Gebrek aan securityprofessionals blijft uitdaging
Organisaties hebben meer inzicht in de kwetsbaarheid van hun IT-omgeving en nemen gerichte maatregelen om dit te verbeteren. Tegelijkertijd is capaciteitsgebrek op het gebied van securitypersoneel een flinke uitdaging voor veel organisaties.
Dit blijkt uit nieuw security-onderzoek van Solvinity ‘Smarter Security 2023’. Het onderzoek Smarter Security 2023 is een vervolg op eerder onderzoek door Solvinity in 2020. Destijds was het belang van security bij organisaties nog niet volledig doorgedrongen, waardoor zij beperkt inzicht hadden in kwetsbaarheden en hun weerbaarheid overschatten. Sindsdien lijken organisaties wakker te zijn geschud, onder andere door ransomware-incidenten die de afgelopen jaren breed zijn uitgelicht in de media.
Security begint bij inzicht
Als je niet weet waar je kwetsbaar bent, kun je je ook niet beschermen. Goed nieuws dus dat 69,7% van de respondenten exact inzicht zegt te hebben in de kwetsbaarheden van hun IT-infrastructuur en gerichte beveiligingsmaatregelen heeft getroffen. Dat is een flinke stijging vergeleken met 49% in 2020.
“Jarenlang werd vulnerability management gezien als een nice-to-have”, aldus Marc Guardiola, CTO bij Solvinity. “Het is goed om te zien dat meer respondenten concluderen dat het een must-have is. Tegelijkertijd heeft bijna één op de drie organisaties het nog niet op orde. Er is dus nog best wat te winnen.”
Security testing blijft steken bij audits
In het onderzoek is ook gevraagd naar de testmethoden die organisaties inzetten om hun security te toetsen. Audits (55%) steken met kop en schouders tussen de antwoorden uit. 41,9% laat dit doen door gekwalificeerde instanties.
Maar audits zijn niet waterdicht en tussen twee auditmomenten kan ontzettend veel gebeuren. “Je moet er op ieder moment op kunnen vertrouwen dat je je securityzaken op orde hebt”, zegt Guardiola. “Daarvoor zijn audits niet toereikend. Doorlopende scanning en testing van de security is nodig in het razendsnel veranderende IT-landschap van vandaag.”
Minder capaciteit om te beveiligen
Capaciteitsgebrek loopt als een rode draad door de onderzoeksresultaten heen. Zo geeft ruim één op de vijf (22,2%) respondenten aan dat er te weinig capaciteit is om patching uit te voeren, vergeleken met 16% in 2020. Voor 42,1% is het binnenhalen van voldoende talent topprioriteit om de organisatie ook in de toekomst veilig te houden.
Ook legacy on-premises infrastructuren slokken veel IT-capaciteit op, omdat er veel handmatig werk aan te pas komt. Toch werkt nog 22,4% van de IT-professionals met dit soort omgevingen. Daarnaast werkt 40,2% met hybride cloud, waar – vooral in het private deel – ook veel legacy kan voorkomen. Public en (geoutsourcete) private cloud-omgevingen bieden daarentegen veel betere mogelijkheden tot automatisering. Daarmee kan broodnodige capaciteit worden vrijgespeeld – mits de juiste kennis wordt toegepast. “Ik ben een groot voorstander van cloud, maar besef wel dat hier specialistische kennis voor nodig is. Niet alleen om de kosten onder controle te houden. Ook security moet je in de cloud vanaf het begin goed aanvliegen”, besluit Guardiola.
Meer informatie is hier beschikbaar.