Dutch IT Security Survey 2022

Dutch IT Leaders Security Survey 2022

Dutch IT Leaders Security Survey 2022

Cyber security: uitdagingen en oplossingen

Wat zijn de grootste cyber securityuitdagingen van CIO’s, CISO’s en andere digitale leiders? Hoe maken zij werknemers (meer) bewust van online gevaren? Met welke toepassingen maken ze hun organisaties weerbaar(der)? Voor IT-beslissers zijn dit relevante vragen, zeker nu cybergevaren als phishing, identity theft en ransomware alsmaar groter worden.

De Dutch IT Leaders Security Survey 2022, een onderzoek van Smart Profile en Dutch IT Channel, geeft een actueel inzicht in hoe IT-beslissers in Nederland zich anno 2022 met vraagstukken rond cyber security bezighouden. Het onderzoek, waarbij Nederlandse CIO’s, CISO’s en andere securitybeslissers werden geïnterviewd door de redactie van Dutch IT Channel, geeft een interessant beeld van hoe Nederlandse organisaties hun IT-security moderniseren en hun digitale weerbaarheid vergroten. Er wordt steeds meer budget vrijgemaakt voor cyber security, onder andere voor security awareness en voor bescherming tegen phishing en andere online gevaren.

Uit het onderzoek blijkt dat steeds meer organisaties hun werknemers regelmatig security ‘aware-ness’ trainingen laten volgen. Nog altijd veel organisaties zien immers een gebrek aan security aware-ness, dat met trainingen en e-learning moet worden opgelost. Het is vooral belangrijk dat de weer-baarheid van werknemers wordt getest: kunnen zij zich voldoende verweren tegen cybergevaren?

De bevindingen van dit onderzoek zijn interessant voor álle IT-beslissers in Nederland, omdat ze laten zien hoe bij hun vakgenoten de ‘marsroute’ naar cyber security eruit ziet. Ze zien bovendien met wel-ke moderne cyber securitytoepassingen bedrijven hun organisaties weerbaar(der) maken tegen hui-dige en toekomstige gevaren.

Maar ook voor IT-leveranciers, IT-distributeurs en IT -dienstverleners is dit onderzoek van grote waar-de. Immers, het geeft een interessant inzicht in de securitytoepassingen van merken die momenteel in trek zijn of bij veel bedrijven in de planning staan om te worden aangekocht.

Wij hopen met het Dutch IT Leaders Security Survey 2022 een waardevol en actueel inzicht te geven in hoe IT-beslissers hun organisaties cyberbestendig maken en houden!

Business uitdagingen en trends op de securitymarkt

Budget voor security

Met de openingsvraag keken we meteen in de portemonnee van zakelijk Nederland: hoe zal het budget voor security zich de komende jaren ontwikkelen? Gezien alle berichtgeving over cyber crime in de media is het niet verrassend dat geen enkele respondent aangaf te verwachten dat dit budget afneemt.

Ongeveer een derde verwacht dat het budget ongeveer gelijk blijft en twee derde verwacht een (sterke) stijging.

Respondenten lichtten hun antwoord als volgt toe:

• Budget blijft gelijk: “Security krijgt momenteel de aandacht die het verdient. Voor ons geldt: ‘do more with less.’ Wel ging het afgelopen jaar het budget omhoog.”

• Budget stijgt: “We blijven investeren in de veiligheid van onze bedrijfsgegevens en de kwaliteit van onze diensten richting de klant. Met het huidige klimaat van ransomware kan het niet anders dan dat we meer budget moeten vrijmaken om de veiligheid te garanderen. Wij kijken naar zowel hardware als software, zodat we met acceptabele kosten verbeteringen kunnen aanbrengen. Het is onnodig om alleen veel geld uit te geven aan security software; met een goed calamiteitenplan – waarvan back-up & recovery een onderdeel vormen – kun je ook goed beveiligd zijn.”

Al een incident meegemaakt?

Of een respondent in zijn bedrijf een ernstig cyberbeveiligingsincident heeft meegemaakt, bleek een gevoelige vraag die niet iedereen wilde of mocht beantwoorden. Veel respondenten antwoordden nog wel met ‘Ja’ of ‘Nee’, maar een toelichting bleef vaak achterwege. Bijna 30% gaf aan dat een ernstig incident wel degelijk is voorgekomen.

