Prioriteit en kennis van cyberveiligheid

Het Amerikaanse security bedrijf Thycotic was een van de partijen die vorige week tijdens BlackHat een persbericht uitstuurde. Het ging hierbij niet om een methode om te hacken, maar juist om dat te voorkomen. Thycotic is namelijk een bedrijf dat zich bezighoudt met Privilege Management Security, zorgen dat alleen bevoegden toegang hebben tot data en applicaties dus.

Benchmark genaamd Security Measurement Index

Het persbericht heeft als onderwerp een benchmark onderzoek gehouden onder 400 personen wereldwijd die kennis horen te hebben van veiligheid, omdat dat hun dagelijkse job is. De uitkomst is een Security Measurement Index. Kennis hebben van dat soort overzichten is handig omdat het leert te begrijpen hoe bedrijven – wat je klanten kunnen zijn – omgaan met security.

Niet wat ze zeggen, maar wat ze doen

Het verschil tussen die twee blijkt heel duidelijk uit twee keyfindings: 32% van de bedrijven investeert in security zonder onderzoek vooraf. 80% evalueert nooit of de investeringen in security wel klopten en of daarmee aan de gestelde eisen is voldaan. Dat laatste zou je misschien zelfs kunnen vertalen met: we nemen wat extra loadbalancer en DDoS-mitigatie diensten af, maar of het echt nodig was en of het altijd werkt boeit niet.

De reden hiervoor is uiteraard ook boven tafel gekregen: het ontbreekt de meeste bedrijven aan kennis en middelen dit allemaal in kaart te brengen. Voor wie ooit een ISO27001 procedure is doorgelopen kan zich daar vast wel wat bij voorstellen. Veel bedrijven die wel weten hoe ze het kunnen bepalen, door bijvoorbeeld de security metrics tool van Thycotic in te vullen, geven aan dat dergelijke vragen en lijstjes helpen meer zicht op security te krijgen. Maar afhankelijk van het soort vraag blijkt dat nog steeds tot een derde hiermee niet geholpen is omdat ze de vervolgslag niet kunnen maken.

MKB extra kwetsbaar

Weinig verbazingwekkend is de conclusie dat de meeste MKB ondernemingen extra kwetsbaar zijn. De meesten hebben nog steeds niet door dat ze een perfecte stepping stone zijn voor aanvallen op grote ondernemingen of dat ze inmiddels zelf ook de nodige waarde hebben en daarmee rechtstreekse doelwitten vormen om aangevallen te worden.

Security heeft geen prioriteit

Uiteraard is ook gevraagd aan alle deelnemers aan deze benchmark waarom er zo weinig aandacht binnen het eigen bedrijf is voor een security metrics. De antwoorden waren zeer voorspelbaar – hier de top 4.
1. We do not have adequate resources
2. We do not have enough time
3. We do not have sufficient knowledge
4. We do not have enough budget

Handige lijst

Los van de bevindingen heeft de benchmark nog praktische meerwaarde. Met het onderzoek download je direct ook alle vragen mee. Het is een handige lijst met aandachtspunten – die overigens is gebaseerd op ISO 27001 – voor klanten en wellicht ook voor je eigen organisatie.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen