Nederlandse IT-beveiligers zijn goed bezig

Het veldwerk van de Nationale IT-Security Monitor is afgerond. Meer dan 200 beslissers op het gebied van IT-security bij organisaties met 50 of meer medewerkers hebben de moeite genomen om zich door een lange lijst te worstelen met vragen omtrent het gebruik en de uitdagingen van IT-security in Nederland. De survey biedt een schat aan materiaal, die we het komende jaar op alle mogelijke manieren gaan analyseren en waarbij een groot aantal thema’s de revue zullen passeren. Voordat we de diepte ingaan, zetten we hier graag een aantal van de meest opvallende uitkomsten op een rij.

1. Security wordt bijzonder serieus genomen

De belangrijkste aanleiding om het securitybeleid te wijzigen, is ook in 2014 nog altijd het plaatsvinden van een incident. Toch lijken de onderzoeksresultaten erop te wijzen dat Nederlandse organisaties het securitybeleid structureler aanpakken dan ooit tevoren. Voor bijna evenveel organisaties vormen analyses op het gebied van risicobeheersing met betrekking tot bedrijfsprocessen en het ontstaan van nieuwe dreigingen een belangrijke aanleiding. Daarmee lijkt de Nederlandse IT-security strategie pro-actiever dan ooit.

Nederlands organisaties investeren ook steeds meer in IT-beveiliging. In 2014 verwacht men dat de uitgaven aan IT-beveiliging gemiddeld met 11% toenemen en volgend jaar zelfs met 14%. De topprioriteiten liggen op het vlak van netwerkbeveiliging en identiteits- en toegangsbeheer. Op dit laatste gebied neemt de groei, ondanks de topprioriteit, het komend jaar sterk af. Het hoogtepunt lijkt daar dus nu wel bereikt te worden. Investeringen in netwerkbeveiliging blijven sterk groeien, maar de sterkste groei komt uit een hele andere hoek: mobiele security.

De meeste organisaties lichten minimaal eens per jaar het hele IT-beveiligingsplan grondig door. Er wordt beleid geformuleerd op het gebied van databeveiliging, op het gebied van user awareness, op het gebied van privacy, enzovoorts. Toch kent het beleid ook wat zwakke plekken, waaruit blijkt dat de pro-actieve houding nog niet helemaal op het ideale niveau is. Het beleid is er vooral op gericht om de huidige IT-omgeving te beveiligen. Zo zegt maar 18% van de organisaties dat software ontwerpregels een onderdeel zijn van het securitybeleid en niet meer dan 27% van de organisaties heeft een securitybeleid voor het testen van nieuwe oplossingen. Ook is het beleid ter voorbereiding op de Europese Data Protectie Verordening verre van algemeen.

Figuur 1: Reikwijdte IT-Security strategie

Vraag: Op welke gebieden heeft uw organisatie beleid geformuleerd op het gebied van IT-beveiliging?

Figuur 2: Hoe wordt de IT-Security strategie geëvalueerd?

Vraag: Op basis waarvan evalueert u het beveiligingsbeleid?

2. Security is meer dan ooit een moving target

Toch is het belangrijk dat IT-beveiligers in staat zijn om de aandacht meer te verleggen naar opkomende en toekomstige uitdagingen. Meer dan ooit is IT-security een moving target. Natuurlijk worden aanvallen steeds ingenieuzer en/of grootschaliger. Veel van de inspanningen van IT-security zijn erop gericht om de organisatie hier zo goed mogelijk tegen te beschermen. Maar er liggen ook hele grote uitdagingen in het veranderende gebruik van informatietechnologie. Juist daar lijkt IT-security moeite te hebben om grip te krijgen:

De helft (49%) van de respondenten geeft aan dat er onvoldoende kennis aanwezig is om cloudoplossingen veilig te kunnen gebruiken. Tel daarbij op dat binnen bijna de helft van de organisaties de IT-beveiligers niet zeker weten of ze alle cloudtoepassingen in het vizier hebben en je begrijpt waarom veel beveiligers liever geen cloudoplossingen binnen hun organisatie zien.

