Cyberweerbaarheid nog steeds geen topprioriteit

Iets meer dan een derde van de CISO's in EMEA is van mening dat hun cyberweerbaarheid volwassen is. Dit blijkt uit onderzoek van Palo Alto Networks en IDC Research naar de volwassenheid en cyberweerbaarheid in Europa, het Midden-Oosten en Afrika en Latijns-Amerika. Het onderzoek laat ook zien  dat slechts 28% van de CISO's regelmatig hun disaster recovery test en dat 40% van de organisaties vertrouwen heeft in hun vermogen om een cyberaanval zonder grote verstoringen door te komen. Dit benadrukt de noodzaak om strategische initiatieven te ontwikkelen en bestaande toolkits tegen het licht te houden om de cyberbeveiligingsstandaarden te verbeteren.

Verrassend genoeg test slechts 21% van de CISO's in de bank-, financiële en verzekeringssector regelmatig disaster recovery, een van de laagste percentages in alle branches, ondanks het feit dat dit een van de zwaarst gereguleerde sectoren is. Nu de dreigingsniveaus en de complexiteit van de markt toenemen, staan CISO's voor een moeilijke taak. Een tekort aan talent en een gebrek aan nieuwe vaardigheden op het gebied van beveiligingstechnologieën wordt door 70% van de respondenten genoemd als de grootste uitdagingen bij het bereiken van cyberweerbaarheid, gevolgd door een gebrek aan correlatie tussen meerdere beveiligingsproducten (52%).

De resultaten laten zien dat, ondanks het feit dat 78% van de organisaties in EMEA en LATAM het belang van cyberweerbaarheid erkent, fragmentatie en de vraag naar middelen ervoor zorgen dat ambities en realiteit niet op één lijn komen.

Haider Pasha, Chief Security Officer, EMEA & LATAM, bij Palo Alto Networks, zegt hierover het volgende: "Ondanks redelijke volwassenheidsniveaus in EMEA en LATAM, is het verrassend hoe weinig CISO's zijn uitgerust om hun disaster recovery regelmatig te testen. Maar CISO's moeten een zware strijd leveren. Aan de ene kant verhogen geopolitieke gebeurtenissen en verstoring van de toeleveringsketen het dreigingsniveau, terwijl aan de andere kant door een tekort aan talent en relevante expertise het implementeren van oplossingen en het voorbereiden op het tegengaan van toekomstige aanvallen steeds uitdagender wordt."

Het onderzoek bracht verrassend weinig verschillen aan het licht tussen markten in Europa, Latijns-Amerika en het Midden-Oosten. Hieruit blijkt dat men het erover eens is dat cyberweerbaarheid van cruciaal belang is voor bedrijven. Markten waar cyberweerbaarheid de hoogste prioriteit heeft zijn onder andere het Koninkrijk Saoedi-Arabië (48% van de respondenten), Spanje (44%), Brazilië (43%) en Frankrijk (42%). Nederland heeft echter het laagste percentage van alle onderzochte landen, met slechts 24% van de organisaties die cyberweerbaarheid als topprioriteit beschouwen.

Jeramy Van Menxel, Country Manager Nederland bij Palo Alto Networks, licht toe: "Het escalerende en steeds complexer wordende cyberbeveiligingslandschap dwingt organisaties om hun cyberbeveiligingsstrategieën te heroverwegen en te verbeteren om de cyberweerbaarheid te vergroten en slechte bedreigingsactoren een stap voor te blijven. Het is echter zorgwekkend dat slechts 24% van de organisaties in Nederland cyberweerbaarheid als topprioriteit beschouwt. Nu het aantal cyberaanvallen toeneemt en er steeds hogere eisen worden gesteld vanuit EU-regelgeving zoals de NIS2-richtlijn en de Cyber Resilience Act, is het tijd voor Nederlandse organisaties om cyber resilience als topprioriteit te erkennen."

Naast fragmentatie wijst het onderzoek op een aantal technologische uitdagingen. Het gebruik van volwassen cyberbeveiligingscontroles voor cyberweerbaarheid staat op slechts 11%, waarbij sommigelanden in EMEA maar een score van 0-5% hebben. De meesten vertrouwen sterk op bedrijfscontinuïteitsplannen (74%), ramp disaster recovery(72%), ransomware disaster recovery (54%) en crisismanagementstrategieën (51%).

Haider Pasha zegt hierover: "Het is duidelijk dat dat veel organisaties nog niet de middelen en het vertrouwen hebben om een cyberbestendige technologie te implementeren die is ontworpen om aanvallen te voorkomen. In plaats daarvan moeten ze sterk vertrouwen op tactieken zoals disaster recovery, die zijn ontworpen om te reageren op incidenten in plaats van zich erop voor te bereiden. Het gebrek aan inzicht in de impact van bedreigingen en de focus op het oplossen ervan zorgt ervoor dat organisaties worden blootgesteld aan meer bedreigingen en niet in staat zijn om zich voor te bereiden op toekomstige risico's."

Het onderzoek toont echter de bereidheid om een cultuuromslag te maken rond cyberweerbaarheid, waarbij de invloed van senior leiderschap steeds belangrijker wordt. 72% van de respondenten gaf aan dat bestuursleden een primaire drijfveer zijn voor de focus van de organisatie op cyberweerbaarheid, meer dan wettelijke vereisten (70%).

Haider Pasha voegt hieraan toe: "Senior management die duidelijk het belang inziet van het opstellen, handhaven en meten van  cyberbeveiligingsbeleid, evenals het in staat stellen van het midden management om sneller beslissingen te nemen, is essentieel. Zonder dat wordt de verantwoordelijkheid bij cyberbeveiligingsteams gelegd om te reageren op incidenten in plaats van het bedrijf te trainen om betere houdingen te ontwikkelen."