‘Security-beleid in Belgische ondernemingen moet beter’

Organisaties in België doen er goed aan te kijken of hun IT-security voldoet aan de minimale eisen die nodig zijn om veilig te kunnen werken. Veel organisaties in ons land maken nog geen gebruik van eenvoudige basistechnologie om hun netwerken, apparaten, data en medewerkers te beveiligen. Dat blijkt uit een grootschalig security-onderzoek dat VMware in België en Nederland liet uitvoeren bij bedrijfsleiders en professionals die betrokken zijn bij de IT-organisatie in hun bedrijf. VMware raadt alle IT-beslissers binnen Belgische organisaties dan ook aan om in de budgetplanning de nodige aandacht te besteden aan de juiste middelen voor een optimaal securitybeleid en daarbij minimaal de basic cyber hygiene-principes toe te passen.

Eerst het goede nieuws: heel wat Belgische organisaties hebben hun visie op security, met het bijbehorende beleid en de procedures, duidelijk in kaart gebracht of zijn er mee bezig. Ongeveer 86% van de Belgische respondenten heeft ofwel alles op papier uitgewerkt (39%), of is daar momenteel mee bezig (47%). Bovendien is in meer dan 34% van de organisaties elke werknemer op de hoogte van het securitybeleid. Iets meer dan de helft (54%) geeft aan dat slechts een deel van het personeel op de hoogte is van het securitybeleid. Opmerkelijk is dat bij 12% van de Belgische respondenten niemand van het personeel op de hoogte is van het securitybeleid.

“De overgrote meerderheid van de bedrijven beseft dat security meer is dan alleen de juiste hardware en software installeren. Dat is positief om te lezen. Je moet als organisatie niet alleen een beleid uitwerken maar ook jouw medewerkers trainen zodat ze weten waar het fout kan gaan en wat ze mogen en kunnen doen. Een eenvoudige maatregel is bijvoorbeeld op publieke plaatsen ervoor zorgen dat niemand op je laptopscherm kan meelezen. Bij VMware is het al goed ingeburgerd dat medewerkers in een vliegtuig óf het scherm van de laptop niet opendoen óf met een anti-meekijk display werken”, vertelt Bart Coole, country manager België en Luxenburg bij VMware.

Investeren

In een economie die steeds digitaler wordt, zijn data en de IT-omgeving zeer bedrijfskritisch. Dat weerspiegelt zich ook in de budgetten die de organisaties besteden aan de beveiliging van hun IT-infrastructuur. Uit het onderzoek blijkt dat 43% van de bedrijven tussen de 11 en 30% van hun IT-budget naar beveiliging laat gaan. Nog eens 13,5% investeert 31 tot 50% van het IT-budget in security-oplossingen. Een kleine 5% van de bedrijven besteedt zelfs meer dan de helft van het IT-budget aan security.

Bart Coole: “Hoeveel je exact moet investeren, hangt in grote mate af van hoe kritiek of gevoelig data in jouw sector is. Security is een noodzakelijk element om je IT en business draaiende te houden. Maar het komt er dus op aan om de kosten van de implementatie en het operationeel budget voor security zo laag mogelijk te houden, zodat dit niet ten koste gaat van innovatie en groei. Als je 40% en meer van het IT-budget uitgeeft aan security, kannibaliseer je innovatie en blokkeer je trouwens ook human capital: IT-specialisten die zich moeten bezig houden met security issues. Hou hiermee rekening bij je investeringsbeleid voor het komende jaar.”

Overal malware

Ondanks de intentie om iedereen bewust te maken van het gevaar en om procedures in het leven te roepen, is de realiteit dat niemand gevrijwaard is van cybercrime. Alleen al in het voorbije jaar heeft 64% van de bedrijven één of meerdere security issues gehad. Malware komt het vaakst voor in organisaties. Dit is de top zes van security issues:

  1. Malware op de computer (22%)
  2. Malware op het netwerk (21%).
  3. Datadiefstal (11,6%)
  4. Ddos-aanval (11%)
  5. Malware op mobiele toestellen (10%)
  6. Ransomware (9%)

Populaire maatregelen 

Encryptie, een techniek waarbij data worden versleuteld zodat de cybercrimineel hier niets mee kan aanvangen, vind je in 74% van de bedrijven terug. Opvallend: in 26% van de bedrijven wordt geen enkel bestand versleuteld.

Een ander belangrijk instrument is de toegang tot het netwerk en de data controleren. 70% van de ondervraagden in België heeft een goed inzicht in wie zich wanneer en vanaf welke locatie toegang tracht te verschaffen tot het netwerk en de applicaties van de organisatie.

De impact van een datalek is enorm. Daarom trachten organisaties datalekken zoveel mogelijk te vermijden door de risico’s te verkleinen. Ze gebruiken daarvoor vaak een breed scala aan verschillende tools waarbij het van groot belang is dat altijd de laatste versies geïnstalleerd zijn met de laatste updates. Uit het onderzoek blijkt dat automatische updates het meest ingeburgerd zijn in bedrijven (77%).

“Automatisering is een belangrijke stap in security. Het geeft je de mogelijkheid om compliant te zijn met AVG (in het Engels GDPR). Want de updates overlaten aan de werknemer is per definitie een securitylek. Het gaat trouwens niet alleen over het pc-park up-to-date houden maar ook de talrijke smartphones op de werkvloer. Want daar is, denk ik, nog te veel vrijheid”, besluit Bart Coole.

Eenmaal er een inbreuk is, komt het er op aan om het lek zo snel mogelijk te identificeren en het ook te isoleren op het netwerk. Dit kan door microsegmentatie waarbij het netwerk wordt onderverdeeld in kleinere segmenten en de geïnfecteerde delen kunnen worden afgesloten van de rest van het netwerk. Ongeveer 34,4% van de respondenten geeft aan dat hun organisatie deze techniek reeds gebruikt.

Nederland boven

Over het algemeen scoren de Nederlandse organisaties net iets beter dan de Belgische op vlak van security. Zo is het securitybeleid bij het personeel er beter bekend (96,5% t.o.v. 86% in België). Op vlak van gebruikte tools zien we in Nederland dat maar liefst 93% bestanden versleutelt, en ook wat microsegmentatie betreft, zijn er meer bedrijven (45%) die deze technologie gebruiken.

Cyber-hygiene

“Dit onderzoek toont wederom aan dat, hoewel er veel wordt gesproken over security, er nog veel moet gebeuren om organisaties en hun medewerkers echt veilig te maken. Wij adviseren organisaties die geen idee hebben waar te beginnen of zeer beperkte budgetten hebben, te starten met de vijf ‘Cyber Hygiene-principes’ die we ook in dit onderzoek hebben meegenomen. Deze principes houden in dat de juiste mensen, op basis van multifactor authenticatie, toegang moeten hebben tot de juiste data en systemen; versleuteling zorgt ervoor dat derden niets aan jouw data hebben; je systemen moeten altijd de laatste updates draaien; microsegmentatie maakt dat je snel kunt handelen wanneer er toch iets fout gaat; en patches moeten zo snel mogelijk worden toegepast om veiligheidslekken te dichten”, besluit Bart Coole.