Skip to content

Nederlandse IT-beveiligers zijn goed bezig

Het veldwerk van de Nationale IT-Security Monitor is afgerond. Meer dan 200 beslissers op het gebied van IT-security bij organisaties met 50 of meer medewerkers hebben de moeite genomen om zich door een lange lijst te worstelen met vragen omtrent het gebruik en de uitdagingen van IT-security in Nederland. De survey biedt een schat aan materiaal, die we het komende jaar op alle mogelijke manieren gaan analyseren en waarbij een groot aantal thema’s de revue zullen passeren. Voordat we de diepte ingaan, zetten we hier graag een aantal van de meest opvallende uitkomsten op een rij.

1. Security wordt bijzonder serieus genomen

De belangrijkste aanleiding om het securitybeleid te wijzigen, is ook in 2014 nog altijd het plaatsvinden van een incident. Toch lijken de onderzoeksresultaten erop te wijzen dat Nederlandse organisaties het securitybeleid structureler aanpakken dan ooit tevoren. Voor bijna evenveel organisaties vormen analyses op het gebied van risicobeheersing met betrekking tot bedrijfsprocessen en het ontstaan van nieuwe dreigingen een belangrijke aanleiding. Daarmee lijkt de Nederlandse IT-security strategie pro-actiever dan ooit.

Nederlands organisaties investeren ook steeds meer in IT-beveiliging. In 2014 verwacht men dat de uitgaven aan IT-beveiliging gemiddeld met 11% toenemen en volgend jaar zelfs met 14%. De topprioriteiten liggen op het vlak van netwerkbeveiliging en identiteits- en toegangsbeheer. Op dit laatste gebied neemt de groei, ondanks de topprioriteit, het komend jaar sterk af. Het hoogtepunt lijkt daar dus nu wel bereikt te worden. Investeringen in netwerkbeveiliging blijven sterk groeien, maar de sterkste groei komt uit een hele andere hoek: mobiele security.

De meeste organisaties lichten minimaal eens per jaar het hele IT-beveiligingsplan grondig door. Er wordt beleid geformuleerd op het gebied van databeveiliging, op het gebied van user awareness, op het gebied van privacy, enzovoorts. Toch kent het beleid ook wat zwakke plekken, waaruit blijkt dat de pro-actieve houding nog niet helemaal op het ideale niveau is. Het beleid is er vooral op gericht om de huidige IT-omgeving te beveiligen. Zo zegt maar 18% van de organisaties dat software ontwerpregels een onderdeel zijn van het securitybeleid en niet meer dan 27% van de organisaties heeft een securitybeleid voor het testen van nieuwe oplossingen. Ook is het beleid ter voorbereiding op de Europese Data Protectie Verordening verre van algemeen.

Figuur 1: Reikwijdte IT-Security strategie

figuur 1

Vraag: Op welke gebieden heeft uw organisatie beleid geformuleerd op het gebied van IT-beveiliging?

Figuur 2: Hoe wordt de IT-Security strategie geëvalueerd?

figuur 2

Vraag: Op basis waarvan evalueert u het beveiligingsbeleid?

2. Security is meer dan ooit een moving target

Toch is het belangrijk dat IT-beveiligers in staat zijn om de aandacht meer te verleggen naar opkomende en toekomstige uitdagingen. Meer dan ooit is IT-security een moving target. Natuurlijk worden aanvallen steeds ingenieuzer en/of grootschaliger. Veel van de inspanningen van IT-security zijn erop gericht om de organisatie hier zo goed mogelijk tegen te beschermen. Maar er liggen ook hele grote uitdagingen in het veranderende gebruik van informatietechnologie. Juist daar lijkt IT-security moeite te hebben om grip te krijgen:

De helft (49%) van de respondenten geeft aan dat er onvoldoende kennis aanwezig is om cloudoplossingen veilig te kunnen gebruiken. Tel daarbij op dat binnen bijna de helft van de organisaties de IT-beveiligers niet zeker weten of ze alle cloudtoepassingen in het vizier hebben en je begrijpt waarom veel beveiligers liever geen cloudoplossingen binnen hun organisatie zien.

Ook geeft de helft (51%) aan dat er onvoldoende kennis aanwezig is om smartphones en tablets veilig te kunnen gebruiken. Om het toch in goede banen te leiden, wordt veelal maar beperkt toegang gegeven tot bedrijfsapplicaties en zet men encryptie in. Maar een eenvoudige virusscanner ontbreekt bijvoorbeeld in de meeste gevallen.