Hebt u (ernstige) cyberbeveiligings-incidenten meegemaakt?

Incidenten die wél werden genoemd zijn bijvoorbeeld ‘DDOS aanvallen’, ‘aanvallen op API’s’ of ‘aanvallen met ransomware’.

Grootste risico’s?

We vroegen ook wat in de beleving van respondenten momenteel de grootste risico’s zijn op het gebied van cyber security. Twee dreigingen steken er met kop en schouders bovenuit: ‘ransomware’ en ‘phishing’, allebei genoemd door twee derde van de respondenten.

Wat zjin uw grootste cybersecurity risico’s?

In de categorie ‘Anders’ vallen onder meer verkeerde handelingen door medewerkers, menselijke fouten, ongeoorloofde toegang tot dossiers en zelfs ‘insider threats’.

Te nemen acties?

Een logische vervolgvraag is welke acties bedrijven voor de komende jaren plannen om zich tegen deze risico’s te wapenen. De respondenten dachten vooral aan toepassingen op het gebied van zero-trust framework (30%). Toepassingen op het gebied van security en risk management werden door een kwart genoemd.

Welke (cyber) security toepassingen krijgen komende 1 tot 3 jaar meer aandacht?

Zero-trust framework

Security en risk Management

EDR / XDR / MDR

Anti-fraude / phishing acties

Enterprise identity & access management solutions

Supply chain/ Third party security

Behavioral analytics

Cybersecurity assessment

Cyber recovery/resilience

API security

Modernisatie IT-infrastructuur (servers, storage, networking, beheer, etc.)

De respondenten mochten maximaal vijf toepassingen noemen. Bovenstaande figuur geeft het totaal weer van alle gegeven antwoorden, ongeacht of een respondent een toepassing als eerste, tweede of bijvoorbeeld vijfde heeft genoemd.

Als we alleen kijken naar de antwoorden die de respondenten als eerste noemden, dan staat ‘EDR/ XDR/MDR’ met 15% bovenaan. ‘Anti-fraude/phishing acties’ en ‘security en risk management’ werden beiden door 10% van de respondenten als eerste genoemd.

Wie is verantwoordelijk?

In verschillende organisaties kunnen verschillende ‘rollen’ de leiding hebben over cyber security en daarvoor eindverantwoordelijk zijn. Hiernaar gevraagd is het niet verwonderlijk dat de CISO het meest werd genoemd als eindverantwoordelijke. Verder verwezen veel respondenten naar de CEO, de CIO of ‘het IT-management’ in het algemeen, natuurlijk ook omdat niet elk bedrijf een specifieke CISO heeft.

Wie heeft de leiding en verantwoordelijkheid betreffende cyber security in uw organisatie?

In hun toelichting op deze vraag gaven meerdere respondenten aan dat er een verschuiving gaande is. Steeds vaker speelt ‘de business’ een rol bij de bepaling van het securitybeleid. Een respondent vatte het als volgt samen: “De business is verantwoordelijk voor het strategisch securitybeleid en de CISO gaat over het uitvoerend securitybeleid.”

Grootste uitdaging: awareness

Veruit de meest voorkomende uitdaging in het securitymanagement is en blijft (vooralsnog) het gebrek aan security awareness. Genoemd door 55% van de respondenten steekt dit probleem met kop en schouders boven alle andere uit.

Grootste uitdaging rond security management?

Gebrek aan security awareness binnen de gehele organisatie Business composability garanderen dat cyberincidenten minimaliseert en de organisatie helpt bij verdere groei Personeelstekort

Verschil in kennis tussen IT Management en security experts

De impact van security projecten en de ability to execute

Het managen van de vele pointsolutions, welke bij een MKB+ bedrijf niet samenkomen in een SIEM met SOAR. Shadow

Urgentie bij andere leukere projecten met prioriteit

Treffende quotes over het ‘awareness probleem’ zijn bijvoorbeeld: “Er wordt nog veel te makkelijk over gedacht, tot je aan de beurt bent…“ . En ook: “Door drukke werkzaamheden zakt awareness weg...”

