Risico’s in kaart brengen met oog voor de waan van de dag

Een blijvende zorg voor organisaties

Onze maatschappij drijft op technologie. Digitale processen zijn de spil van organisaties. Zonder kunnen we niet meer functioneren. Deze processen worden echter bedreigd door een toenemend aantal cyberaanvallen. Wat ondernemen organisaties op het gebied van cybersecurity op dit moment? En is dat voldoende om toekomstige aanvallen aan te kunnen? Want één ding is zeker: cyberaanvallen hebben een blijvend karakter gekregen.

Om antwoord te krijgen op deze vragen heeft Conscia in samenwerking met commercieel marktonderzoekbureau The Blue Hour een cybersecurity benchmarkonderzoek opgezet. Uit de eerste resultaten en uit gesprekken met de homogene respondenten kunnen al opmerkelijke conclusies worden getrokken.

Organisaties lijken zich goed bewust te zijn van het gevaar van cyberaanvallen. Zo zegt 94% dat het niet de vraag is of ze gehackt worden, maar wanneer dit gaat gebeuren. Ruim de helft geeft ook aan dat cybersecurity topprioriteit is binnen de organisatie. Echter, als we kijken naar het IT-budget dat wordt uitgegeven aan cybersecurity, stelt ruim een derde van de respondenten dat dit te weinig is. Op de vraag welk cijfer organisaties zichzelf geven voor cybersecurity, kwam het gemiddelde uit op een 6,1.

De gesprekken met de respondenten bevestigen deze cijfers en laten ook een trend zien. De cybersecurity experts binnen organisaties weten maar al te goed wat er moet gebeuren. Echter is het soms lastig voor hen om het op de agenda te krijgen.  bij Conscia, ziet vaak dezelfde scenario’s voltrekken. “Wanneer cybersecurity in het nieuws is, krijgt het onderwerp de aandacht en wordt er geld vrijgemaakt om zaken op te pakken.” Volgens Maarten Werff, Solution Consultant Cybersecurity bij Conscia, bestaat er geen uniforme blauwdruk voor cybersecurity, aangezien de waan van de dag verandert. “Kijk daarom naar de risico’s specifiek voor de eigen organisatie.”

Verschuiving van de aandacht

De waan van de dag zorgt ervoor dat het dreigingslandschap telkens verschuift. Werd twee jaar geleden een DDos aanval nog gezien als grootste gevaar, inmiddels geven de respondenten aan vooral te vrezen voor ransomware, phishing en supply-chain attacks. Ook kan de aandacht verschuiven vanwege grootschalige crisissen, zoals momenteel in de Oekraïne. Deze ontwikkeling heeft er rechtstreeks toe geleid dat veel organisaties hun cybersecurity strategie hebben gewijzigd.

“Om effectief de strijd aan te gaan met cyberaanvallen, is het verstandig om te bekijken welke gevaren de organisatie bedreigen, welke risico’s ‘acceptabel’ zijn en daar het beleid op af te stemmen,” aldus Maarten Werff. “Het is goed als organisaties beseffen dat ze zelf een rol kunnen spelen in het verminderen of wegnemen van risico’s, maar daarvoor moeten ze eerst in kaart worden gebracht.”

Ook na het inventariseren van de risico’s, is het goed om veranderingen in de wereld in de gaten te blijven houden. Het op grote schaal thuiswerken dat de coronapandemie (blijvend) teweeg heeft gebracht, is hier een goed voorbeeld van. Dit verandert ook het risicoprofiel. Mogelijk vraagt een dergelijke verandering als thuiswerken ook meer alertheid van medewerkers. Dan is het goed om te zien dat 89% van de respondenten aangeeft dat cybersecurity awareness wordt gecreëerd op alle lagen van de organisatie.

Daarmee lijkt het aan de preventie kant redelijk goed te zitten. Hier gaat momenteel ook veruit de meeste tijd en energie van organisaties naartoe (43%). De volgende stap – detectie – lijkt met 15% nog enigszins onderbelicht. Op de vraag of het eigen SOC- of securityteam in staat is om adequaat te reageren op een cyberincident, zodat de schade zoveel mogelijk wordt beperkt, antwoordt 39% van de respondenten bevestigend.

Detectie en respons op de agenda

Een interessant gegeven is dat 80% aangeeft dat ‘Detectie en Respons’ de belangrijkste ontwikkeling wordt binnen IT-security en dat daar de komende jaren de aandacht naar uitgaat bij organisaties. Het verdrijft de veranderingen op het gebied van wet- en regelgeving van de eerste plaats, terwijl dat op dit moment voor 59% van de organisaties nog de belangrijkste reden is om te investeren in cybersecurity.

Maarten Werff is voorstander van een evenwichtige verdeling van maatregelen op het gebied van identificatie, preventie, detectie, respons en herstel. Hij adviseert om te kijken of de basis op orde is. “Weet wat er in je netwerk aanwezig is, welke programmatuur wordt toegepast en zorg ervoor dat bekende kwetsbaarheden op tijd worden weggewerkt.”

Op het gebied van detectie en respons veranderen veel zaken door organisatorische en technologische ontwikkelingen. Den Oudsten vervolgt: “De inzet van een extern 24/7 Security Operations Center (SOC) komt binnen handbereik voor veel organisaties. Een verschuiving van de detectie-strategie naar dat wat we willen beschermen – de gebruiker, de endpoint en de ‘kroonjuwelen’ – biedt de mogelijkheid om snel in te kunnen grijpen.” Maarten Werff is dan ook van mening dat MDR-dienstverlening (Managed Detection & Response) een beter antwoord geeft op de uitdagingen in deze tijd dan een conventioneel SOC/SIEM. “Niet alleen vanwege de hogere zichtbaarheid en de mogelijkheid om snel in te kunnen grijpen, maar vooral ook omdat het een kosteneffectieve oplossing is die binnen enkele weken operationeel is.”