75 procent van de organisaties heeft grote kans op cyber-incident

Nieuwegein – RSA, de security-divisie van EMC, maakt de resultaten bekend van de RSA Cybersecurity Poverty Index 2016*. Hieruit blijkt dat het merendeel van de organisaties moeite blijft houden de cybersecurity te verbeteren. Voor het tweede opeenvolgende jaar gaf 75 procent van de respondenten aan een significante risicoblootstelling te ervaren op het gebied van cybersecurity. Het onderzoek werd afgenomen onder 878 respondenten uit 81 landen – waaronder Nederland – en in 24 sectoren.

Uit de Index blijkt verder dat organisaties die investeren in perimeter-gebaseerde oplossingen minder goed bestand zijn tegen cyber-incidenten, dan bedrijven die investeren in detectie- en response-technologieën. Zij blijken een grotere achterstand te hebben in het vinden van kwaadaardige activiteiten en lopen meer kans op publieke onthulling van bedrijfskritische informatie.

Incident Response onderontwikkeld

Met name Incident Response (IR)-mogelijkheden zijn onderontwikkeld. Bijna de helft van de organisaties noemde essentiële IR-mogelijkheden ‘ad hoc’ of ‘niet-bestaand’. Wanneer organisaties eenmaal een security-incident hebben meegemaakt dat effect had op de bedrijfsvoering, blijken zij eerder geneigd programma’s in gang te zetten om de cybersecurity-capaciteiten op te schroeven. Organisaties die met regelmaat security-incidenten ervaren en detecteren, beschikken 65 procent vaker over ontwikkelde of gevorderde security-capaciteiten.

Toename cybersecurity-programma’s

Eén van de meest opvallende veranderingen ten opzichte van het onderzoek van 2015 is de toename van organisaties met volwassen cybersecurity-programma’s. Het percentage organisaties dat aangeeft over geavanceerde capaciteiten te beschikken (de hoogste categorie), nam met meer dan de helft toe ten opzichte van de voorgaande Index. Van 4,9 procent naar 7,4 procent. Toch blijkt dat organisaties moeite houden om proactieve stappen te zetten om hun cybersecurity en houding ten opzichte van risico’s te verbeteren. Gemiddeld zag 45 procent van de respondenten de mogelijkheid om cyber-risico’s te categoriseren, vast te stellen of cyber-risico’s te matigen, als ‘niet-bestaand’ of ‘ad hoc’. Minder dan een kwart ziet de organisatie binnen dit domein als volwassen.

De onmogelijkheid om hun Cyber Risk Appetite aan te geven, de risico’s waarmee respondenten geconfronteerd worden en de potentiële impact op hun organisaties, maakt het voor organisaties ingewikkeld om prioriteit te geven aan mitigatie en investering. Dit zijn fundamentele activiteiten voor organisaties die hun security en risicohouding willen verbeteren.

Volwassenheid per sector verschilt

Uit de onderzoeksresultaten blijkt voor het tweede jaar hoe beheerders van kritische infrastructuur, de oorspronkelijke doelgroep voor de CSF, aanzienlijke stappen moeten zetten om hun volwassenheid te vergroten. De overheid en energiebranche scoorden als sector het laagste in het onderzoek; met slechts 18 procent van de organisaties op ‘ontwikkeld’ of ‘gevorderd’ niveau. Luchtvaart en defensie scoorden het hoogst, waarvan bijna veertig procent op de hoogste niveau’s opereert. Organisaties binnen de financiële dienstverlening, een sector die vaak als koploper wordt gezien vanwege het grote volume aan cyber-aanvallen, eindigen als middenmoot. Waarbij 26 procent zijn organisatie als ‘goed voorbereid’ ziet, ten opzichte van 33 procent vorig jaar.

EMEA-regio pakt koppositie

Organisaties in de EMEA-regio blijken de meest volwassen security-strategieën te hebben. Waarbij 29 procent van de organisaties in Europa, het Midden-Oosten en Afrika zichzelf als ‘ontwikkeld’ dan wel ‘gevorderd’ ziet. Dit ten opzichte van 26 procent in de APJ-regio en 23 procent van de organisaties op het Amerikaanse continent. EMEA neemt daarmee de koppositie over van de APJ-regio; zij stijgen drie procentpunten, waar APJ er dertien daalt. De volwassenheid van Noord- en Zuid-Amerika blijft achter bij EMEA en APJ.

Amit Yoran, President RSA: “Deze tweede editie van ons cybersecurity-onderzoek biedt tastbaar bewijs dat organisaties van alle formaten, in alle industrieën en overal ter wereld zich onvoorbereid voelen op mogelijke dreiging. We moeten de manier waarop we over security denken veranderen en ons niet alleen focussen op preventie. Er is een strategie nodig waarbij de nadruk ligt op detectie en response. Organisaties moeten niet langer wachten tot een aanval hen tot actie aanspoort.”

—–

Over het onderzoek

* De RSA Cybersecurity Poverty Index werd dit jaar voor de tweede keer afgenomen. Dit jaar was er een dubbel aantal respondenten ten opzichte van vorig jaar.  Er namen 878 respondenten deel uit 81 landen – waaronder Nederland – en in 24 sectoren. De respondenten moesten voor het onderzoek zelf de volwassenheid van hun cybersecurity-programma vaststellen, aan de hand van het NIST Cybersecurity Framework (CSF). Dat geeft een beeld van hoe zij hun organisatie, allen variërend in grootte, industrie en geografie, volwassen achten op het gebied van cybersecurity.

Het CSF is ontwikkeld op basis van bestaande standaarden, richtlijnen en best practises om cyber-risico’s te reduceren en is het resultaat van samenwerking tussen de industrie en overheden. De methode is ontwikkeld in de VS voor kritieke infrastructuren, maar inmiddels maken organisaties wereldwijd er gebruik van om hun cyber-risico’s te beheren. Hierdoor is het een prima basis om de volwassenheid van de cybersecurity van elke organisatie mee te kunnen vaststellen. De security-professionals hebben hun bedrijf punten toegekend op de volgende thema’s: Identify, Protect, Detect, Respond en Recover.

Aanvullende informatie:

• Download het RSA Cybersecurity Poverty Index eBook
• Doe dezelfde Cybersecurity Maturity Assessment die werd gebruikt voor de RSA  Cybersecurity  Poverty Index
• Zie de RSA Cybersecurity Poverty Index Infographic
• Hoor het gesprek tussen President, Amit Yoran en Vice President en GM van RSA’s Global Public Sector, Mike Brown over het onderzoek
• Download RSA’s Cyber Risk Appetite whitepaper

 

Over EMC

EMC Corporation is wereldwijd leider in het ondersteunen van bedrijven en service providers bij de transformatie van hun IT-activiteiten en de levering van ‘IT as a service’. Cloud computing is daarbij van fundamenteel belang. Door inzet van innovatieve producten en diensten versnelt EMC de transitie naar de cloud en helpt het IT-afdelingen met het opslaan, beheren, beveiligen en analyseren van hun meest waardevolle bezit – informatie – op een flexibele, betrouwbare en kostefficiënte manier. Meer informatie over EMC op www.netherlands.emc.com.