Ook geeft de helft (51%) aan dat er onvoldoende kennis aanwezig is om smartphones en tablets veilig te kunnen gebruiken. Om het toch in goede banen te leiden, wordt veelal maar beperkt toegang gegeven tot bedrijfsapplicaties en zet men encryptie in. Maar een eenvoudige virusscanner ontbreekt bijvoorbeeld in de meeste gevallen.

Figuur 3: Hoe wordt de IT-Security strategie geëvalueerd?

Vraag: Bent u het eerder eens of oneens met de volgende stellingen?

Wel zien we een zeer positieve ontwikkeling op het gebied van het ontwerpen van nieuwe software. Binnen driekwart van de Nederlandse organisaties worden zowel de regels ‘secure by design’ als ‘private by design’ gehanteerd. Dat financiële dienstverleners hierin voorop blijken te lopen zal niemand verbazen. Dat men op dit gebied juist in de zorg achterloopt, is zorgelijk. Helaas lijkt het erop dat deze ontwerpregels maar matig geborgd zijn in de beleidsvorming van IT-security (zie vorige paragraaf). Bij veel organisaties, vooral in de zorg, geeft men dan ook toe dat bij de ontwikkeling van nieuwe applicaties security pas op het laatst wordt ‘toegevoegd’.

Figuur 4: Hoe vaak wordt security pas op het laatst toegevoegd?

Vraag: Bij het ontwikkelen van nieuwe software komt security pas bij het eind van het proces in beeld - Ben u het eerder eens of oneens met deze stelling? Percentage 'Eens' wordt weergegeven in de figuur.

3. Nederland is nog lang niet klaar voor de Europese Data Protectie Verordening

Ook op een ander gebied mag IT beveiliging wel iets meer op de ontwikkelingen vooruitlopen, hoewel je de vraag zou kunnen stellen of IT beveiliging hier leidend zou moeten zijn. De meeste organisaties zijn zich er terdege van bewust dat er vanuit Europa een data protectie verordening aankomt, waarbij overtreders tegen niet misselijke boetes aanlopen.

Het goede nieuws is dat de meeste organisaties die het aangaat - organisaties met 250 of meer medewerkers - bezig zijn om zich voor te bereiden. Het minder goede nieuws is dat er nog heel veel moet gebeuren. Zo heeft niet meer dan 6% een (verplichte) Data Protection Officer aangewezen. Alleen op het gebied van de meldplicht datalekken loopt het percentage wat op, maar dat komt vooral omdat de wetgeving op dat gebied al vooruitloopt.

Figuur 5: Wie is er klaar voor de Algemene Data Protectie Verordening?

Vraag: In welke mate is uw organisatie voorbereid op de volgende eisen van de Dataprotectie Verordening? [Organisaties >249 medewerkers]

We zouden hier graag alle bedrijven die zich in de diverse trajecten bevinden aanmoedigen om het tempo erin te houden. Maar vooral willen we de organisaties wakker schudden die nog altijd niet door hebben dat ze aan de bak moeten en wat ze dan moeten doen.

De onderkant van de ijsberg

De eerste analyse van de Nationale IT-Security Monitor laat zien dat Nederlandse IT-beveiligers goed bezig zijn. Ze zijn steeds pro-actiever en kijken steeds beter naar alle veranderingen die in de markt plaatsvinden. Toch zullen ze de ruimte moeten zien te vinden om niet alleen bij te blijven, maar ook meer te anticiperen op komende ontwikkelingen. Met elke technologische verandering ontstaan er nieuwe gaten in de beveiligingsmuur en het duurt vaak nog te lang voordat deze gaten gedicht worden. Wie in staat is om deze gaten sneller te dichten of zelfs te voorkomen, helpt zijn organisatie om nieuwe technologische mogelijkheden sneller te omarmen en een voorsprong op de concurrentie te nemen. Met disruptie op de loer in vrijwel iedere sector, is het belang hiervan niet te onderschatten.

In de komende maanden gaat Pb7 Research verder met het analyseren van de onderzoeksgegevens, zodat we ook de onderkant van de ijsberg inzichtelijk voor u kunnen maken. Wilt u meer weten over hoe andere organisaties omgaan met security beleid, cloud beveiliging, consumerization, IT-security training, databeveiliging, advanced threat protection of bijvoorbeeld risicobeheersing, houdt ons dan vooral in de gaten!

