Bedrijven en security professionals zijn overgeleverd aan cybercriminelen, die altijd een stap voor lopen en daardoor een groot risico voor ondernemingen vormen…Inmiddels zou cybercrime de grootste cyberdreiging zijn en weten cybercriminelen die bedrijfsnetwerken infiltreren langer onopgemerkt te blijven. Veel bedrijven negeren echter deze dreiging en geven geld uit aan het bestrijden van “mindere” dreigingen. Deloitte spreekt van een ernstig gebrek aan bewustzijn, maar ook van zelfgenoegzaamheid als het om dit onderwerp gaat. Zowel automatiseringsafdelingen als security officers zouden tekort schieten.
Daarbij staat het uitgeven van grote sommen geld niet gelijk aan beveiliging. Wie meer uitgeeft hoeft niet per definitie veiliger te zijn. “We zien veel organisaties middelen voor technologische beveiligingsmaatregelen uittrekken, terwijl eenvoudige, goedkope maatregelen zoals patchmanagement, log analyse, verminderen van rechten, wachtwoorden laten verlopen en het opheffen van de toegang van ex-werknemers worden genegeerd.” (bron)
Zo zie je maar dat meer uitgeven aan beveiliging niet betekent dat je ook echt beter beveiligd bent. Ik kan het alleen maar eens zijn met wat hierboven is aangegeven. Het gaat er niet om dat je zoveel mogelijk besteed, het gaat erom dat je de middelen zo slim mogelijk besteedt (en geloof me, dat is makkelijker gezegd dan gedaan). Oh ja, middelen betekent meer dan geld maar ook kennis, beschikbare tijd, etc.
Bij beveiliging gaat het er in de praktijk nog te vaak om om beveiligingmaatregelen te implementeren…waar het echt om gaat is risico’s afdekken (bijvoorbeeld door ze te mitigeren, over te dragen aan anderen of ze gewoon te accepteren) waarbij we rekening moeten houden met het belang van de bedrijfsprocessen (laten we eerst de risico’s voor de belangrijkste processen beheersen). Maatregelen zijn niet alleen de technische maatregelen maar juist een combinatie van technische, organisatorische, procedurele, bouwkundige en elektronische maatregelen en dan het liefst in samenhang bezien.