zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Twee jaar na introductie AVG hebben bedrijven nog steeds te weinig inzicht in IT-omgeving

Ondanks recente opschortingen, zijn hoge boetes voor databeveiliging de nieuwe norm

6 mei 2020 - Tanium heeft onderzoek gedaan naar de status van endpoint security na invoering van AVG-wetgeving in 2018. Het onderzoek wijst uit dat, twee jaar na invoering van deze wet, grote uitgaven niet leiden tot verbeterde compliancy. Ondanks miljoeneninvesteringen in compliance programma’s, ontdekt meer dan 94 procent fundamentele IT-zwakheden die bedrijven kwetsbaar laten voor inbreuken en wettelijke boetes.

Daarnaast lijkt het werken op afstand, tenminste gedeeltelijk, een nieuwe realiteit te worden, wat de relevantie van dit onderzoek en de uitkomsten daarvan nogmaals onderstreept. 


Aan het wereldwijde onderzoek, uitgevoerd door Vanson Bourne, deden meer dan 750 IT-leiders van grote organisaties mee, waarvan 100 Nederlanders. Nederlandse bedrijven gaven aan dat de introductie van AVG en andere data privacy-wetgeving heeft geleid tot significante investeringen in IT-security en -operations. In Nederland ging het afgelopen jaar om een bedrag van gemiddeld 39 miljoen euro. Hierbij gaf 90 procent van de respondenten aan dat zij geïnvesteerd hebben in het trainen van hun werknemers. Daarnaast zegt 74 procent dat zij nieuw talent hebben aangenomen en 80 procent heeft geïnvesteerd in nieuwe software of services. 70 procent van de respondenten heeft nieuwe software of services aangeschaft zodat ze data kunnen lokaliseren en 68 procent heeft dit gedaan om data te lokaliseren en te categoriseren. 
Daarnaast heeft 79 procent van de organisaties gemiddeld 124 miljoen euro apart gezet voor een cyberaansprakelijkheidsverzekering. Zo hopen zij voorbereid te zijn op de gevolgen van een datalek. 
Het werken op afstand, wat miljoenen mensen wereldwijd tegenwoordig doen, heeft tevens gezorgd voor nog meer blinde vlekken in welke endpoint daarvoor gebruikt worden. Dit kan leiden tot non-compliancy-situaties wanneer deze apparaten niet goed beschermd en mogelijk zelfs besmet zijn.

Meer uitgaven leiden niet tot het oplossen van visibility-uitdagingen
De Tanium-studie ontdekte enorme visibility gaps in de IT-omgevingen van de meeste bedrijven voor het ontstaan van de pandemie. Uit dit onderzoek kwam naar voren dat maar liefst 96 procent van de IT-besluitvormers endpoints ontdekte in hun IT-omgeving waar zij voorheen geen weet van hadden. Daarnaast geeft 77 procent van de CISO’s aan dat zij op dagelijkse, wekelijkse of maandelijkse basis nieuwe endpoints ontdekken. 
Gezien de behoefte aan duidelijk inzicht en rapportage om te voldoen aan privacy-regulering, zorgen visibility gaps voor twijfel aan corporate AVG-initiatieven. Gebrek aan inzicht en controle van endpoints is volgens 35 procent de grootste uitdaging om te voldoen aan compliance. 

Wat is de oorzaak van visibility gaps?
Een meerderheid (94 procent) van de Nederlandse respondenten geeft aan dat er fundamentele zwakheden binnen hun bedrijf bestaan die hen ervan weerhouden een duidelijk beeld te krijgen van hun IT-ecosysteem. Massaal thuiswerken en het gebruik van persoonlijke apparaten kunnen deze problemen verergeren en de corporate attack surface vergroten.
Om een duidelijk beeld te kunnen vormen is inzicht in endpoints essentieel en is het van belang om het aantal visibility gaps zo klein mogelijk te houden. Visibility gaps ontstaan en worden vaak verergerd door de volgende situaties:
 
