‘Security-beleid in Belgische ondernemingen moet beter’

Orga­ni­sa­ties in België doen er goed aan te kijken of hun IT-security voldoet aan de minimale eisen die nodig zijn om veilig te kunnen werken. Veel orga­ni­sa­ties in ons land maken nog geen gebruik van eenvou­dige basis­tech­no­logie om hun netwerken, apparaten, data en mede­wer­kers te bevei­ligen. Dat blijkt uit een groot­schalig security-onderzoek dat VMware in België en Nederland liet uitvoeren bij bedrijfs­lei­ders en profes­si­o­nals die betrokken zijn bij de IT-orga­ni­satie in hun bedrijf. VMware raadt alle IT-beslis­sers binnen Belgische orga­ni­sa­ties dan ook aan om in de budget­plan­ning de nodige aandacht te besteden aan de juiste middelen voor een optimaal secu­ri­ty­be­leid en daarbij minimaal de basic cyber hygiene-principes toe te passen.

Eerst het goede nieuws: heel wat Belgische orga­ni­sa­ties hebben hun visie op security, met het bijbe­ho­rende beleid en de proce­dures, duidelijk in kaart gebracht of zijn er mee bezig. Ongeveer 86% van de Belgische respon­denten heeft ofwel alles op papier uitge­werkt (39%), of is daar momenteel mee bezig (47%). Bovendien is in meer dan 34% van de orga­ni­sa­ties elke werknemer op de hoogte van het secu­ri­ty­be­leid. Iets meer dan de helft (54%) geeft aan dat slechts een deel van het personeel op de hoogte is van het secu­ri­ty­be­leid. Opmer­ke­lijk is dat bij 12% van de Belgische respon­denten niemand van het personeel op de hoogte is van het securitybeleid.

“De overgrote meer­der­heid van de bedrijven beseft dat security meer is dan alleen de juiste hardware en software instal­leren. Dat is positief om te lezen. Je moet als orga­ni­satie niet alleen een beleid uitwerken maar ook jouw mede­wer­kers trainen zodat ze weten waar het fout kan gaan en wat ze mogen en kunnen doen. Een eenvou­dige maatregel is bijvoor­beeld op publieke plaatsen ervoor zorgen dat niemand op je laptop­scherm kan meelezen. Bij VMware is het al goed inge­bur­gerd dat mede­wer­kers in een vliegtuig óf het scherm van de laptop niet opendoen óf met een anti-meekijk display werken”, vertelt Bart Coole, country manager België en Luxenburg bij VMware.

Investeren

In een economie die steeds digitaler wordt, zijn data en de IT-omgeving zeer bedrijfs­kri­tisch. Dat weer­spie­gelt zich ook in de budgetten die de orga­ni­sa­ties besteden aan de bevei­li­ging van hun IT-infra­struc­tuur. Uit het onderzoek blijkt dat 43% van de bedrijven tussen de 11 en 30% van hun IT-budget naar bevei­li­ging laat gaan. Nog eens 13,5% inves­teert 31 tot 50% van het IT-budget in security-oplos­singen. Een kleine 5% van de bedrijven besteedt zelfs meer dan de helft van het IT-budget aan security.

Bart Coole: “Hoeveel je exact moet inves­teren, hangt in grote mate af van hoe kritiek of gevoelig data in jouw sector is. Security is een nood­za­ke­lijk element om je IT en business draaiende te houden. Maar het komt er dus op aan om de kosten van de imple­men­tatie en het opera­ti­o­neel budget voor security zo laag mogelijk te houden, zodat dit niet ten koste gaat van innovatie en groei. Als je 40% en meer van het IT-budget uitgeeft aan security, kanni­ba­li­seer je innovatie en blokkeer je trouwens ook human capital: IT-speci­a­listen die zich moeten bezig houden met security issues. Hou hiermee rekening bij je inves­te­rings­be­leid voor het komende jaar.”

