Heeft de Britse cyberweerbaarheid een plateau bereikt? ISMS.online

Heeft de Britse cyberweerbaarheid een plateau bereikt?

Door Dan Raywood • 14 May 2024

Alle bedrijven moeten ernaar streven cyberweerbaarder te worden. Dit betekent dat ze beter in staat zijn zich te verdedigen tegen een aanval, deze te overleven en te herstellen wanneer zich een incident voordoet. Het meten van cyberveerkracht kan echter een uitdaging zijn. Dat is waar de overheid zit Longitudinaal onderzoek naar cyberbeveiliging van pas komt.

Uitgebracht eerder dit jaarUit het onderzoek blijkt dat organisaties hun cyberweerbaarheid nauwelijks hebben verbeterd in vergelijking met onderzoeken uit voorgaande jaren. Vooral het gebrek aan belangstelling voor Cyber Essentials en ISO 27001 is zorgwekkend.

De veerkracht blijft stabiel

De sleutel van dit onderzoek is dat het dezelfde 1000 bedrijven volgt voor elke jaarlijkse ‘golf’ die het uitvoert om de vooruitgang in de loop van de tijd te meten onder middelgrote en grote Britse bedrijven. Uit deze laatste golf (drie) blijkt dat de cyberveerkracht grotendeels stabiel is gebleven, ondanks een waarschijnlijke verandering in de begrotingen en prioriteiten in de nasleep van de pandemie.

Aan de beleidskant is er een lichte stijging te zien van het aantal bedrijven dat een bedrijfscontinuïteitsplan heeft opgesteld dat cyberbeveiliging omvat (76% versus 69% twee jaar geleden), een schriftelijke lijst met de kwetsbaarheden van hun bedrijf (61% versus 54%) %), een schriftelijk incidentresponsproces (59% versus 51%) en een cyberverzekeringspolis (79% versus 66%).

Ondanks deze marginale verbeteringen betoogt Brian Honan, CEO van BH Consulting, dat de statistieken niet kunnen worden opgevat als indicatoren voor de veerkracht van een bedrijf op het gebied van cyberbeveiliging.

“Veel van deze items worden nu vermeld als minimumvereisten voor bedrijven die onze cyberverzekering willen afsluiten”, vertelt hij aan ISMS.online.

Hij voegt eraan toe dat veel bedrijven cyberbeveiliging nog steeds niet als een cruciaal bedrijfsrisico zien, maar eerder als een IT-probleem.

“Hoe eerder bedrijven beter begrijpen hoeveel ze afhankelijk zijn van hun IT-systemen, het internet en de gegevens die ze hebben, hoe eerder ze zullen beseffen dat cyberbeveiliging moet worden behandeld en beheerd als een cruciaal bedrijfsrisico”, stelt hij.

Simon Newman, CEO van het Cyber Resilience Centre, vertelt ISMS.online dat hij nog steeds ziet dat veel bedrijven worstelen met zelfs de elementaire cyberhygiëne.

“Een van de belangrijkste redenen is een vermeend gebrek aan vaardigheden of kennis, maar we weten ook dat het een echte uitdaging is om hen überhaupt de dreiging te laten begrijpen”, betoogt hij.

Hij heeft met name gezien dat bedrijven denken dat het het beste is om een paar weken te wachten voordat ze hun software updaten, omdat ze ‘verhalen horen’ over nieuwe updates die problemen veroorzaken.

Honan voegt hieraan toe dat organisaties, om de cyberpositie te versterken, hun cyberbeveiligingsstrategie moeten baseren op een alomvattend cyberrisicoprogramma met een volwassen niveau van processen en procedures, en uitgebreide buy-in en leiderschap van het senior management.

Zijn bazen op de hoogte?

Uit het longitudinale onderzoek blijkt dat 55% van de bedrijven nu een lid in de raad van bestuur heeft dat onder meer toezicht houdt op cyberveiligheidsrisico's. Er is ook een toename van het aantal bedrijven dat meldt dat hun bestuur cyberbeveiliging bespreekt: 43% dit jaar, tegenover 37% in Wave One.

Honan zegt dat besturen en senior management moeten begrijpen dat een steeds groter wordend volume aan regelgeving rond cyber, databescherming, AI en het internet der dingen – zowel in het Verenigd Koninkrijk als in de EU – de verantwoordelijkheid voor cyberbeveiliging bij het senior management en de raad van bestuur vergroot. niveau.