  • Het gebruik van te veel verouderde tools binnen het bedrijf (32 procent);
  • Een gebrek aan eenheid tussen IT, operations en security teams (31 procent);
  • Slechte IT-hygiëne (30 procent);
  • Legacy systemen die geen actuele informatie bieden (30 procent);
  • Gebrek aan middelen om IT-omgevingen effectief te managen (23 procent);
  • Schaduw IT (21 procent).
Uit dit onderzoek kwam ook naar voren dat Nederlandse bedrijven gemiddeld 43 verschillende security en operationele tools gebruiken voor het managen van hun IT-omgevingen. Dit beperkt de effectiviteit van de al verzuilde teams nog verder en creëert onnodige complexiteit. 
Andere uitdagingen die Nederlandse bedrijven tegenkomen als ze controle proberen te houden over hun IT-omgevingen zijn: het werken met data die niet actueel of up-to-minute is (59 procent), het gebrek aan coördinatie tussen IT security en operations teams (48 procent) en het gebruiken van tools of het toevoegen van omgevingen (bijvoorbeeld cloud-omgevingen) door werknemers zonder toestemming van IT-afdelingen (47 procent). 

Tech-leiders maken zich zorgen over de gevolgen
Het invoeren van AVG wetgeving is slechts het begin van een nieuw complex tijdperk van strenge data privacy-maatregelen. Ondanks het uitstellen van grote boetes vanwege de pandemie, is het nog steeds een vereiste dat bedrijven persoonlijke data onder de meest strenge beveiliging opslaan en verwerken. Het lange termijn plaatje is duidelijk: meer verantwoordelijkheid en toezicht. 
Organisaties die niet in staat zijn om data die via endpoints loopt te beheren en beveiligen lopen serieuze risico’s wat betreft bedrijfsresultaten en de corporate reputatie. Zo geven IT-leiders in dit onderzoek aan dat onvolledig inzicht in endpoints hun bedrijf kwetsbaarder kan maken voor cyberaanvallen (54 procent), ervaringen van gebruikers kan aantasten (40 procent), risk assessments kan bemoeilijken (34 procent), een merk kan beschadigen (29 procent), een effect kan hebben op klantloyaliteit (28 procent) en kan leiden tot non-compliancy boetes (dertien procent).  
Respondenten onthulden verder een valse zelfverzekerdheid als het gaat om het voldoen aan compliancy regels. 90 procent zegt dat zij er zeker van zijn dat zij alle nodige informatie over een datalek met regulators kunnen delen binnen 72 uur. Echter geeft slechts 21 procent aan dat zij de volledige controle hebben om de computing-apparatuur op het netwerk van hun organisatie direct inzichtelijk te krijgen. Dit vertrouwen lijkt misplaatst – een enkel gemist endpoint kan een schending betekenen van compliancy wetgeving. 
Wytze Rijkmans, Regional Vice President bij Tanium zegt hierover het volgende: "Terwijl het bemoedigend is om te zien dat organisaties investeren om aan de juiste zijde van data privacy wetgeving te blijven, laat ons onderzoek zien dat hun goede werk ondermijnd kan worden door onvoldoende aandacht te besteden aan basisprincipes van IT. 
Ongeacht wanneer het tot boetes komt, hebben bedrijven nog steeds de plicht persoonlijke data te beschermen. Veel organisaties lijken in de val te lopen door te denken dat het spenderen van een significante som geld aan AVG genoeg is om direct compliant te zijn. Echter, zonder volledig inzicht in en controle over hun IT-middelen, laten ze de deur op een kiertje staan voor cybercriminelen. Onze studie laat zien dat Nederlandse bedrijven in het afgelopen jaar gemiddeld 39 miljoen euro hebben geïnvesteerd aan het compliant maken van hun organisatie, en veel van hen toch nog steeds niet voldoen aan de juiste wetgeving.
Technology leaders moeten meer focussen op de basisprincipes van unified endpoint security en management om te zorgen voor een snelle reactie bij incidenten en verbeterde besluitvorming. De eerste stap moet het opzetten van real-time inzicht van deze endpoints zijn: dit is een cruciale voorwaarde om IT-hygiëne te verbeteren, voor effectief risicomanagement en om compliance te verbeteren. Nu veel teams vanuit huis werken, vaak met hun eigen apparaten, is dit belangrijker dan ooit." 

 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Grote kans op datalek ondanks invoering AVG
 AVG-compliance loopt gevaar door gebrekkige kennis werknemers
 Een op de drie werknemers niet op de hoogte van AVG-beleid
 AVG-boete in Nederland onder voorwaarden verzekerbaar
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Human Design op de werkvloer voor teameffectiviteit en bedrijfsgroei
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10