Rapport Intel Security signaleert mismatches in securityaanpak bij organisaties

Intel Security presenteert, samen met het Center for Strategic and International Studies (CSIS), een nieuw rapport getiteld ‘Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity’. Uit dit wereldwijde onderzoek blijkt dat verschillen tussen de motivatie van aanvallers en die van verdedigers duidelijke voordelen opleveren voor de aanvallers. Daarnaast is er een substantieel verschil tussen de logge structuren van grote organisaties en de vrijheid en flexibiliteit van criminele organisaties. Ook is er binnen organisaties vaak een verschil in perceptie over de daadwerkelijke implementatie van de securitystrategieën. Tot slot is er tussen executives en IT-professionals die security moeten implementeren een verschil in perceptie over additionele beloningen voor goede prestaties.

Intel Het rapport, waarvoor wereldwijd 800 securityspecialisten uit vijf industriesectoren zijn ondervraagd, laat zien dat cybercriminelen nu in het voordeel zijn. Dit komt onder andere omdat zij makkelijk successen kunnen boeken in een dynamische ‘markt’ die zich snel ontwikkelt en waarin innovatie snel wordt beloond. De verdedigers daarentegen, hebben vaak te maken met de beperkingen van een bureaucratische hiërarchie, waardoor het moeilijk is om de cybercriminelen bij te houden.

Verder wijst het rapport op belangrijke mismatches binnen de verdedigende organisaties. Hoewel bijvoorbeeld ruim 9 van de 10 respondenten zegt dat hun organisatie een cybersecuritystrategie heeft opgesteld, geeft minder dan de helft aan dat deze strategie ook daadwerkelijk is geïmplementeerd. Niet minder dan 83 procent van de respondenten zegt dat hun organisatie wel eens te maken heeft gehad met een cybersecurityincident.

En terwijl er voor cybercriminelen duidelijke en directe beloningen zijn voor hun ‘werk’, blijkt uit het onderzoek dat er voor de securityprofessionals slechts weinig incentives zijn. Niet alleen dat: executives bleken veel meer vertrouwen te hebben in de effectiviteit van bestaande beloningssystemen dan hun IT-medewerkers. Zo gaf 42 procent van de mensen die cybersecurity implementeert aan dat er totaal geen incentives zijn om succesvol te zijn in hun werk, vergeleken met 18 procent van de beslissers en 8 procent van de leidinggevenden.

“Dankzij de manier waarop de markt voor cybercriminelen werkt, is het heel makkelijk om daarin succesvol te zijn. Ze worden direct beloond voor innovatie en het is heel normaal om effectieve tools en methodes uit te wisselen”, zegt Wim van Campen, VP Intel Security, Noord- en Oost Europa. “Als IT- en securityprofessionals in het bedrijfsleven en bij de overheid met succes de strijd willen aangaan met de aanvallers, moeten ze net zo wendbaar zijn en net zo snel kunnen reageren. En organisaties moeten die securityspecialisten meer erkenning geven voor het werk dat ze doen.”

Verdere conclusies uit het rapport:

  • Werknemers zien drie keer zo vaak als executives dat gebrek aan budget of mankracht zorgt voor problemen bij het implementeren van cybersecuritystrategie.
  • Hoewel cybersecurityprofessionals die hun organisatie met succes helpen beschermen daarvoor graag meer waardering zouden willen zien, is 65 procent toch nog steeds gemotiveerd.
  • Maar liefst 95 procent van de ondervraagde organisaties heeft te maken gehad met de gevolgen van een securityincident, waaronder uitval van operationele systemen, verlies van intellectueel eigendom, en merk- en reputatieschade. Toch meldt slechts 32 procent omzet- of winstschade. De perceptie dat een securityincident niet direct tot omzet- of winstverlies hoeft te leiden, kan bij organisaties zorgen voor een misplaatst gevoel van veiligheid.
  • Bij overheidsorganisaties blijkt een cybersecuritystrategie het minst vaak volledig te zijn geïmplementeerd (38%). Respondenten uit deze sector melden ook vaker een tekort aan budget (58%) of gekwalificeerd personeel (63%) dan organisaties uit het bedrijfsleven (respectievelijk 33% en 42%).

