Cybersecurity? Size doesn’t matter!

Grote bedrijven hebben hun IT-beveiliging niet per se beter op orde dan kleinere bedrijven. En bijna 75 procent van de organisaties vindt zichzelf niet erg volwassen op het gebied van cybersecurity. Dé achilleshiel? Het vermogen om risico’s te meten en aanvallen te weren.

Zeker 45 procent van de ondervraagde organisaties geeft aan dergelijke mogelijkheden niet in huis te hebben. Of alleen ad hoc toe te passen. Het gebrek hieraan maakt het moeilijk, of zelfs onmogelijk, security-activiteiten en -investeringen te prioriteren.

Dat concludeert RSA, de security-divisie van EMC, op basis van de Cybersecurity Poverty Index. Meer dan 400 securityprofessionals in 61 landen werden ervoor ondervraagd. Ze gaven hun bedrijf punten op thema’s als identify, protect, detect, respond en recover.

Omvang doet er niet toe

Wat blijkt? 83 procent van de onderzochte organisaties met meer dan 10.000 werknemers geeft aan dat de volwassenheid op het gebied van cybersecurity onder het niveau ‘ontwikkeld’ scoort. Omvang doet er dus niet toe.

Sterker nog, kleinere bedrijven scoren iets beter op security-volwassenheid. Van de onderzochte bedrijven tot 1.000 medewerkers is 79 procent niet goed voorbereid. Terwijl van de bedrijven met 1.000 tot 10.000 ‘slechts’ 68 procent niet volwassen genoeg is.

Bij de organisaties die zichzelf niet volwassen genoeg vinden, is behoefte aan meer ervaring met en inzicht in geavanceerde bedreigingen. De lage scores die de respondenten zichzelf geven, lijken te wijzen op een groeiende behoefte naar ‘detect-’ en ‘respond’-oplossingen om tot volwassen security te komen.

Overheid minst volwassen

Opmerkelijk zijn de resultaten in de financiële sector, die vaak gezien wordt als meest volwassen op het gebied van security. Ondanks dit imago beoordeelt slechts een derde (34 procent) van de respondenten in deze industrie zijn organisatie als ‘goed voorbereid’.

Ook bedrijven die actief zijn op het gebied van kritieke infrastructuren in de telecommunicatiesector moeten nog significante stappen zetten richting volwassenheid. De helft van de respondenten in deze sector geeft aan een ‘enigszins ontwikkeld’ of ‘geavanceerd’ beleid te hebben op het gebied van cybersecurity.

De overheid is hekkensluiter in het onderzoek. In die sector scoort slechts 18 procent een ontwikkelde of geavanceerde volwassenheid.

Veel incidenten

In de afgelopen twaalf maanden had maar liefst tweederde van de respondenten te maken met incidenten die een negatieve impact op hun business hadden. 36 procent had 40 of meer incidenten te verduren. En 11 procent kreeg te maken met een tot tien security incidenten.

Uit de onderzoeksresultaten komt naar voren dat het meest volwassen onderdeel van cybersecurity in veel organisaties in preventie zit. Een opvallende uitkomst aangezien preventieve strategieën en -oplossingen vaak onvoldoende bescherming bieden. Aanvallen worden namelijk steeds geavanceerder.

Het ebook van de RSA Cybersecurity Poverty Index 2015 is hier te downloaden.