Rapport Intel Security signaleert mismatches in securityaanpak bij organisaties

Intel Security presenteert, samen met het Center for Strategic and International Studies (CSIS), een nieuw rapport getiteld ‘Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity’. Uit dit wereldwijde onderzoek blijkt dat verschillen tussen de motivatie van aanvallers en die van verdedigers duidelijke voordelen opleveren voor de aanvallers. Daarnaast is er een substantieel verschil tussen de logge structuren van grote organisaties en de vrijheid en flexibiliteit van criminele organisaties. Ook is er binnen organisaties vaak een verschil in perceptie over de daadwerkelijke implementatie van de securitystrategieën. Tot slot is er tussen executives en IT-professionals die security moeten implementeren een verschil in perceptie over additionele beloningen voor goede prestaties.

Intel Het rapport, waarvoor wereldwijd 800 securityspecialisten uit vijf industriesectoren zijn ondervraagd, laat zien dat cybercriminelen nu in het voordeel zijn. Dit komt onder andere omdat zij makkelijk successen kunnen boeken in een dynamische ‘markt’ die zich snel ontwikkelt en waarin innovatie snel wordt beloond. De verdedigers daarentegen, hebben vaak te maken met de beperkingen van een bureaucratische hiërarchie, waardoor het moeilijk is om de cybercriminelen bij te houden.

Verder wijst het rapport op belangrijke mismatches binnen de verdedigende organisaties. Hoewel bijvoorbeeld ruim 9 van de 10 respondenten zegt dat hun organisatie een cybersecuritystrategie heeft opgesteld, geeft minder dan de helft aan dat deze strategie ook daadwerkelijk is geïmplementeerd. Niet minder dan 83 procent van de respondenten zegt dat hun organisatie wel eens te maken heeft gehad met een cybersecurityincident.

En terwijl er voor cybercriminelen duidelijke en directe beloningen zijn voor hun ‘werk’, blijkt uit het onderzoek dat er voor de securityprofessionals slechts weinig incentives zijn. Niet alleen dat: executives bleken veel meer vertrouwen te hebben in de effectiviteit van bestaande beloningssystemen dan hun IT-medewerkers. Zo gaf 42 procent van de mensen die cybersecurity implementeert aan dat er totaal geen incentives zijn om succesvol te zijn in hun werk, vergeleken met 18 procent van de beslissers en 8 procent van de leidinggevenden.

“Dankzij de manier waarop de markt voor cybercriminelen werkt, is het heel makkelijk om daarin succesvol te zijn. Ze worden direct beloond voor innovatie en het is heel normaal om effectieve tools en methodes uit te wisselen”, zegt Wim van Campen, VP Intel Security, Noord- en Oost Europa. “Als IT- en securityprofessionals in het bedrijfsleven en bij de overheid met succes de strijd willen aangaan met de aanvallers, moeten ze net zo wendbaar zijn en net zo snel kunnen reageren. En organisaties moeten die securityspecialisten meer erkenning geven voor het werk dat ze doen.”

Verdere conclusies uit het rapport:

  • Werknemers zien drie keer zo vaak als executives dat gebrek aan budget of mankracht zorgt voor problemen bij het implementeren van cybersecuritystrategie.
  • Hoewel cybersecurityprofessionals die hun organisatie met succes helpen beschermen daarvoor graag meer waardering zouden willen zien, is 65 procent toch nog steeds gemotiveerd.
  • Maar liefst 95 procent van de ondervraagde organisaties heeft te maken gehad met de gevolgen van een securityincident, waaronder uitval van operationele systemen, verlies van intellectueel eigendom, en merk- en reputatieschade. Toch meldt slechts 32 procent omzet- of winstschade. De perceptie dat een securityincident niet direct tot omzet- of winstverlies hoeft te leiden, kan bij organisaties zorgen voor een misplaatst gevoel van veiligheid.
  • Bij overheidsorganisaties blijkt een cybersecuritystrategie het minst vaak volledig te zijn geïmplementeerd (38%). Respondenten uit deze sector melden ook vaker een tekort aan budget (58%) of gekwalificeerd personeel (63%) dan organisaties uit het bedrijfsleven (respectievelijk 33% en 42%).

