IT-beslisser vertrouwt eigen bedrijfsfirewall niet
6 oktober 2014 -
Ondanks de toename van het aantal datalekken en de diefstal en het verlies wereldwijd van meer dan twee miljard bestanden sinds 2013, blijven organisaties geloven dat perimeter security-technologieën effectief zijn voor de bescherming van gegevens.
Dit blijkt uit nieuw onderzoek van SafeNet. Uit de Data Security Confidence Index 2014 van Safenet blijkt dat 57 procent van de IT-beslissers in de Benelux (74 procent wereldwijd) van mening is dat de bedrijfsfirewall niet-geautoriseerde gebruikers effectief buitensluit. Toch geeft bijna de helft (47 procent) van de respondenten in de Benelux (en een vergelijkbare 44 procent wereldwijd) toe dat de bedrijfsfirewall te maken heeft gehad met inbraak, of dat men zelfs niet weet of er is ingebroken. Daarnaast gelooft meer dan 73 procent van de IT-beslissers in de Benelux niet dat gegevens veilig zijn als niet-geautoriseerde gebruikers erin slagen om de perimeterbeveiliging van het bedrijfsnetwerk te doorbreken. Wereldwijd is dit percentage 60 procent.
Liever investeren in oppervlakkige dan in diepgaande beveiliging
De resultaten van de enquête tonen aan dat, ondanks de toename van het aantal inbreuken op het netwerk en verlies van gegevens, bedrijven toch steeds meer IT-budget investeren in perimeterbeveiliging en diefstalpreventietechnologieën. Dit doen ze liever dan investeren in diepgaande beveiligingsstrategieën met een sterke multifactorauthenticatie en dataencryptie. Volgens de Breach Level Index (BLI) van SafeNet werden in de eerste helft van 2014 alleen al meer dan 375 miljoen klantgegevens gestolen, een stijging van 31 procent ten opzichte van dezelfde periode vorig jaar.
Investeringen gehandhaafd
Uit het onderzoek blijkt dat 93 procent van de IT-beslissers zegt dat de organisatie in de afgelopen vijf jaar de investeringen in perimeter security heeft gehandhaafd of verhoogd. Daarbij besteden ze een gemiddelde van negen procent van het IT-budget aan de inkoop, het implementeren en het onderhouden van firewalltechnologie. Voor de komende twaalf maanden zien de respondenten een voortzetting van deze trend met eenzelfde deel (9,05 procent) voor firewalltechnologie.
Bijna zes op de tien (57 procent) van de ondervraagde IT-beslissers in de Benelux zeggen dat hun bedrijf de afgelopen vijf jaar meer heeft geïnvesteerd in firewalls. Volgens de respondenten besteden bedrijven op dit moment gemiddeld tien procent van het IT-budget aan inkoop, implementatie en onderhoud van hun firewall. De voorspelling is, dat dit het komende jaar niet gaat veranderen. Slechts zeventien procent van de respondenten zou perimeterbeveiliging schrappen als ze één methode moeten kiezen om gevoelige data te beschermen. Respondenten zouden er liever voor kiezen om anomaliedetectie (72 procent) te schrappen.
Juiste beveiligingstechnologie
Een derde (33 procent) van de ondervraagde IT-beslissers denkt dat de organisatie genoeg investeert in IT-beveiliging. Zeven op de tien respondenten (70 procent) zijn van mening dat hun organisatie de beveiligingsinvesteringen besteedt aan de juiste technologieën. Als ze de zeggenschap zouden hebben over het security-budget, zou meer dan de helft (53 procent) deze niet verhogen ten gunste van firewalltechnologie, maar wel door andere technologieën.
Twee derde van de IT-beslissers (67 procent) wereldwijd geeft ook toe dat men de uitgaven aan perimeterbeveiliging, zoals firewalltechnologie, niet zou verhogen ten gunste van andere technologieën. Sterker nog: als respondenten wordt voorgelegd van welke methode om kritische data te beveiligen, zij af willen, dan zegt de meerderheid anomaliedetectie (49 procent) of gegevensbeveiligingsmaatregelen als encryptie (24 procent). Dit in plaats van perimeter security (vijftien procent).
Weinig vertrouwen in ‘breach prevention’ en cybercriminelen buitensluiten
IT-beslissers hebben, ondanks een hoge mate van vertrouwen in de effectiviteit van perimeter security, minder vertrouwen in het vermogen van hun organisatie om hun gegevens te beschermen tegen het toenemend aantal veiligheidsbedreigingen. Het onderzoek onderstreept dit met de volgende resultaten.
· Meer dan de helft (60 procent) van de respondenten wereldwijd is niet overtuigd dat de gegevens veilig zijn als ongeautoriseerde gebruikers door de perimeter security van het netwerk dringen. Van de Benelux-respondenten is dit maar liefst 73 procent.
· Twee vijfde (41 procent) denkt dat niet-geautoriseerde gebruikers toegang hebben tot het netwerk. Van de Benelux-respondenten is dit maar liefst zes op de tien (60 procent).
· Ruim een derde (34 procent) van de IT-beslissers wereldwijd geeft aan minder vertrouwen te hebben in het vermogen van de beveiligingssector om nieuwe veiligheidsrisico’s te detecteren en af te weren. In de Benelux is dit percentage ongeveer gelijk (37 procent).
· Een kwart van de IT-beslissers (25 procent) wereldwijd geeft toe dat als men een klant zou zijn van de eigen organisatie, men deze geen persoonlijke gegevens zou toevertrouwen. In de Benelux is dit percentage nog hoger: 33 procent.
· Meer dan de helft (53 procent) suggereert dat high-profile datalekken die in het nieuws zijn geweest, de eigen organisatie ertoe heeft aangezet om de beveiligingsstrategie aan te passen. Voor de Benelux ligt dit percentage lager: 47 procent. Op dit moment geeft een derde (33 procent) van de respondenten in de Benelux aan dat men niet het idee heeft dat de organisatie de beveiligingsmogelijkheden heeft om nieuwe bedreigingen en technologieën bij te houden.
Interessante tegenstellingen
"De onderzoeksresultaten laten een aantal interessante tegenstellingen zien tussen de perceptie en de realiteit van gegevensbeveiliging," zegt Dirk Geeraerts, Regional Director bij SafeNet. "Wat hier zo verontrustend aan is, is dat veel organisaties nog steeds op één paard wedden als het gaat om gegevensbeveiliging. Perimeter security-technologieën zijn slechts één laag van bescherming. Toch leunen veel bedrijven hierop en beschouwen het als het fundament van hun databeveiligingsstrategie. Terwijl in werkelijkheid de perimeter, de buitenlaag, niet meer bestaat. Alleen al op basis van het enorme aantal datadiefstallen is het duidelijk dat wanneer een cybercrimineel een systeem wil hacken of data wil stelen, hij een manier vindt om dit te realiseren. Dus moeten bedrijven zich concentreren op wat echt belangrijk is: de bescherming van gegevens. Dit houdt in: het bouwen van een intelligentere beveiligingsstrategie en het inzetten van een diepgravende beveiliging met multifactorautenticatie en het direct beveiligen van data door middel van dataencryptie."