Hoewel onze respondenten awareness dus nog altijd zien als de grootste uitdaging in cyber security, zien zij een verbetering ten opzichte van een jaar geleden. Bijna driekwart ziet een verhoging van de awareness en 1 op de 6 respondenten geeft zelfs aan dat er véél meer awareness is. Ruim een kwart heeft niet het idee dat de awareness is verbeterd in het afgelopen jaar.

Is er nu méér security awareness in uw organisatie dan één jaar geleden?

Een van de respondenten lichtte zijn antwoord als volgt toe: “Security awareness is ‘people security’. Het is de makkelijkste return on investment. Binnen ons bedrijf hebben we een verplicht programma voor alle medewerkers met special topic training, zoals field operators. Maar het vergt vaak andere talen en een ander opleidingsniveau. Er zit verschil in culturen. Security is niet makkelijk.”

Een klein kwart (23%) van de geïnterviewde bedrijven gaf aan dat er (nog) geen trainingen worden aangeboden aan medewerkers met het oog op security awareness. Bij ruim driekwart is dat gelukkig wel het geval. Veruit de meeste van die bedrijven trainen álle medewerkers. In circa 16% van de bedrijven gaat het om een training specifiek voor IT’ers of leidinggevenden.

E-learning speelt hierin volgens meerdere respondenten een belangrijke rol. Met dat middel worden alle (nieuwe) medewerkers geschoold op security awareness. Soms worden ook toetsen afgenomen.

Wordt er training aangeboden voor medewerkers met het oog op security awareness?

Ja, aan alle medewerkers

Ja, aan medewerkers in IT of in leidinggevende rol

Nee

Nee, wel plannen

Gevolgen van meer uitgaven

In het onderzoek vroegen we ook naar de gevolgen van meer uitgaven aan cyber security. Een kwart van de respondenten vindt dat dit ‘ten koste gaat van andere onderwerpen op de IT-agenda’. Ruim de helft gaf aan dat een verhoging van de uitgaven aan cyber security reden is voor een risico-gebaseerde aanpak om de kosten te managen.

De noodzaak voor meer uitgaven aan cyber security leidt tot:

Druk op budget voor andere IT-uitgaven

Meer risico-gebaseerde benadering om uitgaven te beheersen

Beveiliging van (thuis)werkplekken

Door het hybride werken dat is ontstaan na de afschaffing van de coronamaatregelen is het aantal werkplekken flink gestegen. Immers, naast een werkplek op kantoor hebben veel medewerkers nu ook een thuiswerkplek. Het belang van security is hierdoor nóg groter geworden. We vroegen de respondenten in ons onderzoek naar de grootste bedreigingen voor al deze werkplekken.

Wat zijn de meest voorkomende aanvallen op werkplekken?

Phishing Malware

Ransomware

DDoS aanval (Denial of Service)

Zero-day exploit

DNS-tunneling

Man in the Middle Attack SQL-injection

Het meest voorkomende antwoord werd door vrijwel iedereen genoemd: phishing. Ook de antwoorden ‘malware’ en ‘ransomware’ steken er bovenuit. De respondenten mochten meerdere dreigingen noemen; de bovenstaande figuur is samengesteld op basis van álle genoemde antwoorden.

Als we alleen kijken naar de dreiging die de respondenten als eerste noemden, dan wordt het verschil nog duidelijker. 71 procent van de respondenten noemde ‘phishing’ als eerste. Op plek twee staat ‘ransomware’ (17%), gevolgd door ‘DDOS-aanval’ (5%).

Zoals gezegd is het (flink toegenomen) thuiswerken een extra uitdaging voor het securitybeleid. Welke maatregelen nemen organisaties doorgaans op dit gebied? De meest populaire maatregel is het gebruik van VPN-verbindingen voor thuiswerkplekken. Driekwart van de bevraagde organisaties past dit toe. Daarnaast gaf ongeveer de helft van de respondenten aan dat hun organisatie een antivirusoplossing oplegt. Bijna een kwart van de organisaties gaf aan gebruik te maken van VDI’s. Het gebruik van managed devices, beheerd via een MDM, is een van de antwoorden die werden gegeven in de categorie ‘Iets anders’.

