Nieuwegein, 21 juli 2015 - Wereldwijd onderzoek van RSA, de security-divisie van EMC, wijst uit dat grote bedrijven hun IT-beveiliging niet per se beter op orde hebben dan kleinere bedrijven. RSA trekt deze conclusie in zijn Cybersecurity Poverty Index die is opgesteld na onderzoek onder 400 security-professionals uit 61 landen. Zij moesten voor dit onderzoek zelf de volwassenheid van hun cybersecurity-programma vaststellen door het
NIST Cybersecurity Framework (CSF) als maatstaf te gebruiken.
De security-professionals hebben hun bedrijf punten toegekend op de volgende thema’s: Identify, Protect, Detect, Respond en Recover. Dat geeft een beeld van hoe volwassen zij hun organisatie, allen variërend in grootte, industrie en geografie, achten op het gebied van cybersecurity. Hier kwam uit naar voren dat maar liefst 75 procent van de bevraagde professionals, de security-volwassenheid van zijn of haar organisatie onvoldoende vindt.
Veel security-incidenten
Dat gebrek aan volwassenheid is in wezen niet vreemd, omdat veel van de onderzochte bedrijven het afgelopen jaar te maken kregen met security-incidenten die resulteerden in schade of verlies. Bedrijven voelen zich het meest volwassen op het gebied van ‘Protection’.
Uit de onderzoeksresultaten komt naar voren dat het meest volwassen onderdeel van cybersecurity in veel organisaties in preventie zit. Een opvallende uitkomst aangezien preventieve strategieën en -oplossingen vaak onvoldoende bescherming bieden. Dit vanwege almaar geavanceerdere aanvallen.
Achilleshiel in cybersecurity-risico’s
De grootste achilleshiel van de onderzochte organisaties is het vermogen om cybersecurity-risico’s te meten en aanvallen af te weren. Zeker 45 procent geeft aan dergelijke mogelijkheden niet in huis te hebben of alleen ad hoc toe te passen. Slechts 21 procent geeft aan volwassen te zijn op dit gebied. Het gebrek hieraan maakt het moeilijk, of zelfs onmogelijk, security-activiteiten en -investeringen te prioriteren.
Investeren in Detect & Respond
Het onderzoek laat verder zien dat de omvang van een organisatie niets zegt over zijn volwassenheid. Zo geeft 83 procent van de onderzochte organisaties met meer dan 10.000 werknemers aan dat de volwassenheid op het gebied van cybersecurity onder het niveau ‘ontwikkeld’ scoort. Er lijkt bij die organisaties behoefte aan meer ervaring met, en inzicht in geavanceerde bedreigingen. De lage scores die de respondenten zichzelf geven, lijken te wijzen op een groeiende behoefte naar ‘detect-’ en ‘respond’-oplossingen, om tot volwassen security te komen.
Sectoren
Opmerkelijk zijn de resultaten in de financiële sector, die vaak gezien wordt als meest volwassen op het gebied van security. Ondanks dit imago, beoordeelt slechts een derde van de respondenten in deze industrie zijn organisatie als ‘goed voorbereid’. Ook bedrijven die actief zijn op het gebied van kritieke infrastructuren, de oorspronkelijke doelgroep van het CSF, moeten significante stappen zetten richting volwassenheid. De helft van de respondenten in deze sector geeft aan een ‘enigszins ontwikkeld’ of ‘geavanceerd’ beleid te hebben op het gebied van cybersecurity. Dat percentage is bij de overheid slechts 18 procent, waarmee het duidelijk de hekkensluiter vormt in dit onderzoek.
Ondanks dat het CSF is ontwikkeld in de Verenigde Staten, geven organisaties in EMEA en APJ zichzelf een hogere score. Vooral organisaties in APJ (Azië, Pacific en Japan) scoren hoog, waarbij 39 procent zijn cybersecurity-volwassenheid als ‘ontwikkeld’ of zelfs ‘geavanceerd’ bestempelt. Dit percentage ligt in EMEA en Noord- en Zuid-Amerika op respectievelijk 26 procent en 24 procent.
Corné van Rooij, District Manager Benelux van RSA: “Dit onderzoek laat duidelijk zien dat ondernemingen nog steeds veel investeren in next generation firewalls, anti-virus en geavanceerde malware-beveiliging in de hoop dat geavanceerde bedreigingen worden gestopt. Ondanks deze investeringen voelen zelfs de grootste bedrijven zich niet optimaal beschermd tegen de dreigingen waar ze mee te maken krijgen. Deze situatie is het resultaat van de huidige security-modellen, die enkel focussen op preventie om geavanceerde bedreigingen het hoofd te kunnen bieden. We moeten onze manier van denken over security veranderen en dat begint bij het onderkennen dat alleen preventie niet meer werkt en dat er meer aandacht uit moet gaan naar strategieën die gebaseerd zijn op detectie en respons.”
-------
*Over het onderzoek
Om inzicht te krijgen in de volwassenheid, hebben respondenten zichzelf een score gegeven op basis van het
NIST Cybersecurity Framework (CSF). Het CSF is ontwikkeld op basis van bestaande standaarden, richtlijnen en best practises om cyber-risico’s te reduceren en is het resultaat van een samenwerking tussen de industrie en overheden. De methode is ontwikkeld in de VS voor kritieke infrastructuren, maar inmiddels maken organisaties wereldwijd er gebruik van om hun cyber-risico’s te beheren. Hierdoor is het een prima basis om de volwassenheid van de cybersecurity van elke organisatie te kunnen meten.
Organisaties hebben hun eigen mogelijkheden beoordeeld op vijf belangrijke punten die door het CSF zijn gedefinieerd: Identify, Protect, Detect, Respond en Recover. Er wordt gebruik gemaakt van scores op een schaal van 5 waarbij de score 1 inhoudt dat een organisatie geen enkele ervaring heeft op een bepaald punt en score 5 geeft aan dat de organisatie juist zeer volwassen is.
Over EMC
EMC Corporation is wereldwijd leider in het ondersteunen van bedrijven en service providers bij de transformatie van hun IT-activiteiten en de levering van ‘IT as a service’. Cloud computing is daarbij van fundamenteel belang. Door inzet van innovatieve producten en diensten versnelt EMC de transitie naar de cloud en helpt IT-afdelingen met het opslaan, beheren, beveiligen en analyseren van hun meest waardevolle bezit - informatie - op een flexibele, betrouwbare en kostefficiënte manier. Meer informatie over EMC op netherlands.emc.com.
Voor meer informatie
EMC
Angelique van der Kroft
T. 030 630 50 00
E. angelique.vanderkroft(at)emc.com
Whizpr
Winnie Silvertand
T. 0317 410 483
E. emc(at)whizpr.nl