Nederlandse bedrijven hebben security goed geregeld, vinden ze zelf

Security is ‘hot’. Je hoeft tegenwoordig de krant maar open te slaan en de berichten over cyberaanvallen, datalekken, malware en phishingpraktijken vliegen je om de oren. Bedrijven en overheden zoeken voortdurend naar maatregelen om hun netwerk en data te beveiligen. Hoe zit dit eigenlijk met Nederlandse organisaties? Welke maatregelen hebben zij genomen en hoe effectief zijn ze?

Om een beeld te krijgen van de beveiligingsmaatregelen van Nederlandse organisaties, heeft TNS Kantar in opdracht van MatrixMind onderzoek gedaan onder IT- verantwoordelijken binnen deze organisaties. Dit onderzoek is in juli 2019 uitgevoerd onder bijna vierhonderd IT-verantwoordelijken binnen organisaties met honderd of meer medewerkers.

De meeste Nederlandse organisaties hebben wel een goed beeld van hoe het eigen securitybeleid en de uitvoering ervan zich verhouden tot de best practices op securitygebied. Bij bijna acht op de tien organisaties is dit beeld ‘redelijk duidelijk’ tot ‘zeer duidelijk’. Niet geheel verrassend geldt dit vooral voor de grotere organisaties (250 medewerkers). En in de dienstverlening loopt men voor op andere sectoren zoals logistiek, industrie en de overheid.

Verstandig omgaan met gebruikersrechten is altijd een goed advies als het gaat om het beveiligen van bedrijfs-IT. De meeste organisaties hebben dit wel geregeld: bij 82 procent is bekend welke gebruikers en applicaties toegang hebben tot de meest gevoelige gegevens. Om deze verder te beschermen, heeft de gemiddelde gebruiker voor dagelijkse werkzaamheden drie tot vier gebruikers-wachtwoordcombinaties nodig. De populariteit van encryptie neemt ondertussen ook toe. Ruim twee derde van de organisaties stelt versleuteling verplicht. Overigens iets waar de grotere organisaties (meer dan 250 medewerkers) wederom verder in zijn dan de kleinere (meer dan 100 en minder dan 250 medewerkers).

Los van wie zich op het netwerk begeeft, is het ook belangrijk om te weten wát er op het netwerk gebeurt. De manier waarop organisaties omgaan met logs verschilt sterk. Deze worden in veel gevallen nog handmatig gecontroleerd. Ook is de source code review van gebruikte software in bijna de helft van de gevallen niet geautomatiseerd en kiezen veel organisaties voor arbeidsintensieve handmatige controles op broncode.

Ondanks alle verschillen zegt ruim driekwart van de organisaties – 77 procent – dat zij met de bestaande technologie kunnen achterhalen of er een mislukte of succesvolle security breach heeft plaatsgevonden. In veel organisaties is het vertrouwen op dit gebied dus groot. Aan de andere kant is het zorgelijk dat bijna een kwart van de organisaties niet in staat is om te beoordelen of er bij hen al een security breach heeft plaatsgevonden. Dat betekent dat hun systemen en data mogelijk al gecompromitteerd zijn zonder dat zij hier weet van hebben.

In combinatie met een gebrekkige endpoint security zorgt dit ervoor dat organisaties kwetsbaar zijn. Aanvallen richten zich immers vaak op de zwakste schakel in de IT-keten, de gebruiker. De komst van de cloud als dominant delivery-model heeft veel organisaties veiliger gemaakt, vinden de meeste IT-verantwoordelijken. Maar tegelijkertijd is het handhaven van security niet per se eenvoudiger geworden.

Valt er dus nog wat te verbeteren wat betreft security in Nederlandse organisaties? Ja dus. Het automatiseren van log management maakt bijvoorbeeld veel IT-resources vrij om elders in te zetten. Extra maatregelen om security breaches te signaleren en hier maatregelen tegen te nemen, zijn ook bijzonder aan te raden.

Tegelijkertijd is het natuurlijk mooi dat Nederlandse organisaties zeggen een duidelijk beeld te hebben van hun eigen securitybeleid. Als dit beeld echt klopt, dan hebben zij hun verbeterpotentieel natuurlijk allang onderkend en is er inmiddels voorgesorteerd op verbeteringen. Dat zou heel mooi zijn. Is het lek bij u ook al boven?

Wilt u meer weten? Lees dan ook onze Security onderzoeksrapport.