IT Security is de afgelopen jaren in toenemende mate in het nieuws gekomen. We kunnen onze ogen niet meer sluiten voor de gevaren van cybercriminaliteit. Het positieve van deze ontwikkeling is dat de bewustwording groter is geworden. Bedrijven - CFO’s, CIO's en IT Managers in het bijzonder - vragen zich af hoeveel risico zij bereid zijn om te nemen. Met als ultieme vraag: "Hoeveel is het ons waard om deze risico’s te minimaliseren?”
Security; een flinke kostenpost?
Volgens een onderzoek van het Ponemon Institute, uitgevoerd in 2015, waren de gemiddelde kosten als gevolg van het lekken van data $3.79 miljoen dollar wereldwijd bekeken. Dat is een toename van 23% ten opzichte van 2013. Deze kosten zijn direct te wijten aan het herstellen van het incident, maar ook gerelateerd aan productiviteitsverlies, verlies van gevoelige data, financiële schade, of reputatieschade. Het onderzoek gaf verder aan dat de gemiddelde kosten per gestolen ‘record’ $154 bedragen en dat 74% van alle security breaches veroorzaakt woorden door hackers en criminele ‘insiders’.
Wet meldplicht datalekken
Naast kwantificeerbare consequenties, zoals kosten, worden bedrijven ook geconfronteerd met aangescherpte wettelijke verplichtingen. Zo heeft de Wet bescherming persoonsgegevens een toevoeging gekregen waarin bedrijven verplicht worden een melding te doen bij de Autoriteit Persoonsgegevens indien er een datalek optreed waarbij persoonsgegevens betrokken zijn. Hierin wordt de eigenaar van deze persoonsgegevens expliciet als verantwoordelijke aangewezen, met bijbehorende zorgplicht. Ook vanuit de Europese Unie wordt in 2017 de General Data Protection Regulation van kracht, welke geldt voor de gehele EU. Met als gevolg dat organisaties vanuit diverse overheden worden geconfronteerd met nieuwe en veranderende wetgeving.
De strijd tegen cybercriminaliteit
Bij menig IT-professional ontstaat het gevoel dat het gevecht tegen cybercriminaliteit een ongelijke strijd wordt. Het aantal ‘point solutions’ is legio. Om er een aantal te noemen: anti-virus; anti-spam; firewalls; Intrusion Detection and Prevention systemen en Security Information and Event Management. De keuze tussen producten is lastig en eenmaal aanwezig wisselen deze systemen geen informatie uit waardoor de IT-beheerorganisatie overspoeld wordt met meldingen. Security wordt steeds meer een Big Data probleem, waarbij het vinden van de speld in een hooiberg meer gaat lijken op het zoeken van een speld in een berg spelden.
Valid monitort voortdurend de ontwikkelingen op het gebied van Security en heeft geconstateerd dat de Security-markt snel verandert. We hebben onze Security Services dan ook verder uitgebreid. Wat ons betreft vraagt een brede Security-aanpak het adresseren van zowel de menselijke kant als de techniek en de processen. Security Awareness programma’s zijn bijvoorbeeld nodig om medewerkers bewust te maken van de actuele bedreigingen en hoe hierin te handelen. Op technisch- en procesvlak werken we samen met een aantal vooraanstaande partners, op het gebied van onze Managed Services. Samen met Palo Alto Networks, LogRhythm, Microsoft, Kaspersky Lab en Masergy bieden wij onze klanten zoveel mogelijk veilige waarde.
Zorg voor balans
Niet elk bedrijf loopt evenveel risico. Men dient een balans te vinden tussen ‘risk exposure’ ("hoeveel risico’s ben ik bereid om te lopen?") en het benodigde security level, met de daarbij behorende beveiligingsmaatregelen. Een ding is zeker, de ogen sluiten en hopen dat de problemen vanzelf verdwijnen is geen optie meer.