Monthly Archives

maart 2017

Rapport Intel Security signaleert mismatches in securityaanpak bij organisaties

Misplaatst vertrouwen management verschaft aanvallers voordelen

  • Aanvallers ontwikkelen zich snel binnen een dynamische, vrije ‘markt’, terwijl verdedigers afgeremd worden door bureaucratie en top-down beslissingsprocessen
  • 93 procent van de ondervraagde organisaties heeft een cybersecuritystrategie, maar slechts 49 procent heeft deze strategie volledig geïmplementeerd
  • Bijna 60 procent van de IT-executives denkt dat hun cybersecuritystrategie volledig is geïmplementeerd; onder de IT-professionals is dat slechts 30 procent
  • Senior executives meten het succes van cybersecuritystrategieën anders dan de mensen die deze strategieën in de praktijk moeten implementeren, waardoor de effectiviteit van security wordt beperkt

Intel Security presenteert, samen met het Center for Strategic and International Studies (CSIS) een nieuw rapport, getiteld ‘Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity’. Uit dit wereldwijde onderzoek blijkt dat verschillen tussen de motivatie van aanvallers en die van verdedigers duidelijke voordelen opleveren voor de aanvallers. Daarnaast is er een substantieel verschil tussen de logge structuren van grote organisaties en de vrijheid en flexibiliteit van criminele organisaties. Ook is er binnen organisaties vaak een verschil in perceptie over de daadwerkelijke implementatie van de securitystrategieën. Tot slot is er tussen executives en IT-professionals die security moeten implementeren een verschil in perceptie over additionele beloningen voor goede prestaties.

Het rapport, waarvoor wereldwijd 800 securityspecialisten uit vijf industriesectoren zijn ondervraagd, laat zien dat cybercriminelen nu in het voordeel zijn. Dit komt onder andere omdat zij makkelijk successen kunnen boeken in een dynamische ‘markt’ die zich snel ontwikkelt en waarin innovatie snel wordt beloond. De verdedigers daarentegen, hebben vaak te maken met de beperkingen van een bureaucratische hiërarchie, waardoor het moeilijk is om de cybercriminelen bij te houden.

Verder wijst het rapport op belangrijke mismatches binnen de verdedigende organisaties. Hoewel bijvoorbeeld ruim 9 van de 10 respondenten zegt dat hun organisatie een cybersecuritystrategie heeft opgesteld, geeft minder dan de helft aan dat deze strategie ook daadwerkelijk is geïmplementeerd. Niet minder dan 83 procent van de respondenten zegt dat hun organisatie wel eens te maken heeft gehad met een cybersecurityincident.

En terwijl er voor cybercriminelen duidelijke en directe beloningen zijn voor hun ‘werk’, blijkt uit het onderzoek dat er voor de securityprofessionals slechts weinig incentives zijn. Niet alleen dat: executives bleken veel meer vertrouwen te hebben in de effectiviteit van bestaande beloningssystemen dan hun IT-medewerkers. Zo gaf 42 procent van de mensen die cybersecurity implementeert aan dat er totaal geen incentives zijn om succesvol te zijn in hun werk, vergeleken met 18 procent van de beslissers en 8 procent van de leidinggevenden.

“Dankzij de manier waarop de markt voor cybercriminelen werkt, is het heel makkelijk om daarin succesvol te zijn. Ze worden direct beloond voor innovatie en het is heel normaal om effectieve tools en methodes uit te wisselen”, zegt Wim van Campen, VP Intel Security, Noord- en Oost Europa. “Als IT- en securityprofessionals in het bedrijfsleven en bij de overheid met succes de strijd willen aangaan met de aanvallers, moeten ze net zo wendbaar zijn en net zo snel kunnen reageren. En organisaties moeten die securityspecialisten meer erkenning geven voor het werk dat ze doen.”

