75 procent organisaties heeft grote kans op cyber-incident

22-07-2016 | door: Redactie

75 procent organisaties heeft grote kans op cyber-incident

De RSA, de security-divisie van EMC, heeft de resultaten bekend gemaakt van de RSA Cybersecurity Poverty Index 2016. Hieruit blijkt dat het merendeel van de organisaties moeite blijft houden de cybersecurity te verbeteren. Voor het tweede opeenvolgende jaar gaf 75 procent van de respondenten aan een significante risicoblootstelling te ervaren op het gebied van cybersecurity. Het onderzoek werd afgenomen onder 878 respondenten uit 81 landen - waaronder Nederland - en in 24 sectoren.

Uit de Index blijkt verder dat organisaties die investeren in perimeter-gebaseerde oplossingen minder goed bestand zijn tegen cyber-incidenten, dan bedrijven die investeren in detectie- en response-technologieën. Zij blijken een grotere achterstand te hebben in het vinden van kwaadaardige activiteiten en lopen meer kans op publieke onthulling van bedrijfskritische informatie.

Incident Response onderontwikkeld
Met name Incident Response (IR)-mogelijkheden zijn onderontwikkeld. Bijna de helft van de organisaties noemde essentiële IR-mogelijkheden ‘ad hoc’ of ‘niet-bestaand’. Wanneer organisaties eenmaal een security-incident hebben meegemaakt dat effect had op de bedrijfsvoering, blijken zij eerder geneigd programma’s in gang te zetten om de cybersecurity-capaciteiten op te schroeven. Organisaties die met regelmaat security-incidenten ervaren en detecteren, beschikken 65 procent vaker over ontwikkelde of gevorderde security-capaciteiten.

Toename cybersecurity-programma’s
Eén van de meest opvallende veranderingen ten opzichte van het onderzoek van 2015 is de toename van organisaties met volwassen cybersecurity-programma’s. Het percentage organisaties dat aangeeft over geavanceerde capaciteiten te beschikken (de hoogste categorie), nam met meer dan de helft toe ten opzichte van de voorgaande Index. Van 4,9 procent naar 7,4 procent. Toch blijkt dat organisaties moeite houden om proactieve stappen te zetten om hun cybersecurity en houding ten opzichte van risico’s te verbeteren. Gemiddeld zag 45 procent van de respondenten de mogelijkheid om cyber-risico’s te categoriseren, vast te stellen of cyber-risico’s te matigen, als ‘niet-bestaand’ of ‘ad hoc’. Minder dan een kwart ziet de organisatie binnen dit domein als volwassen.

De onmogelijkheid om hun Cyber Risk Appetite aan te geven, de risico’s waarmee respondenten geconfronteerd worden en de potentiële impact op hun organisaties, maakt het voor organisaties ingewikkeld om prioriteit te geven aan mitigatie en investering. Dit zijn fundamentele activiteiten voor organisaties die hun security en risicohouding willen verbeteren.

Volwassenheid per sector verschilt
Uit de onderzoeksresultaten blijkt voor het tweede jaar hoe beheerders van kritische infrastructuur, de oorspronkelijke doelgroep voor de CSF, aanzienlijke stappen moeten zetten om hun volwassenheid te vergroten. De overheid en energiebranche scoorden als sector het laagste in het onderzoek; met slechts 18 procent van de organisaties op 'ontwikkeld' of 'gevorderd' niveau. Luchtvaart en defensie scoorden het hoogst, waarvan bijna veertig procent op de hoogste niveau’s opereert. Organisaties binnen de financiële dienstverlening, een sector die vaak als koploper wordt gezien vanwege het grote volume aan cyber-aanvallen, eindigen als middenmoot. Waarbij 26 procent zijn organisatie als ‘goed voorbereid’ ziet, ten opzichte van 33 procent vorig jaar.

EMEA-regio pakt koppositie
Organisaties in de EMEA-regio blijken de meest volwassen security-strategieën te hebben. Waarbij 29 procent van de organisaties in Europa, het Midden-Oosten en Afrika zichzelf als ‘ontwikkeld’ dan wel ‘gevorderd’ ziet. Dit ten opzichte van 26 procent in de APJ-regio en 23 procent van de organisaties op het Amerikaanse continent. EMEA neemt daarmee de koppositie over van de APJ-regio; zij stijgen drie procentpunten, waar APJ er dertien daalt. De volwassenheid van Noord- en Zuid-Amerika blijft achter bij EMEA en APJ.  

Amit Yoran, President RSA: "Deze tweede editie van ons cybersecurity-onderzoek biedt tastbaar bewijs dat organisaties van alle formaten, in alle industrieën en overal ter wereld zich onvoorbereid voelen op mogelijke dreiging. We moeten de manier waarop we over security denken veranderen en ons niet alleen focussen op preventie. Er is een strategie nodig waarbij de nadruk ligt op detectie en response. Organisaties moeten niet langer wachten tot een aanval hen tot actie aanspoort.”              

Terug naar nieuws overzicht