Trends en ontwikkelingen op het gebied van security | Audittrail
Trends en Ontwikkelingen op het gebied van Security

Trends en Ontwikkelingen op het gebied van Security

Er wordt mij regelmatig gevraagd wat ik zie gebeuren op het gebied van security. Nu mocht ik daar onlangs voor een groep mensen over vertellen, en dat leent zich ook meteen voor een mooi artikel.

De trends die ik zie, onderscheiden zich tussen dreigingen, oplossingen en ontwikkelingen. Let’s go!

1. Een stijgend aantal cyberaanvallen

Als je het nieuws volgt, zal deze trend geen verrassing zijn. Het aantal cyberaanvallen stijgt al jaren en we zien geen limiet aankomen. De stijging wordt bevestigd door het NCSC, die in het jaarrapportage over 2021 schrijft dat ‘Cyberaanvallen het zenuwstelsel van de maatschappij aantasten’. Als oorzaak wordt genoemd dat de digitale en fysieke wereld sterk verweven zijn geraakt en minder goed van elkaar te onderscheiden. Zo zijn er geen processen meer zonder digitale component. 

Ook de Autoriteit Persoonsgegevens (AP) meldt dat het aantal datalekken, als gevolg van cyberaanvallen, bijna is verdubbeld. Vooral IT-bedrijven zijn doelwit, volgens de AP. In 2021 waren er 25.000 datalekmeldingen, waarvan 9% werd veroorzaakt door cyberaanvallen. Het jaar daarvoor was dat nog 5%!

Dat er geen proces meer zonder digitale component is, brengt voor alle organisaties ook een toenemende afhankelijkheid van leveranciers. Deze leveranciers (IT bedrijven) zijn volgens de AP juist ook vaak doelwit. Dus de eisen die aan deze leveranciers worden gesteld worden steeds hoger. 

Breng daarbij een grote consolidatieslag in het IT landschap, waarbij IT bedrijven samengaan om nieuwe markten aan te boren of andere proposities mogelijk te maken. In deze consolidatieslag is het de vraag of security wel op 1 staat, of dat de aandacht is afgeleid. Leveranciersmanagement staat dan ook hoog op de agenda bij veel organisaties.

Nu we het toch over leveranciers hebben: in de Covid-periode zijn veel organisaties overgegaan op Microsoft 365, Google Cloud of AWS. De implementaties zijn vaak met snelheid gedaan. Nu komt de vraag of dit ook secure en (privacy-)compliant is gedaan. Het loont om toch de check hierop uit te voeren.

Zero trust - never trust, always verify. Is een mooie visie en oplossing. Waar het principe van zero trust een aantal jaar geleden nog als een brug te ver werd gezien (‘Dat past toch niet in onze organisatie’), zien we dat er steeds meer onderdelen van Zero trust worden geadapteerd. Mijn mening: we ontkomen niet aan zero trust.

Om – uiteindelijk – te komen tot zero trust moeten er wel wat zaken op orde komen. Ik noem basale zaken als een applicatielandschap, en wat verder: Role Based Acces Control(RBAC) en geautomatiseerd Identity & Access Management.

Organisaties hebben echt teveel gegevens. Nog altijd. Dat zien we ook weer bij de laatste hacks, waar er BSN’s, rekeningnummers én kopieën van identiteitsbewijzen opduiken. Om maar te zwijgen van alle apps en tools die niet ter zake doen en vergaande gegevens verzamelen. Gelukkig begint het bewustzijn dat er teveel gegevens worden verzameld en bewaard te stijgen, en zien wij de ‘opruim-trajecten’ en op een grondige wijze DPIA’s uitvoeren hand over hand toenemen. 

Voorbereid zijn op hacks en ransomware. Dat is bij uitstek wel de trend van 2022 tot nu toe. Weten wat je moet doen, de plannen (business continuity plan) klaar hebben liggen áls je gehackt wordt en weten wat je moet doen. En: oefenen. Simuleer op vrijdag maar een hack of ransomware aanval!

Een van de dingen die opvallen tijdens het opstellen van een Business continuity plan is de vraag hoe te weten dat er een hack aan de gang is. Daarom stijgt ook de interesse in goede monitoring en SOC/SIEM functionaliteit. 

Een hack betekent, zoals ook eerder vermeld, veelal een datalek. Maar hoe staat het met het melden hiervan? Ook op het gebied van dataminimalisatie en bewaartermijnen zien we dat de bezetting van het privacy office vaak beperkt is om alles compliant ingericht te hebben. De privacy-officer-as-a-service aanvragen zien we dan ook snel stijgen.

Positief is de trend dat we een toenemend bewustzijn signaleren op het gebied van security en privacy bij ook andere afdelingen dan alleen IT en de CISO. Daarnaast zien we een sterk toenemende interesse van management, toezichthouders en Raden van Commissarissen. Dat is een hele goede ontwikkeling, aanzien zij de budgetten vaststellen, maar ook eindverantwoordelijk zijn.

Over het algemeen kunnen we zeggen dat bij organisaties de volwassenheid op het gebied van security en privacy stijgt. Tegelijk: serieus doen aan security kost meer uren en tijd dan voorheen begroot of gedacht. En stijgt de beschikbare tijd wel genoeg mee met de dreigingen?

Dit zijn in een notendop de belangrijkste trends en ontwikkelingen die ik heb zien gebeuren op het gebied van security. Wil je meer weten over één van deze trends en/of ontwikkelingen? Neem dan gerust contact met me op. 



Over de schrijver
Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.
Reactie plaatsen