Column: KPMG: 'Hebben organisaties voldoende aandacht voor interne bedreigingen?"
KPMG Risk Management heeft recent onderzoek uitgevoerd naar IT beveiliging
onder een groot aantal bedrijven. Tweederde van deze bedrijven is van
mening dat hun netwerk redelijk goed is beveiligd. Dit ondanks het feit dat
bijna 90 procent ooit een beveiligings-incident heeft meegemaakt. Slechts
35 procent van alle onderzochte bedrijven meet en rapporteert de
effectiviteit van hun beveiligingsmaatregelen.
Het belang van een waterdicht IT beveiligingsbeleid wordt nog steeds
onderschat, de effectiviteit van dit beleid wordt niet voldoende
gecontroleerd. Er wordt pas ingegrepen nadat er een overtreding heeft
plaatsgevonden met alle gevolgen vandien, zoals verlies van vertrouwen,
assets en financiële middelen. "Het is de vraag of beveiligingsmanagement
wel effectief kan plaatsvinden als het niet wordt gemeten", licht Peter
Kornelisse van KPMG toe. "Als één onderdeel een zwakke schakel in
informatiebeveiliging heeft, dan is de hele organisatie in gevaar."
Het onderzoek toont tevens aan dat bedrijven in hoofdzaak gericht zijn op
het voorkomen van externe bedreigingen, zoals virussen en hackers. "De
externe beveiliging is doorgaans beter geregeld dan interne beveiliging.
Het is dan ook de vraag of organisaties wel voldoende aandacht hebben voor
interne bedreigingen", zegt Kornelisse. KPMG concludeert voorzichtig dat
bedrijven weliswaar gemiddeld tien procent van hun IT-budget aan
beveiliging uitgeven, maar weinig aandacht lijken te hebben voor de
daadwerkelijke return on investment.
Organisaties zouden dus meer aandacht mogen besteden aan de beveiliging van
interne netwerken. Echter, zelfs het meest doordachte beveiligingsbeleid
biedt geen garanties als men onvoldoende rekening houdt met de mogelijkheid
van interne ovetredingen en geen controlesysteem hanteert. Meten is weten!
Bah.
Beetje zwak om nu nog eens een revieuw te geven op de resultaten van een onderzoek wat al een tijdje uit is. Er wordt niet eens melding gemaakt van de naam van het bewuste onderzoek of waar het in te zien is.
Bah.
Ach, je moet je kop laten zien online, anders wordt je helemaal niet serieus genomen :-)
bijna 90 procent ooit een beveiligings-incident heeft meegemaakt."
Strikt genomen zegt dit nog niks. Dit kan je zo rekbaar invullen en uitleggen zoals dat je op dat moment uit zou komen.
Een beveiligingsincident wil nog niet direct zeggen dat er meteen sprake zou zijn van serieus gevaar. Zeker niet wanneer de bedrijfsveiligheid is uitgevoerd in meerdere lagen c.q. disciplines.
Een creatieve URL zou je bijvoorbeeld als beveiligingsincident kunnen aanschouwen wanneer deze in de WebServer's logfile zou zijn terug te vinden. Daarmee is niet gezegd dat zoiets dan direct impact zou hebben op een systeem. Dat is vervolgens weer afhankelijk van een aantal extra factoren (software, configuratie, instelling van rechten etc.) en zo verder...
"Dit ondanks het feit dat
bijna 90 procent ooit een beveiligings-incident heeft meegemaakt."
Een creatieve URL zou je bijvoorbeeld als beveiligingsincident kunnen aanschouwen wanneer deze in de WebServer's logfile zou zijn terug te vinden.
De vraag is dus, wat is een beveiligingsincident?
De afweging voor een e-commerce bedrijven, waarbij elke 'onnatuurlijke' URL onderzocht zou moeten worden om vast te stellen of er persoonlijke of creditcard gegevens erdoor gelekt is, is logischer dan voor een groenteboer die zo nu en dan een statische html pagina op zijn site zet. (tenzij het B2B groothandel is voor groente uiteraard :-))
MAW je kunt niet in het algemeen zeggen wat een securityincident is, dit is per sector, per organisatie verschillend.
Als een groenteboer b.v. wordt gedefaced is de business impact nihil, en de imago schade een verwaarloosbare factor, voor andere sectoren zoals de financieële gelden weer geheel andere normen.
Dus vanaf nu moet men bij elk onderzoek specificeren elke sector ze hebben onderzocht, om zo als lezer de juiste waarde aan het rapport kan hechten.
mvg,
G.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