Verdere conclusies uit het rapport:

  • Werknemers zien drie keer zo vaak als executives dat gebrek aan budget of mankracht zorgt voor problemen bij het implementeren van cybersecuritystrategie.
  • Hoewel cybersecurityprofessionals die hun organisatie met succes helpen beschermen daarvoor graag meer waardering zouden willen zien, is 65 procent toch nog steeds gemotiveerd.
  • Maar liefst 95 procent van de ondervraagde organisaties heeft te maken gehad met de gevolgen van een securityincident, waaronder uitval van operationele systemen, verlies van intellectueel eigendom, en merk- en reputatieschade. Toch meldt slechts 32 procent omzet- of winstschade. De perceptie dat een securityincident niet direct tot omzet- of winstverlies hoeft te leiden, kan bij organisaties zorgen voor een misplaatst gevoel van veiligheid.
  • Bij overheidsorganisaties blijkt een cybersecuritystrategie het minst vaak volledig te zijn geïmplementeerd (38%). Respondenten uit deze sector melden ook vaker een tekort aan budget (58%) of gekwalificeerd personeel (63%) dan organisaties uit het bedrijfsleven (respectievelijk 33% en 42%).

De auteurs van het rapport zien ook een lichtpuntje. De meeste organisaties erkennen inmiddels de ernst van het cybersecurityprobleem en zien ook de noodzaak om deze problemen te adresseren. Organisaties hebben echter meer nodig dan alleen tools om aanvallen af te slaan. Er moet gezocht worden naar zinvolle manieren om het succes van een securitystrategie en -maatregelen te meten. Ook zouden organisatiestructuren en bedrijfsprocessen beter ingericht moeten worden voor innovatie.

Het rapport komt ook met enkele aanbevelingen:

  • Security-as-a-service – als tegenwicht voor de open en snel innoverende cybercrime-as-a-service markt, kunnen het outsourcen van security en het uitschrijven van open aanbestedingen zorgen voor lagere kosten en meer concurrentie tussen aanbieders. Zij moeten immers sneller innoveren om hun concurrenten voor te blijven. En heeft een aanbieder van security-as-a-service een succesvolle aanpak ontwikkeld, kunnen alle klanten van deze aanbieder daarvan profiteren, zodat meer organisaties beschermd worden.
  • Sneller reageren op nieuwe lekken – wanneer organisaties sneller reageren op nieuwe kwetsbaarheden, door kwetsbare systemen sneller te patchen of te vervangen, wordt de beveiliging versterkt en wordt het de aanvallers moeilijker en kostbaarder gemaakt, omdat zij minder lang kunnen profiteren van hun innovaties.
  • Samenwerken en informatie uitwisselen – door informatie over dreigingen en aanvallen sneller uit te wisselen met andere organisaties, gaan de kosten voor de verdedigers omlaag omdat zij gebruik kunnen maken van de ervaringen en methoden van anderen. Net zoals de cybercriminelen dat ook doen.
  • Maak gebruik van talent uit andere landen – het toelaten van mensen uit andere landen, die zich anders wellicht aangetrokken kunnen voelen tot cybercrime, houdt potentieel talent weg uit de criminele markt. Tegelijkertijd kan hiermee het tekort aan securityprofessionals worden teruggedrongen.
  • Verbeter de beloningsstructuur – zorg ervoor dat medewerkers en managers die bijdragen aan de beveiliging van de organisatie daarvoor ook een waardering ontvangen.

Onderzoeksmethode

Het onderzoek waar dit rapport op is gebaseerd, is in opdracht van Intel Security uitgevoerd door het onafhankelijke marktonderzoeksbureau Vanson Bourne. Er zijn ruim 800 respondenten ondervraagd van organisaties met 500 tot 5.000 medewerkers uit vijf industriesectoren, waaronder de financiële sector, de gezondheidszorg en de publieke sector. Daarbij zijn zowel executives ondervraagd die verantwoordelijk zijn voor cybersecurity, als technische securityexperts. De respondenten waren afkomstig uit Australië, Brazilië, Duitsland, Frankrijk, Japan, Mexico, Singapore, het Verenigd Koninkrijk en de Verenigde Staten.