Welke zaken zijn van toepassing met het oog op thuiswerken binnen uw organisatie?

Er wordt gebruik gemaakt van een VPN-verbinding

Er wordt antivirus opgelegd vanuit de organisatie

Er wordt gebruik gemaakt van VDI's

De routers/switches bij mensen thuis worden vanuit de organisatie gemanaged

Cloud computing

Zeker in de enterprisemarkt is cloud computing inmiddels de standaard, denk aan het gebruik van SaaS-applicaties. Bovendien maken tegenwoordig de meeste bedrijven gebruik van servers uit de cloud. De vraag is welke impact deze migratie naar de cloud heeft op het securitybeleid?

Cloudmigratie leidt tot een grotere vraag naar:

De respondenten konden meerdere opties kiezen en rangschikken naar impact. Deze figuur is op basis van álle antwoorden. Alle beschikbare opties worden door een meerderheid van de respondenten gebruikt, zo bleek. Een grotere vraag naar endpoint security werd het meest genoemd, op korte afstand gevolgd door een grotere vraag naar identity & access management.

Als we alleen kijken naar het eerstgenoemde antwoord, dan is de volgorde net anders. ‘Identity & access management’ werd het vaakst als eerste genoemd (34%). ‘Data management (back-up) & data storage’ is de nummer twee met 22%. Endpoint security, de nummer drie, werd door 17% van de respondenten als eerste antwoord gegeven.

Securityleveranciers

De rol van leveranciers van securityoplossingen is mede door de toenemende dreigingen nog belangrijker geworden. Daarom de vraag: “Werkt u met meerdere securityleveranciers of liever met een?” Vooralsnog lijkt de voorkeur bij de geïnterviewde organisaties uit te gaan naar een select aantal leveranciers, maar niet slechts een. Ongeveer een kwart gaf aan dat het eigenlijk niets uitmaakt.

Een van de motivaties bij de keuze voor deze laatste optie (‘maakt niets uit’) luidde: “Het heeft meer met inkoopbeleid te maken. Het gaat om erom hoe de dienstverlening van de aanbieder(s) aansluit op onze IT.”

Werkt

Zo veel mogelijk met één leverancier

Een aantal, liefst top-3

Maakt niets uit, geen limiet

Iets anders

Audits en assessments

Vragen we naar de frequentie waarmee audits en security assessments plaatsvinden, dan zien we onder de ondervraagde securityverantwoordelijken een driedeling:

• Een kwart geeft aan dat er sprake is van een continue monitoring.

• Ongeveer 15% doet dit maandelijks.

• Veruit de grootste groep, meer dan 50%, voert zo’n audit of assessment maar een of enkele keren per jaar uit.

Met welke regelmaat voert u security assessments of audits uit?

Tevreden over bestaande oplossingen?

De media-aandacht over aanvallen met ransomware in het afgelopen jaar zullen veel bedrijven hebben gedwongen hun securityoplossingen nog ‘s kritisch te bekijken, zo was de veronderstelling. De onderstaande figuur geeft weer hoe onze respondenten oordelen over hun oplossingen.

Met een overall rapportcijfer van 7,4 lijken de meeste geïnterviewden redelijk tevreden. Een enkeling (<10%) beoordeelde de gebruikte oplossing(en) met een (vette) onvoldoende, maar de meerderheid gaf de eigen oplossing(en) een 8 of hoger.

Een van de respondenten in deze laatste groep (8 of hoger) plaatste de score in een mooi perspectief en legde een duidelijke link tussen de oplossing en het risico assessment: “We scoren een voldoende. We hebben het prima op orde in onze branche. Maar het wordt natuurlijk wel een ander verhaal als je een bank bent.”

Overigens moet bij dit soort vragen altijd de kanttekening worden gemaakt dat respondenten niet gegarandeerd eerlijk antwoorden. Schiet het securitybeleid tekort, dan zal niet elk bedrijf dat van de daken roepen.

Hoe tevreden bent u met de huidige (anti-)ransomware maatregelen binnen uw bedrijf?

