Organisaties hebben meer inzicht in IT-kwetsbaarheden, maar worstelen met capaciteit
Solvinity-onderzoek toont aan dat organisaties security beter prioriteren, maar capaciteitsgebrek is punt van zorg
16 mei 2023 -
Organisaties hebben meer inzicht in de kwetsbaarheid van hun IT-omgeving en nemen gerichte maatregelen om dit te verbeteren. Tegelijkertijd is capaciteitsgebrek op het gebied van securitypersoneel een flinke uitdaging voor veel organisaties. Dit blijkt uit nieuw security-onderzoek van Solvinity, ‘Smarter Security 2023’.
Smarter Security 2023 is een vervolg op eerder onderzoek door Solvinity in 2020. Destijds was het belang van security bij organisaties nog niet volledig doorgedrongen, waardoor zij beperkt inzicht hadden in kwetsbaarheden en hun weerbaarheid overschatten. Sindsdien lijken organisaties wakker te zijn geschud, onder andere door ransomware-incidenten die de afgelopen jaren breed zijn uitgelicht in de media.
Security begint bij inzicht
Als je niet weet waar je kwetsbaar bent, kun je je ook niet beschermen. Goed nieuws dus dat 69,7 procent van de respondenten exact inzicht zegt te hebben in de kwetsbaarheden van hun IT-infrastructuur én gerichte beveiligingsmaatregelen heeft getroffen. Dat is een flinke stijging vergeleken met 49 procent in 2020.
"Jarenlang werd vulnerability management gezien als een nice-to-have," aldus Marc Guardiola, CTO bij Solvinity. "Het is goed om te zien dat meer respondenten concluderen dat het een must-have is. Tegelijkertijd heeft bijna één op de drie organisaties het nog niet op orde. Er is dus nog best wat te winnen."
Security testing blijft steken bij audits
In het onderzoek is ook gevraagd naar de testmethoden die organisaties inzetten om hun security te toetsen. Audits (55 procent) steken met kop en schouders tussen de antwoorden uit. 41,9 procent laat dit doen door gekwalificeerde instanties.
Maar audits zijn niet waterdicht en tussen twee auditmomenten kan ontzettend veel gebeuren. "Je moet er op ieder moment op kunnen vertrouwen dat je je securityzaken op orde hebt," zegt Guardiola. "Daarvoor zijn audits niet toereikend. Doorlopende scanning en testing van de security is nodig in het razendsnel veranderende IT-landschap van vandaag."
Minder capaciteit om te beveiligen
Capaciteitsgebrek loopt als een rode draad door de onderzoeksresultaten heen. Zo geeft ruim één op de vijf (22,2 procent) respondenten aan dat er te weinig capaciteit is om patching uit te voeren, vergeleken met 16 procent in 2020. Voor 42,1 procent is het binnenhalen van voldoende talent topprioriteit om de organisatie ook in de toekomst veilig te houden.
Ook legacy on-premises infrastructuren slokken veel IT-capaciteit op, omdat er veel handmatig werk aan te pas komt. Toch werkt nog 22,4 procent van de IT-professionals met dit soort omgevingen. Daarnaast werkt 40,2 procent met hybride cloud, waar – vooral in het private deel – ook veel legacy kan voorkomen. Public en (geoutsourcete) private cloud-omgevingen bieden daarentegen veel betere mogelijkheden tot automatisering. Daarmee kan broodnodige capaciteit worden vrijgespeeld – mits de juiste kennis wordt toegepast. "Ik ben een groot voorstander van cloud, maar besef wel dat hier specialistische kennis voor nodig is. Niet alleen om de kosten onder controle te houden. Ook security moet je in de cloud vanaf het begin goed aanvliegen", besluit Guardiola.