De auteurs van het rapport zien ook een lichtpuntje. De meeste organisaties erkennen inmiddels de ernst van het cybersecurityprobleem en zien ook de noodzaak om deze problemen te adresseren. Organisaties hebben echter meer nodig dan alleen tools om aanvallen af te slaan. Er moet gezocht worden naar zinvolle manieren om het succes van een securitystrategie en -maatregelen te meten. Ook zouden organisatiestructuren en bedrijfsprocessen beter ingericht moeten worden voor innovatie.

Het rapport komt ook met enkele aanbevelingen:

  • Security-as-a-service – als tegenwicht voor de open en snel innoverende cybercrime-as-a-service markt, kunnen het outsourcen van security en het uitschrijven van open aanbestedingen zorgen voor lagere kosten en meer concurrentie tussen aanbieders. Zij moeten immers sneller innoveren om hun concurrenten voor te blijven. En heeft een aanbieder van security-as-a-service een succesvolle aanpak ontwikkeld, kunnen alle klanten van deze aanbieder daarvan profiteren, zodat meer organisaties beschermd worden.
  • Sneller reageren op nieuwe lekken – wanneer organisaties sneller reageren op nieuwe kwetsbaarheden, door kwetsbare systemen sneller te patchen of te vervangen, wordt de beveiliging versterkt en wordt het de aanvallers moeilijker en kostbaarder gemaakt, omdat zij minder lang kunnen profiteren van hun innovaties.
  • Samenwerken en informatie uitwisselen – door informatie over dreigingen en aanvallen sneller uit te wisselen met andere organisaties, gaan de kosten voor de verdedigers omlaag omdat zij gebruik kunnen maken van de ervaringen en methoden van anderen. Net zoals de cybercriminelen dat ook doen.
  • Maak gebruik van talent uit andere landen – het toelaten van mensen uit andere landen, die zich anders wellicht aangetrokken kunnen voelen tot cybercrime, houdt potentieel talent weg uit de criminele markt. Tegelijkertijd kan hiermee het tekort aan securityprofessionals worden teruggedrongen.
  • Verbeter de beloningsstructuur – zorg ervoor dat medewerkers en managers die bijdragen aan de beveiliging van de organisatie daarvoor ook een waardering ontvangen.
Meer over
Lees ook
Mobiele ransomware: een groeiende dreiging voor ontwikkelde markten

Mobiele ransomware: een groeiende dreiging voor ontwikkelde markten

Cybercriminelen achter mobiele ransomware zijn hun aanvallen aan het richten op welvarende landen. Ontwikkelde markten hebben niet alleen een hoger inkomstenniveau, maar ook een meer geavanceerde en op ruimere schaal gebruikte mobiele en e-betalingsinfrastructuur. Volgens Kaspersky Labs jaarlijkse Kaspersky Security Network (KSN) rapport over rans1

Clavister helpt communications service providers met SDN en NFV

Clavister helpt communications service providers met SDN en NFV

Clavister heeft het rapport 'Virtualized Security – The end of Big Iron' gepubliceerd. De publicatie  biedt communications services providers (CSP’s) een richtlijn voor het plannen van een veilige overstap naar SDN en NFV, zodat ze optimaal kunnen profiteren van de strategische en operationele voordelen van deze netwerktechnologieën. Volgens Gartn1

Onderzoek Oracle: 64 procent van bedrijven implementeert momenteel roboticatechnologie of is dat van plan

Onderzoek Oracle: 64 procent van bedrijven implementeert momenteel roboticatechnologie of is dat van plan

De technologieën die de drijfveer vormen achter de ‘Vierde Industriële Revolutie’ – ook wel Industry 4.0 genoemd –, zijn ontwikkeld op basis van een cloudinfrastructuur. Uit het rapport The Oracle Cloud: Opening up the Road to Industry 4.0 blijkt dat bedrijven de cloud zien als een onbeschreven bladzijde waarop ze hun innovatiestrategieën bouwen:1