DNV heeft onlangs een enquête uitgevoerd onder bijna duizend professionals in organisaties over de hele wereld en ze naar hun kijk op informatiebeveiligingsmanagement gevraagd. Een soortgelijke enquête werd in 2015 uitgevoerd. Dit maakt het mogelijk om te analyseren hoe organisaties in de loop van de tijd van visie zijn veranderd en biedt inzicht in hun initiatieven en attitudes ten aanzien van best practices en systeembouw.
Het is duidelijk dat er in de tussenliggende zes jaar een geleidelijke verschuiving heeft plaatsgevonden naar meer volwassenheid op het gebied van informatiebeveiliging. Toch beschouwde niet eens de helft van de ondervraagden hun organisatie als volwassen (4) of een leider (5) op een schaal van 1 tot 5. Hoewel dat bijna een verdubbeling van het aantal leiders sinds de eerste enquête betekent, ziet slechts één op de acht van alle ondervraagde organisaties zichzelf als leider. De lichte toename kan uitsluitend worden veroorzaakt door een verhoogde focus en een beter begrip van de risico’s.
De gedragsverandering
Een andere verandering is de verschuiving naar meer investeringen in gewenst gedrag. Van de initiatieven die de ondervraagde organisaties aangeven te hebben genomen om risico’s te beperken, zetten zij de volgende drie bovenaan:
• De juiste mensen in huis halen om de informatiebeveiliging binnen de organisatie te beheren (64,9%)
• Invoeren en hanteren van een informatiebeveiligingsbeleid dat is goedgekeurd door het topmanagement (57,5%)
• Personeel trainen in informatiebeveiliging (56%)
Dit toont dat er een duidelijke voorkeur bestaat om in mensen te investeren en hun vaardigheden te verbeteren. Dit was niet zo duidelijk in de eerdere enquête, toen fysieke bedrijfsmiddelen en apparatuur bovenaan de lijst stonden. De focus op mensen zal zich waarschijnlijk uitbetalen. In de meeste gevallen slagen cyberaanvallen doordat iemand per ongeluk een verkeerde keuze maakt. Bedenk ook dat de periode tussen de enquêtes de jaren omvatte waarin de coronapandemie heeft gezorgd voor een drastische verandering in de manier waarop mensen en organisaties werken en met elkaar zijn verbonden. Verwacht wordt dat organisaties zich nu veel meer dan voorheen bewust zijn van risico’s en incidenten rond informatie-, gegevens- en cyberbeveiliging.
Organisaties met een gecertificeerd managementsysteem voor informatiebeveiliging zijn aanwijsbaar beter gespitst op veranderingen om hen heen en reageren er beter op. Bijna 80% zegt dat ze een aanpassingsproces hebben voltooid of gedeeltelijk hebben voltooid om in de nieuwe digitale omgeving te passen. We vroegen welke van de vier opties – integratie van beveiligingssystemen, training van personeel, regelmatige tests of geautomatiseerde cyberbeveiligingspraktijken – het meest relevant was voor de behandeling van nieuwe risico’s die voortvloeien uit digitale transformatie. Training van personeel stond opnieuw bovenaan. 33,1% van de gecertificeerde organisaties en 25,9% van de niet-gecertificeerde organisaties vonden training het belangrijkst.
Van de organisaties met een gecertificeerd managementsysteem voor informatiebeveiliging heeft driekwart de IT-infrastructuur geheel of gedeeltelijk naar de cloud verplaatst. Dit brengt wel extra risico’s met zich mee, maar van deze organisaties hanteert een derde ook de ISO 27017-norm of een andere praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging voor cloudservices.
Het model voor complete beveiliging slaat aan
Zero Trust is een nieuw beveiligingsmodel waarin de betrouwbaarheid van alle apparaten, gebruikers en applicaties continu wordt geverifieerd onder het motto ‘vertrouw niemand, controleer alles’. Deze nieuwe beveiligingsaanpak slaat aan. Organisaties met een gecertificeerd managementsysteem voor informatiebeveiliging lijken het Zero Trust-model in hogere mate te omarmen. Een op de drie heeft dit model geïmplementeerd of beweegt zich in die richting.
De trends die de meeste invloed op cyberbeveiliging hebben, zijn het toenemende gebruik van mobiele apparaten, gevolgd door innovatieve technologieën. Mobiele apparaten als smartphones en tablets lijken een integraal onderdeel van het moderne leven te zijn.
Ook de opkomst van het Internet of Things (IoT) wordt genoemd, een vaak over het hoofd gezien risico. Apparaten die voortdurend verbonden zijn met bedrijfsnetwerken en het internet, zoals printers, lijken misschien triviaal, maar ze kunnen ook een mogelijk toegangspunt zijn door hun firmware, die steeds automatisch wordt bijgewerkt.
Bescherming tegen leveranciersrisico’s
Wees op je hoede voor directe aanvallen, maar onthoud dat dreigingen vaak afkomstig zijn uit wat als veilige bronnen worden beschouwd. Denk daarbij aan leveranciers van goederen en diensten. Als er van leveranciers wordt ingekocht, zijn de drie gebruikelijkste manieren om de informatiebeveiliging en cyberbeveiligingsrisico’s aan te pakken:
• Kwalificatie op basis van documenten
• Het uitvoeren van controles en tests op aangekochte goederen en materialen
• Om certificering door derden vragen
Gecertificeerde organisaties vertrouwen eerder op certificering door derden om zichzelf te beschermen tegen de informatie-, gegevens- en cyberbeveiligingsrisico’s die hun leveranciers met zich meebrengen. Waarschijnlijk komt dat doordat ze zich bewust zijn van de eisen en beheersmaatregelen die worden opgelegd door normen als de ISO/IEC 27001. Concreter nog, de organisatie kan zelf een leverancier zijn voor andere organisaties en dus geacht worden om bewijs te leveren van goed informatiebeveiligingsmanagement.
De respondenten noemen als de drie grootste voordelen van het implementeren van een gecertificeerd managementsysteem voor informatiebeveiliging:
• Klanttevredenheid, voldoen aan de behoeften van klanten
• Betere informatiebeveiligingsprestaties
• Kunnen voldoen aan wettelijke eisen
Deze voordelen worden op de voet gevolgd door “identificatie/beheer van risico’s verbeteren” en “concurrentievoordeel opleveren”. Dit benadrukt het belangrijke verband tussen het beheersen van risico’s en zakelijk succes.
De snel veranderende digitale omgeving – van de snelle adoptie van cloud- en automatiseringsdiensten, cyberbeveiligings- en privacyrisico’s tot malware- en ransomwarebedreigingen – heeft bij organisaties voor urgentie gezorgd om informatie en gegevens veilig te houden. Organisaties die gecertificeerd zijn volgens normen die voldoen aan best practices, zoals ISO/IEC 27001, begrijpen het risicobeeld beter en lijken daardoor in het voordeel te zijn bij het implementeren van risicobeperkende maatregelen.
-EIND-
Verwijzingen: Espresso-enquête (november 2021), “How are companies tackling enterprise risk? Information security.”