Overal malware

Ondanks de intentie om iedereen bewust te maken van het gevaar en om proce­dures in het leven te roepen, is de realiteit dat niemand gevrij­waard is van cyber­crime. Alleen al in het voorbije jaar heeft 64% van de bedrijven één of meerdere security issues gehad. Malware komt het vaakst voor in orga­ni­sa­ties. Dit is de top zes van security issues:

1. Malware op de computer (22%)
2. Malware op het netwerk (21%).
3. Data­dief­stal (11,6%)
4. Ddos-aanval (11%)
5. Malware op mobiele toestellen (10%)
6. Ransom­ware (9%)

Populaire maatregelen 

Encryptie, een techniek waarbij data worden versleu­teld zodat de cyber­cri­mi­neel hier niets mee kan aanvangen, vind je in 74% van de bedrijven terug. Opvallend: in 26% van de bedrijven wordt geen enkel bestand versleuteld.

Een ander belang­rijk instru­ment is de toegang tot het netwerk en de data contro­leren. 70% van de onder­vraagden in België heeft een goed inzicht in wie zich wanneer en vanaf welke locatie toegang tracht te verschaffen tot het netwerk en de appli­ca­ties van de organisatie.

De impact van een datalek is enorm. Daarom trachten orga­ni­sa­ties data­lekken zoveel mogelijk te vermijden door de risico’s te verkleinen. Ze gebruiken daarvoor vaak een breed scala aan verschil­lende tools waarbij het van groot belang is dat altijd de laatste versies geïn­stal­leerd zijn met de laatste updates. Uit het onderzoek blijkt dat auto­ma­ti­sche updates het meest inge­bur­gerd zijn in bedrijven (77%).

“Auto­ma­ti­se­ring is een belang­rijke stap in security. Het geeft je de moge­lijk­heid om compliant te zijn met AVG (in het Engels GDPR). Want de updates overlaten aan de werknemer is per definitie een secu­ri­tylek. Het gaat trouwens niet alleen over het pc-park up-to-date houden maar ook de talrijke smartphones op de werkvloer. Want daar is, denk ik, nog te veel vrijheid”, besluit Bart Coole.

Eenmaal er een inbreuk is, komt het er op aan om het lek zo snel mogelijk te iden­ti­fi­ceren en het ook te isoleren op het netwerk. Dit kan door micro­seg­men­tatie waarbij het netwerk wordt onder­ver­deeld in kleinere segmenten en de geïn­fec­teerde delen kunnen worden afge­sloten van de rest van het netwerk. Ongeveer 34,4% van de respon­denten geeft aan dat hun orga­ni­satie deze techniek reeds gebruikt.

Nederland boven

Over het algemeen scoren de Neder­landse orga­ni­sa­ties net iets beter dan de Belgische op vlak van security. Zo is het secu­ri­ty­be­leid bij het personeel er beter bekend (96,5% t.o.v. 86% in België). Op vlak van gebruikte tools zien we in Nederland dat maar liefst 93% bestanden versleu­telt, en ook wat micro­seg­men­tatie betreft, zijn er meer bedrijven (45%) die deze tech­no­logie gebruiken.

Cyber-hygiene

“Dit onderzoek toont wederom aan dat, hoewel er veel wordt gesproken over security, er nog veel moet gebeuren om orga­ni­sa­ties en hun mede­wer­kers echt veilig te maken. Wij adviseren orga­ni­sa­ties die geen idee hebben waar te beginnen of zeer beperkte budgetten hebben, te starten met de vijf ‘Cyber Hygiene-principes’ die we ook in dit onderzoek hebben meege­nomen. Deze principes houden in dat de juiste mensen, op basis van multi­factor authen­ti­catie, toegang moeten hebben tot de juiste data en systemen; versleu­te­ling zorgt ervoor dat derden niets aan jouw data hebben; je systemen moeten altijd de laatste updates draaien; micro­seg­men­tatie maakt dat je snel kunt handelen wanneer er toch iets fout gaat; en patches moeten zo snel mogelijk worden toegepast om veilig­heids­lekken te dichten”, besluit Bart Coole.