Column: KPMG: 'Hebben organisaties voldoende aandacht voor interne bedreigingen?"
KPMG Risk Management heeft recent onderzoek uitgevoerd naar IT beveiliging
onder een groot aantal bedrijven. Tweederde van deze bedrijven is van
mening dat hun netwerk redelijk goed is beveiligd. Dit ondanks het feit dat
bijna 90 procent ooit een beveiligings-incident heeft meegemaakt. Slechts
35 procent van alle onderzochte bedrijven meet en rapporteert de
effectiviteit van hun beveiligingsmaatregelen.
Het belang van een waterdicht IT beveiligingsbeleid wordt nog steeds
onderschat, de effectiviteit van dit beleid wordt niet voldoende
gecontroleerd. Er wordt pas ingegrepen nadat er een overtreding heeft
plaatsgevonden met alle gevolgen vandien, zoals verlies van vertrouwen,
assets en financiële middelen. "Het is de vraag of beveiligingsmanagement
wel effectief kan plaatsvinden als het niet wordt gemeten", licht Peter
Kornelisse van KPMG toe. "Als één onderdeel een zwakke schakel in
informatiebeveiliging heeft, dan is de hele organisatie in gevaar."
Het onderzoek toont tevens aan dat bedrijven in hoofdzaak gericht zijn op
het voorkomen van externe bedreigingen, zoals virussen en hackers. "De
externe beveiliging is doorgaans beter geregeld dan interne beveiliging.
Het is dan ook de vraag of organisaties wel voldoende aandacht hebben voor
interne bedreigingen", zegt Kornelisse. KPMG concludeert voorzichtig dat
bedrijven weliswaar gemiddeld tien procent van hun IT-budget aan
beveiliging uitgeven, maar weinig aandacht lijken te hebben voor de
daadwerkelijke return on investment.
Organisaties zouden dus meer aandacht mogen besteden aan de beveiliging van
interne netwerken. Echter, zelfs het meest doordachte beveiligingsbeleid
biedt geen garanties als men onvoldoende rekening houdt met de mogelijkheid
van interne ovetredingen en geen controlesysteem hanteert. Meten is weten!
Bah.
Beetje zwak om nu nog eens een revieuw te geven op de resultaten van een onderzoek wat al een tijdje uit is. Er wordt niet eens melding gemaakt van de naam van het bewuste onderzoek of waar het in te zien is.
Bah.
Ach, je moet je kop laten zien online, anders wordt je helemaal niet serieus genomen :-)
bijna 90 procent ooit een beveiligings-incident heeft meegemaakt."
Strikt genomen zegt dit nog niks. Dit kan je zo rekbaar invullen en uitleggen zoals dat je op dat moment uit zou komen.
Een beveiligingsincident wil nog niet direct zeggen dat er meteen sprake zou zijn van serieus gevaar. Zeker niet wanneer de bedrijfsveiligheid is uitgevoerd in meerdere lagen c.q. disciplines.
Een creatieve URL zou je bijvoorbeeld als beveiligingsincident kunnen aanschouwen wanneer deze in de WebServer's logfile zou zijn terug te vinden. Daarmee is niet gezegd dat zoiets dan direct impact zou hebben op een systeem. Dat is vervolgens weer afhankelijk van een aantal extra factoren (software, configuratie, instelling van rechten etc.) en zo verder...
"Dit ondanks het feit dat
bijna 90 procent ooit een beveiligings-incident heeft meegemaakt."
Een creatieve URL zou je bijvoorbeeld als beveiligingsincident kunnen aanschouwen wanneer deze in de WebServer's logfile zou zijn terug te vinden.
De vraag is dus, wat is een beveiligingsincident?
De afweging voor een e-commerce bedrijven, waarbij elke 'onnatuurlijke' URL onderzocht zou moeten worden om vast te stellen of er persoonlijke of creditcard gegevens erdoor gelekt is, is logischer dan voor een groenteboer die zo nu en dan een statische html pagina op zijn site zet. (tenzij het B2B groothandel is voor groente uiteraard :-))
MAW je kunt niet in het algemeen zeggen wat een securityincident is, dit is per sector, per organisatie verschillend.
Als een groenteboer b.v. wordt gedefaced is de business impact nihil, en de imago schade een verwaarloosbare factor, voor andere sectoren zoals de financieële gelden weer geheel andere normen.
Dus vanaf nu moet men bij elk onderzoek specificeren elke sector ze hebben onderzocht, om zo als lezer de juiste waarde aan het rapport kan hechten.
mvg,
G.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.