Respondenten zijn nogal zeker over hun compliancy, maar dit is meestal niet gerechtvaardigd

Nederlandse bedrijven investeerden in 2019 gemiddeld 39 miljoen euro om te voldoen aan de AVG, maar dit lijkt niet te hebben geleid tot noemenswaardige verbeteringen in compliance. Massaal thuiswerken compliceert de situatie, doordat er verminderd zicht op endpoints is. Daarop duidt internationaal onderzoek in opdracht van Tanium.

Ondanks miljoeneninvesteringen in compliance programma’s is er bij 94 procent van alle in het onderzoek participerende organisaties sprake van fundamentele IT-zwakheden, die bedrijven kwetsbaar maken voor inbreuken en waarop boetes kunnen staan.

Nederlandse bedrijven gaven aan dat de introductie van AVG en andere data privacy-wetgeving heeft geleid tot significante investeringen in IT-security en -operations. In Nederland gaat het om een bedrag van gemiddeld 39 miljoen euro in 2019. Maar wat de onderzoekers ook hebben gevonden, is dat deze uitgaven de niet per se inhouden dat een organisatie dichter bij AVG-compliance is gekomen.

Van alle respondenten geven negen op de tien aan dat zij geïnvesteerd hebben in training van hun werknemers. Daarnaast zegt driekwart dat zij nieuw talent hebben aangenomen en 80 procent heeft geïnvesteerd in nieuwe software of services. Zeven van de tien geënquêteerden hebben nieuwe software of services aangeschaft zodat ze data kunnen lokaliseren en categoriseren. Daarnaast heeft tachtig procent van de organisaties wereldwijd gemiddeld 124 miljoen euro apart gezet voor de schadelijke gevolgen van een datalek.

Visibility gaps

Massaal werken vanuit huis heeft tevens gezorgd voor verminderd zicht op de endpoints die daarvoor worden gebruikt. Er bestonden natuurlijk al visibility gaps in de IT-omgevingen van de meeste bedrijven voor het ontstaan van de pandemie. Maar uit het onderzoek komt naar voren dat wel 96 procent van de IT-besluitvormers endpoints ontdekt heeft in de IT-omgeving waarvan zij geen weet hadden. Daarnaast geeft driekwart van de CISO’s aan dat zij op dagelijkse, wekelijkse of maandelijkse basis nieuwe endpoints ontdekken.

Gezien de behoefte aan duidelijk inzicht en rapportage om te voldoen aan privacy-regulering, zorgen visibility gaps voor twijfel aan corporate AVG-initiatieven. Gebrek aan inzicht en controle van endpoints is volgens 35 procent de grootste uitdaging om te voldoen aan compliance. Een ruime meerderheid (94%) van de Nederlandse respondenten geeft aan dat er fundamentele zwakheden binnen hun organisatie bestaan die een duidelijk beeld van hun IT-ecosysteem in de weg staan.

Visibility gaps ontstaan en worden vaak verergerd door verouderde tools binnen het bedrijf (32%), gebrekkige samenwerking tussen IT, operations en security teams (31%), door slechte IT-hygiëne (30%), legacy systemen die geen actuele informatie bieden (30%), door gebrek aan middelen om IT-omgevingen effectief te managen (23%) en door schaduw-IT (21%).

Schijnzekerheid

Respondenten zijn nogal zeker over hun compliancy, maar dit is meestal niet gerechtvaardigd, aldus het onderzoek. Negen op de tien ondervraagden zeggen dat zij er zeker van zijn dat zij alle nodige informatie over een datalek met regulators kunnen delen binnen 72 uur. Maar slechts een vijfde gaf aan dat zij een compleet inzicht hebben op alle apparatuur die op hun netwerk is aangesloten. Het vertrouwen van de meerderheid lijkt dus misplaatst, aldus het onderzoek. Een enkel gemist endpoint kan immers een schending inhouden van de regeleving.

Over het onderzoek

Aan het wereldwijde onderzoek, uitgevoerd door Vanson Bourne, hebben dan 750 IT-leiders van grote organisaties meegedaan, waarvan 100 Nederlanders. De enquête is verder afgenomen in de VS, het VK, Australië, Frankrijk, Duitsland, Japan en Canada. Alle respondenten werken bij organisaties met minimaal 1.000 medewerkers in een voor de economie representatieve groep sectoren.