Vertrouw het proces

Helaas lijkt de naleving van de normen en kaders voor beste praktijken te stagneren. Uit het onderzoek blijkt dat slechts 38% van de bedrijven nu het best practice-advies op het gebied van Cyber Essentials (Standard- of Plus-certificeringen) of ISO 27001 volgt. Newman van het Cyber Resilience Centre zegt dat deze opties nuttig kunnen zijn, maar dat er vaak de uitdaging is om wat hij een “ongeïnformeerde klant” noemt, waarbij gebruikers niet weten waar ze terecht kunnen voor technische expertise.

Newman voegt eraan toe dat het bewustzijn en de acceptatie van Cyber Essentials nog steeds te laag zijn, vooral onder kleinere bedrijven, die niet noodzakelijkerwijs de waarde inzien van het volgen ervan. Anderen doen het alleen om aan de contractvereisten te voldoen. Hij beweert dat een deel van het probleem gelegen is in het onvermogen van de overheid om de waarde van Cyber Essentials en best practice-advies van het Nationaal Cyber Security Centrum (NCSC) te promoten.

Newman stelt dat de kosten ook een probleem zijn, waarbij de totale kosten voor Cyber Essentials vaak oplopen tot £1000. Hoewel de meeste organisaties de controles hebben geïmplementeerd die nodig zijn om Cyber Essentials te bereiken, hebben veel organisaties volgens het onderzoek nog geen volledige accreditatie verkregen.

Met een beetje hulp

Uit het onderzoek van dit jaar bleek dat slechts 19% voldoet aan de ISO 27001-norm – weinig veranderd ten opzichte van Wave One (15%). Dat lijkt in strijd met de suggestie uit het onderzoek dat “de bevindingen uit de kwalitatieve interviews suggereren dat de ISO 27001-certificering door bedrijven wordt beschouwd als de meest robuuste en inhoudelijke accreditatie die er is.”

Honan van BH Consulting stelt dat veel organisaties ISO 27001 te belastend of te duur vinden om te verwezenlijken en te onderhouden.

“Dus hoewel veel bedrijven ISO 27001 gebruiken als raamwerk waarop ze hun cyberbeveiligingsprogramma kunnen bouwen, zullen ze niet allemaal de volgende stap zetten om certificering volgens de norm te verkrijgen”, zegt hij.

Het behalen van certificering en het handhaven van compliance kan tijd, geld en middelen vergen, hoewel externe compliance-specialisten het proces aanzienlijk kunnen stroomlijnen via digitale tools.

Door gecertificeerd te zijn volgens een norm als ISO 27001 kan een organisatie aan belangrijke belanghebbenden, zoals het bestuur, het senior management, klanten en toezichthouders, aantonen dat zij door de sector erkende best practices op het gebied van cyberbeveiliging volgen.

Kan AI deze bedrijven helpen hun compliance-traject te versnellen? Honan zegt dat de sleutel tot ISO 27001, en veel huidige cyberregelgeving, het hanteren van een risicogebaseerde benadering van beveiliging is.

“Om ISO 27001 toepasbaar te maken op jouw organisatie, moet het zich dus richten op de eisen van het bedrijf”, zegt hij. “Hoewel sjabloondocumenten en zelfs AI kunnen helpen bij de ontwikkeling van uw ISO 27001-project, zou ik ervoor zorgen dat de resultaten van deze tools niet te algemeen zijn voor uw bedrijf.”

Dan Raywood

Dan Raywood schrijft sinds 2008 over IT-beveiliging en is voormalig analist in de informatiebeveiligingspraktijk bij 451 Research. Hij heeft gesproken op shows als 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, en heeft ook geschreven voor een aantal blogs van leveranciers en presentaties gegeven op webcasts.

Lees meer van Dan Raywood

Cyber security 30 September 2025

Zal de Grok-inbreuk leiden tot grote veiligheidsproblemen?

Zal het Grok-inbreuk leiden tot zorgen over de beveiliging van GenAI?

Een recent incident heeft geleid tot zorgen over de manier waarop GenAI-tools met data omgaan. Is het tijd om ervoor te zorgen dat uw data niet in hun...

Dan Raywood

Cyber security 29 May 2025

Cybersecurity en privacy van io-nist krijgen facelift

Cybersecurity en privacy: het NIST-kader krijgt een facelift

NIST heeft onlangs plannen aangekondigd om zijn privacykader te vernieuwen en het meer een organisch en minder statisch aanbod te maken. Heeft dit voordelen voor de praktijk?

Dan Raywood

Cyber security 21 januari 2025

zero day kwetsbaarheden hoe kunt u zich voorbereiden op de onverwachte banner

Zero-Day-kwetsbaarheden: hoe kunt u zich voorbereiden op het onverwachte?

Waarschuwingen van internationale cybersecurity-instanties lieten zien hoe kwetsbaarheden vaak worden uitgebuit als zero-days. Gezien de onvoorspelbaarheid...

Dan Raywood