Accountancy en belastingadvieskantoor Baker Tilly publiceerde in maart 2019 een onderzoek waarin zij concludeerde dat organisaties nog veel kunnen winnen in het tijdig detecteren van zwaktes in de eigen beveiliging en in het voorbereiden op hoe te reageren bij een cyberincident.
Aan het onderzoek werkten zo’n 200 kleine en middelgrote Nederlandse organisaties uit verschillende sectoren mee. Zij vulden de Cybersecurity Health Check van de Nederlandse Beroepsorganisatie van Accountants (NBA) in.
Meest opvallende bevindingen
De bevindingen laten zien welke aspecten van cybersecurity aandacht vereisen. Volgens de onderzoekers is op deze elementen een hoop werkt te verrichten:
- Bijna 60% test beveiliging van gevoelige applicaties niet regelmatig
Slechts 41% van de organisaties voert periodiek penetratietesten uit op gevoelige applicaties en applicaties die benaderbaar zijn via internet. Met deze testen kunnen organisaties toetsen of de beveiliging afdoende is. Opvallend is dat met name de deelnemende zorginstellingen, handel- en productiebedrijven en bouwbedrijven laag scoren (slechts 20% toetst beveiliging periodiek). - Bijna 50% voert kwetsbaarheidsscans niet (regelmatig) uit
Een kwetsbaarheidsscan toetst of tijdig de benodigde patches (lees: beveiligingsupdates voor software) worden doorgevoerd in de systeemomgeving. Slechts iets meer dan de helft van de deelnemende organisaties voert regelmatig een kwetsbaarheidsscan uit. - Slechts 30% van mkb-bedrijven checkt leveranciers op cybersecurity
Veel deelnemende organisaties zijn (groten)deels afhankelijk van partners en leveranciers voor hun operatie. Slechts de helft van de deelnemende organisaties geeft aan bij leveranciers, service providers en partners te informeren in welke mate zij cyberrisico’s afdekken en of zij hier verantwoording over kunnen afleggen. Mkb- bedrijven trekken hier het gemiddelde nog verder naar beneden. Slechts ongeveer 30% van de mkb-bedrijven geeft aan dit te doen.
Voor Guardian360 en haar partners is het geen verrassing dat deze aspecten aandacht moeten krijgen. Steeds meer organisaties beseffen dat zij preventieve, detectieve en curatieve maatregelen moeten treffen. Guardian360 partners dekken de drie bovengenoemde elementen met het Guardian360 platform af.
Positieve bevindingen
De onderzoekers hadden ook een aantal positieve bevindingen. De analyse toont aan dat op een aantal andere onderwerpen de deelnemende organisaties op de goede weg zijn:
- Cybersecurity op agenda van directie
Een grote meerderheid (84%) heeft de verantwoordelijkheid voor cybersecurity inmiddels op directieniveau belegd. Bij ruim 75% van de deelnemende organisaties is ook iemand uitvoerend verantwoordelijk gemaakt voor cybersecurity. De meeste organisatie (63%) hebben een cybersecuritybeleid, het onderwerp wordt periodiek besproken binnen de directie (62%) en de belangrijkste risico’s en dreigingen zijn (in ieder geval informeel) in kaart gebracht (61%). - Back-up procedures op orde
Bij veruit de meeste organisaties zijn de back-up procedures op orde en worden de back- upvoorzieningen zodanig ingericht dat getroffen systemen snel en efficiënt hersteld kunnen worden. Niet beschikbaarheid is ook het cyberrisico dat het meeste wordt genoemd in onze gesprekken over de check, zeker bij de mkb- bedrijven die de check hebben ingevuld. - Endpoint security effectief ingezet
De meeste organisaties hebben inmiddels effectieve maatregelen in gebruik voor endpoint security (beveiliging van werkplek en telefoon). Een aantal deelnemende zorginstellingen blijft nog wel achter op het treffen van effectieve maatregelen voor endpoint security, wat toch opvallend te noemen is. - Twee-factor authenticatie op externe toegang
Meer dan de helft (55%) van de organisaties maakt gebruik van twee-factor-authenticatie om de externe toegang tot hun netwerk en/of gegevens te beveiligen. Het zorgelijke is echter, dat dit betekent dat ook een groot deel van de organisaties twee-factor authenticatie nog helemaal niet inzet.
Het volledige onderzoek is te downloaden via https://www.bakertilly.nl/nl/actueel/nieuws/digitale-weerbaarheid-kleine-en-middelgrote-organisaties-nog-niet-op-niveau.