Datasoevereiniteit

Dan datasoevereiniteit, voor de ene respondent een belangrijker issue dan voor de andere. Immers, wetgeving op dit gebied is voor verschillende branches of (soorten) opgeslagen data anders, en daarom niet voor elk bedrijf hetzelfde. We zien dat terug in de antwoorden op de vraag: “Hoe ziet uw beleid voor datasoevereiniteit eruit?”

Hoe ziet uw data-soevereiniteit-beleid eruit?

We slaan data op in de cloud, geen idee van de locatie

We slaan vaker (ook) data op in het buitenland

We slaan zoveel mogelijk bedrijfsdata on-premises en beschermd op

We slaan zoveel mogelijk data op in Nederland

De grootste groep (55 %) slaat data op in Nederland. 37% van de respondenten gaf dit antwoord direct, maar ook de categorie “On-premises en beschermd” (18%) kan hierbij worden opgeteld omdat alle interviews plaatsvonden met bedrijven of op bedrijfslocaties in Nederland. Ruim een kwart gaf aan dat dataopslag (ook) in het buitenland plaatsvindt. Nog eens 16% zei geen idee te hebben waar cloud data precies wordt opgeslagen. De kans is groot dat dit in het buitenland is.

BC/DR-plan

De afsluitende vraag in het onderzoek ging over de aanwezigheid van een business continuity en disaster recovery (BC/DR) plan. Omdat de doelgroep bestond uit grootzakelijke bedrijven en publieke instellingen, is het nog best verwonderlijk dat nog altijd 13% zo’n plan niet heeft. Gelukkig gaf een deel van deze groep wel aan de opstelling van een BC/DR-plan te overwegen.

Hebt u een business continuity en disaster-recovery plan (BC/DR) en is dit effectief?

Ja, maar nog geen gebruik van hoeven maken Ja, en werkt ook goed Ja, maar bleek onvoldoende Nee, maar we overwegen een BC/DR plan Nee en geen plannen

Ook opvallend is de groep die aangaf wel een BC/DR-plan in gebruik te hebben, maar dat al eens is gebleken dat het plan onvoldoende werkt.

De respondenten die aangaven een BC/DR-plan te hebben, hebben niet allemaal per se een calamiteit meegemaakt. Niet alleen respondenten in de groep ‘Ja, maar nog geen gebruik van hoeven maken’, maar ook respondenten in de groep ‘Ja, en werkt ook goed’ kunnen zich daarom evengoed baseren op simulaties, testen en het gebruik van de BC/DR-oplossingen alleen voor migraties.

Conclusies onderzoek

Cyber attacks haalden ook het afgelopen jaar meerdere malen het NOS-journaal. Van de geïnterviewde bedrijven in dit onderzoek geeft 30 procent aan zelf een ernstig cyberincident te hebben meegemaakt. Het is daarom geenszins verwonderlijk dat twee derde van onze respondenten

aangeeft stijgende budgetten te hebben voor IT-security. Helemaal niemand geeft aan dat het budget voor IT-security daalt.

De verantwoordelijkheid voor security resideert steeds meer in een C-level portefeuille, zo blijkt verder uit het Dutch IT Leaders Security Survey 2022. Bijna driekwart van de respondenten geeft dit aan. De CISO is daarbij de meest genoemde eindverantwoordelijke rol. Hoewel bijna driekwart van de respondenten aangeeft dat security awareness het afgelopen jaar is toegenomen, vindt meer dan de helft van hen dit nog steeds de belangrijkste uitdaging. Awareness trainingen aan medewerkers zijn dan ook gemeengoed.

Phishing, malware en ransomware zijn volgens de respondenten de meest voorkomende aanvallen op werkplekken. De oplossingen in de strijd tegen deze bedreigingen zijn het gebruik van VPNverbindingen voor thuiswerkplekken en het verplicht gebruik van endpoint (antivirus) toepassingen. Met een gemiddeld rapportcijfer van 7,4 geven de respondenten de eigen oplossing als bescherming tegen aanvallen met ransomware op werkplekken een ruime voldoende.

