, toegang moeten hebben tot de juiste data en systemen, versleuteling zorgt ervoor dat derden niets aan jouw data hebben, je systemen altijd de laatste updates draaien en dat microsegmentatie maakt dat je snel kunt handelen wanneer er toch iets fout gaat”, besluit De Werker.