Het hele bedrijfsleven zit momenteel in zwaar weer. Dat is nog zacht uitgedrukt, al verschillen de problemen van sector tot sector. Wie heeft dan nog aandacht voor security? Toch is het juist nu, in een in een tijd waarin digitalisering bijdraagt aan het doorstaan van de crisis, belangrijk om een aantal securitymythes de wereld uit helpen.
We hebben daartoe de afgelopen tijd onderzoek gedaan met een focus op de securitysituatie bij het mkb, versus grotere bedrijven. We hebben voor deze focus gekozen omdat het idee bestaat dat bij de kleinere bedrijven de security achterblijft. Het goede nieuws is dat de kleinere bedrijven helemaal niet blijken onder te doen voor de grotere als het gaat om de securityaanpak en het succes daarvan.
Securityspecialisten
Een veelgenoemde reden voor het achterblijven van de security is dat kleinere bedrijven niet of nauwelijks beschikken over securityspecialisten. Security wordt er naast het eigen werk bij gedaan, is het idee. Maar ons onderzoek wijst iets heel anders uit. De overgrote meerderheid van de ondervraagde mkb-bedrijven zegt wel degelijk over medewerkers te beschikken die security ook echt als taak hebben. 60% geeft aan zelfs over meer dan 20 securitymedewerkers te beschikken.
Dit wil overigens niet zeggen dat deze bedrijven geen probleem hebben met het vinden van securityprofessionals, dat is voor hen de grootste uitdaging, na beperkt budget en compatibiliteitsissues met legacy-systemen.
Downtime
In het verlengde hiervan wordt nog wel eens gedacht dat grote bedrijven minder downtime hebben en sneller van een aanval herstellen dan kleinere bedrijven. Maar ook dat klopt niet. Het onderzoek signaleert weinig verschil. Wel blijkt dat kleinere bedrijven afgelopen twee jaar een inhaalslag hebben gemaakt. Natuurlijk, een flink incident kan tot ernstige verstoringen leiden, ongeacht de omvang van het bedrijf. Om zich hiertegen te wapenen zien we dat bedrijven – zowel de kleinere als de grotere – inzetten op vergaande securityautomatisering om de respons te versnellen en te vereenvoudigen.
Nog een paar mythes: in tegenstelling tot de gangbare opvatting nemen directies van kleinere bedrijven security wel degelijk serieus, worden incident respons plannen wel degelijk getest. Ook blijkt dat kleinere bedrijven net als grotere regelmatig kwetsbaarheden patchen en hun infrastructuur up-to-date houden.
Andere dreigingen
Wel zien we verschillen als het gaat om de aard van de dreigingen. Kleinere bedrijven hebben, weinig verrassend, zelden last van DDoS-aanvallen, terwijl het voor echt grote bedrijven (>10.000 werknemers) de op twee na meest destructieve aanval is. Bij phishing ligt het omgekeerd, daar hebben kleine bedrijven veel last van, terwijl grotere bedrijven lager op de lijst staan. Ook gestolen credentials vormen voor kleinere bedrijven een flink probleem.
Kleinere bedrijven blijken dus net zo veel grip te hebben op security als hun grotere collega’s. Dat is mooi, maar het betekent natuurlijk niet dat de strijd tegen cybercriminaliteit gestreden is. Het rapport signaleert een aantal zaken waaraan bedrijven van elk formaat aandacht zouden moeten besteden.
Complexiteit
We signaleren veel cybermoeheid, 41% van de ondervraagde bedrijven hebben het opgegeven om de dreigingen voor te blijven. Er valt hier nog veel te winnen met een efficiënte securityaanpak. Een belangrijke stap is het reduceren van complexiteit door meer naar een geïntegreerde oplossing te kijken. Want wat blijkt: hoe meer verschillende aparte diensten een mkb afneemt, hoe langer de downtime na een ernstig incident, tot zelfs een factor vier langer vanwege de complexiteit en inefficiënties!
Up-to-date
Een andere belangrijke factor als het gaat om downtime is het up-to-date houden van de securitytechnologie. Een open deur misschien, maar we zien een groot verschil tussen downtime bij bedrijven die alleen opwaarderen als het niet anders kan, en bedrijven die zoveel mogelijk up-to-date zijn. Alles vernieuwen dan maar? Nee, zeker niet. Zorg in elk geval dat wat (nog) werkt goed geïntegreerd is en vul dat waar nodig aan met bijpassende nieuwe technologie.
Michel Schaalje, Directeur Security Cisco Nederland