Bij een kwart van de respondenten in de grootzakelijke markt vinden security assessments en security audits doorlopend plaats. De meerderheid zegt zoiets één of enkele keren per jaar te doen. Mochten alle maatregelen ter voorkoming van een security incident onvoldoende blijken, dan is het goed dat bijna 90 procent van de organisaties aangeeft een business continuity en disaster recovery plan te hebben.

De overall conclusies van dit onderzoek zijn dat security vanuit IT-perspectief bij de meeste van de respondenten een prominente plek op de agenda heeft, en dat allerhande maatregelen zijn genomen en bovendien worden uitgebreid om incidenten te voorkomen. Ondanks zichtbare verbeteringen blijft de achilleshiel bij dit alles security awareness bij medewerkers. Zoals een van de respondenten het treffend verwoordde:

“ Er wordt nog veel te makkelijk over (security) gedacht, tot je aan de beurt bent…”

Over ons

Smart Profile werkt vanuit de overtuiging dat binnen B2B-marketing en sales veel potentieel onbenut blijft, potentieel dat wij willen realiseren. Hoe? Door rijke data uit onze eigen Smart Profile MarketBase om te zetten naar commercieel succes.

Smart Profile verzamelt en structureert bedrijfsdata in de Benelux en stelt deze beschikbaar via de eigen MarketBase. Deze database vormt de basis voor een demand- of lead generation campagne, of een account based campagne, eventueel door Smart Profile uit te voeren. Denk hierbij aan e-mail, social selling en telefonische inbound/outbound campagnes.

Smart Profile is marktleider in de Benelux vanuit een kantoor in Breda. Meer informatie, zie www.smartprofile.io. Of volg Smart Profile op LinkedIn of Twitter.

Dutchitchannel.nl is een platform dat zijn lezers en volgers dagelijks informeert over actuele ontwikkelingen en trends in de IT-channel. Het accent ligt op de business rond IT-oplossingen (hardware, software, diensten) en de spelers die op deze markt actief zijn. Naast nieuws uit binnen- en buitenland, interviews, onderzoeken, cases en dossiers besteedt Dutchitchannel.nl in ruime mate aandacht aan de mensen die in de branche actief zijn.

Lees meer op www.dutchitchannel.nl of volg Dutch IT Channel op de social media kanalen Facebook, Linkedin en Twitter.

Dutch IT Leaders is een platform voor digitale leiders op C-level zoals CIO’s, IT-managers, directieleden en Line of Business (LOB). Executibe Peopel is een een strategisch platform voor IT leveranciers en dienst verleners die onder de aandacht willen komen van IT- en businessmanagers en direct sales leads willen genereren. www.executive-people.nl

Opzet onderzoek

Dit onderzoek van Dutch IT Channel in samenwerking met Smart Profile is uitgevoerd door middel van een telefonische en online enquête onder CIO’s, CISO’s en andere IT-leiders die verantwoordelijk zijn voor cybersecurity.

Er is gevraagd en gekeken naar de belangrijkste uitdagingen, spanningen en trends op het gebied van security en cyber security. De focus lag op de grootzakelijke Nederlandse markt, waar redacteuren van Dutch IT Channel op persoonlijke titel vijftig CIO’s, CISO’s en andere verantwoordelijken voor IT en security hebben geïnterviewd. De rest van de gegevens zijn online verzameld in de periode september/oktober 2022. De enquête besloeg twintig kwalitatieve vragen.

Colofon

Uitgave van Dutch IT Channel en Smart Profile

Managing Director: Frans Vertregt mail f.vertregt@dutchitchannel.nl

Voor vragen over dit onderzoek: Smart Profile: Erik van Gurp

Aan deze uitgave werkten verder mee: Michiel Alkemade, Directeur Smart Profile Witold Kepinski, Director Content & Editor-in-Chief Dutch IT Channel Monique Vreeswijk, Operations-bladmanager Dutch IT Channel en alle andere medewerkers van Smart Profile en Dutch IT Channel.

Dit onderzoek is met de grootste zorg samengesteld. Desondanks kunnen er (druk)fouten of onvolledigheden in voorkomen. Hiervoor aanvaardt de uitgever geen enkele aansprakelijkheid. Overname van gegevens alleen na goedkeuring van de uitgever.