Peter Vermeulen is directeur van Pb7 Research

Nationale IT-Security Monitor 

De Nationale IT-Security Monitor is een initiatief van FenceWorks - uitgever van onder andere AppWorks, CloudWorks, Digitalezorg.nl magazine en Infosecurity Magazine - en Pb7 Research en is mogelijk dankzij de medewerking van:

• Sogeti

• Fortinet
• Sophos
• TecHarbor
• Trend Micro
• TSTC
• Vest

Reactie Sogeti:

“De resultaten van dit onderzoek bevestigen onze ervaringen met klanten dat organisaties alom een verschuiving maken van een reactieve naar een pro-actieve aanpak voor IT-security. Dat is een goede ontwikkeling. Tegelijkertijd krijgen we met deze Nationale IT-Security Monitor ook een goed inzicht in de uitdagingen. We zullen ons meer moeten voorbereiden op de toekomst. Zo ook aan ons de taak om organisaties beter wegwijs te maken naar een veilige cloud-omgeving.” Aldus Rogier van Agt, verantwoordelijk voor IT-security dienstverlening bij Sogeti.

Reactie Sophos:

"Het is verheugend om te constateren dat steeds meer Nederlandse bedrijven serieus nadenken over het opzetten van een structureler security-beleid. Met het oog op de enorme risico’s die mobiele werknemers lopen, raden wij bedrijven en instellingen aan een formeel BYOD (bring your own device)-beleid op te stellen. Wij kunnen ons levendig voorstellen dat managers zich desondanks zorgen maken of ze wel voldoende kennis in huis hebben. Voldoen we wel aan de nieuwste wet- en regelgeving? is in dit verband een terechte en relevante vraag. Sophos heeft goed nieuws. Sophos Mobile Control en SafeGuard Encryption zijn getoetst en voldoen aan de nieuwste eisen van de aankomende Europese Data Protectie Verordening. Hiermee voorkomt u dat BYOD een nachtmerrie wordt." Aldus Pieter Lacroix, managing director Sophos.

Reactie Trend Micro:

"Alhoewel security steeds vaker bovenaan de agenda komt te staan, blijkt uit dit onderzoek dat bedrijven vaak pas actie ondernemen na een incident. Het is een inkopper, maar het credo 'voorkomen is beter dan genezen' geldt zeker ook bij cybercrime. Maar weinig organisaties kunnen zich de imagoschade en kosten permitteren die cyberaanvallen met zich mee brengen. Daarnaast blijkt ook dat de helft van de it-specialisten vindt dat ze onvoldoende kennis in huis hebben om optimale security-garanties te kunnen bieden aan medewerkers in hun organisatie. We vinden het belangrijk om krachten en kennis te bundelen om zo van elkaar te kunnen leren en echt goede oplossingen te vinden in de strijd tegen cybercrime, vandaar dat Trend Micro sinds kort gratis kennissessies organiseert (www.letstalkabout-it.nl)." Aldus Tonny Roelofs, country manager Trend Micro.

Reactie Vest:

"De Nationale IT-security monitor laat een aantal interessante uitkomsten en ontwikkelingen zien. Belangrijke ontwikkelingen welke ook in deze uitgave terugkomen zijn de principes ‘by design’ en ‘by default’. De adoptie ervan volgt daarbij ook de ontwikkelingen binnen de hernieuwde ISO27002 standaard, waarbij meer aandacht is voor onder andere eisen aan het software ontwikkelproces. Ook vermeldt de ISO standaard dat er binnen elk willekeurig project aandacht dient te worden gegeven aan informatiebeveiliging. In een privacy context is ‘by default’ een van de speerpunten van de aanstaande dataprotectie verordening. Door vooraf na te denken over beveiligingsaspecten kan belangrijke winst behaald in het verminderen van incidenten, en prettige bijkomstigheid, uw organisatie is meer in control." Aldus Kees Mastwijk, senior Security Consultant Vest informatiebeveiliging.