Figuur 3: Hoe wordt de IT-Security strategie geëvalueerd?

figuur 3

Vraag: Bent u het eerder eens of oneens met de volgende stellingen?

Wel zien we een zeer positieve ontwikkeling op het gebied van het ontwerpen van nieuwe software. Binnen driekwart van de Nederlandse organisaties worden zowel de regels ‘secure by design’ als ‘private by design’ gehanteerd. Dat financiële dienstverleners hierin voorop blijken te lopen zal niemand verbazen. Dat men op dit gebied juist in de zorg achterloopt, is zorgelijk. Helaas lijkt het erop dat deze ontwerpregels maar matig geborgd zijn in de beleidsvorming van IT-security (zie vorige paragraaf). Bij veel organisaties, vooral in de zorg, geeft men dan ook toe dat bij de ontwikkeling van nieuwe applicaties security pas op het laatst wordt ‘toegevoegd’.

Figuur 4: Hoe vaak wordt security pas op het laatst toegevoegd?

figuur 4

Vraag: Bij het ontwikkelen van nieuwe software komt security pas bij het eind van het proces in beeld – Ben u het eerder eens of oneens met deze stelling? Percentage ‘eens’ wordt weergegeven in de figuur.

3. Nederland is nog lang niet klaar voor de Europese Data Protectie Verordening

Ook op een ander gebied mag IT-beveiliging wel iets meer op de ontwikkelingen vooruitlopen, hoewel je de vraag zou kunnen stellen of IT-beveiliging hier leidend zou moeten zijn. De meeste organisaties zijn zich er terdege van bewust dat er vanuit Europa een data protectie verordening aankomt, waarbij overtreders tegen niet misselijke boetes aanlopen.

Het goede nieuws is dat de meeste organisaties die het aangaat – organisaties met 250 of meer medewerkers – bezig zijn om zich voor te bereiden. Het minder goede nieuws is dat er nog heel veel moet gebeuren. Zo heeft niet meer dan 6% een (verplichte) Data Protection Officer aangewezen. Alleen op het gebied van de meldplicht datalekken loopt het percentage wat op, maar dat komt vooral omdat de wetgeving op dat gebied al vooruitloopt.

Figuur 5: Wie is er klaar voor de Algemene Data Protectie Verordening?

figuur 5

Vraag: In welke mate is uw organisatie voorbereid op de volgende eisen van de Dataprotectie Verordening?[Organisaties >249 medewerkers]

We zouden hier graag alle bedrijven die zich in de diverse trajecten bevinden aanmoedigen om het tempo erin te houden. Maar vooral willen we de organisaties wakker schudden die nog altijd niet door hebben dat ze aan de bak moeten en wat ze dan moeten doen.

De onderkant van de ijsberg

De eerste analyse van de Nationale IT-Security Monitor laat zien dat Nederlandse IT-beveiligers goed bezig zijn. Ze zijn steeds pro-actiever en kijken steeds beter naar alle veranderingen die in de markt plaatsvinden. Toch zullen ze de ruimte moeten zien te vinden om niet alleen bij te blijven, maar ook meer te anticiperen op komende ontwikkelingen. Met elke technologische verandering ontstaan er nieuwe gaten in de beveiligingsmuur en het duurt vaak nog te lang voordat deze gaten gedicht worden. Wie in staat is om deze gaten sneller te dichten of zelfs te voorkomen, helpt zijn organisatie om nieuwe technologische mogelijkheden sneller te omarmen en een voorsprong op de concurrentie te nemen. Met disruptie op de loer in vrijwel iedere sector, is het belang hiervan niet te onderschatten.

In de komende maanden gaat Pb7 Research verder met het analyseren van de onderzoeksgegevens, zodat we ook de onderkant van de ijsberg inzichtelijk voor u kunnen maken. Wilt u meer weten over hoe andere organisaties omgaan met security beleid, cloud beveiliging, consumerization, IT-security training, databeveiliging, advanced threat protection of bijvoorbeeld risicobeheersing, houdt ons dan vooral in de gaten!

Peter Vermeulen is directeur van Pb7 Research

 

No comments yet

Leave a Reply

You may use basic HTML in your comments. Your email address will not be published.

Subscribe to this comment feed via RSS