De auteurs van het rapport zien ook een lichtpuntje. De meeste organisaties erkennen inmiddels de ernst van het cybersecurityprobleem en zien ook de noodzaak om deze problemen te adresseren. Organisaties hebben echter meer nodig dan alleen tools om aanvallen af te slaan. Er moet gezocht worden naar zinvolle manieren om het succes van een securitystrategie en -maatregelen te meten. Ook zouden organisatiestructuren en bedrijfsprocessen beter ingericht moeten worden voor innovatie.

Het rapport komt ook met enkele aanbevelingen:

  • Security-as-a-service – als tegenwicht voor de open en snel innoverende cybercrime-as-a-service markt, kunnen het outsourcen van security en het uitschrijven van open aanbestedingen zorgen voor lagere kosten en meer concurrentie tussen aanbieders. Zij moeten immers sneller innoveren om hun concurrenten voor te blijven. En heeft een aanbieder van security-as-a-service een succesvolle aanpak ontwikkeld, kunnen alle klanten van deze aanbieder daarvan profiteren, zodat meer organisaties beschermd worden.
  • Sneller reageren op nieuwe lekken – wanneer organisaties sneller reageren op nieuwe kwetsbaarheden, door kwetsbare systemen sneller te patchen of te vervangen, wordt de beveiliging versterkt en wordt het de aanvallers moeilijker en kostbaarder gemaakt, omdat zij minder lang kunnen profiteren van hun innovaties.
  • Samenwerken en informatie uitwisselen – door informatie over dreigingen en aanvallen sneller uit te wisselen met andere organisaties, gaan de kosten voor de verdedigers omlaag omdat zij gebruik kunnen maken van de ervaringen en methoden van anderen. Net zoals de cybercriminelen dat ook doen.
  • Maak gebruik van talent uit andere landen – het toelaten van mensen uit andere landen, die zich anders wellicht aangetrokken kunnen voelen tot cybercrime, houdt potentieel talent weg uit de criminele markt. Tegelijkertijd kan hiermee het tekort aan securityprofessionals worden teruggedrongen.
  • Verbeter de beloningsstructuur – zorg ervoor dat medewerkers en managers die bijdragen aan de beveiliging van de organisatie daarvoor ook een waardering ontvangen.
Meer over
Lees ook
Colt Technology Services' 2022 CIO Agility Index

Colt Technology Services' 2022 CIO Agility Index

Colt Technology Services heeft de 2022 CIO Agility Index uitgebracht. Deze Index maakt deel uit van Colt’s ‘Uncover the CIO Mindset’-onderzoek, dat de opvattingen en ambities van CIO’s ten aanzien van vijf kerngebieden in kaart brengt.

Cisco Global Networking Trends Report 2021: van continuïteit naar veerkracht

Cisco Global Networking Trends Report 2021: van continuïteit naar veerkracht

Het Cisco Global Networking Trends Report 2021 ziet een hernieuwde nadruk op IT-flexibiliteit als belangrijkste algemene trend om de veerkracht van het bedrijf te vergroten. In tegenstelling tot de huidige inspanningen op het gebied van bedrijfscontinuïteit, hebben organisaties veerkracht nodig om goed te kunnen inspelen op onvoorziene en ingrijpe1

Nederlandse datahub groeit sterk ondanks groeiend protectionisme en Brexit

Nederlandse datahub groeit sterk ondanks groeiend protectionisme en Brexit

De Nederlandse datahub is in 2018 sterk gegroeid, ondanks dreigingen zoals Brexit, toenemend protectionisme en toenemende regulering vanuit de EU. Dit en meer staat beschreven in het rapport 'State of the Dutch Data Hub' dat Digital Gateway to Europe vandaag publiceert. Enkele belangrijke cijfers zijn onder meer een toegenomen adoptie van publieke1