Over Intel Security

Intel Security zet zich met zijn McAfee-lijn van producten in om de digitale wereld veiliger en zekerder te maken voor iedereen. Kijk voor meer informatie op www.intelsecurity.com. Intel Security is een divisie van Intel.

Newsjacking – race tegen de klok

Bij MCS PR beginnen we de dag met wat voor velen misschien een ouderwets gebruik is: het openslaan van de krant. Omdat we allemaal met onze tijd mee gaan, kan dat natuurlijk ook het surfen naar Blendle of het openen van een krantenapp zijn, maar de essentie blijft gelijk: we beginnen de dag met nieuws. Nieuws van gisteravond, van vannacht, van vanmorgen of gewoon heet van de pers. Vervolgens houden we onszelf up-to-date met Twitter, nieuwsapps en pushberichten van media. Zonde van onze tijd? Wij vinden van niet…

Iedere PR-medewerker zou een nieuwsjunkie moeten zijn. ‘Newsjacking’, het ‘kapen’ van nieuws, zorgt er niet alleen voor dat we de kans krijgen onze klanten bij media te introduceren die anders misschien niet eens aan hen gedacht hadden, maar biedt ons ook de mogelijkheid nieuwe invalshoeken te belichten die van onze klanten een autoriteit op een bepaald gebied maken.

Neem bijvoorbeeld IoT-security. Meer en meer apparaten in en om ons huis worden op het internet aangesloten; van koelkast tot stofzuiger of brandmelder. Ook onze auto’s veranderen meer en meer van vervoersmiddel in rijdende computer. Dat levert veel voordelen en gebruiksgemak op (bijvoorbeeld nooit meer verdwalen óf in de file dankzij slimmere navigatie) maar roept tegelijkertijd vragen op over de veiligheid ervan. Want zijn onze auto’s, als het rijdende computers zijn, ook te hacken?

Ja, zo bleek. Wired publiceerde een artikel over het kopiëren van autosleutels die auto’s contactloos ontgrendelen. Met een slimme truc en een beetje geduld konden hackers het signaal van de sleutel opvangen en reproduceren zodat de auto zonder sleutel geopend én weggereden kon worden. Dat is een nieuwswaardig verhaal: het raakt ons dichtbij huis (kan dat met mijn auto ook?) én we hadden er met z’n allen nog niet eerder écht aan gedacht dat iets dat ons leven zoveel makkelijker maakt, ook zulke grote nadelen kan hebben.

Aangezien MCS PR met bedrijven werkt die ontzettend veel weten van cybersecurity, konden we met dit onderwerp direct aan de slag. Want wij wisten wel iemand die de vragen over dit onderwerp gedegen en bevlogen kon beantwoorden. Wij brachten de partijen met elkaar in contact en de klant haalde de voorpagina van een goed gelezen dagblad, daarbij vragen van duizenden Nederlanders beantwoordend en zorgen wegnemend.

Het sleutelwoord bij newsjacking is timing. Ben je de eerste die achtergrond biedt? Daarnaast is het van groot belang de waarde van een nieuwsverhaal in te schatten: kunnen we met dit verhaal viral gaan? Is dit een onderwerp waar iedereen meer over wil weten en waar we de experts die we dankzij onze klanten in huis hebben op los kunnen laten? Op die manier ‘stelen’ we een goed gelezen onderwerp en geven we er een eigen draai aan. Dus zonde van onze tijd? Wij vinden van niet. Want hoe eerder wij een nieuwswaardige insteek hebben gevonden, hoe sneller we het aan de journalist voor kunnen leggen, nog voor hij zijn eerste slok koffie van die dag genomen heeft. Zodat vervolgens niet de headline van die ochtend, maar onze eigen insteek het gesprek van de dag is.

‘Zwerfinformatie’ en onveilig gedrag grootste gevaren voor security

Onderzoek Veenman: medewerkers nauwelijks bewust van de waarde van informatie

Rotterdam, 8 maart 2017 – Elke organisatie, zowel kleinere als grotere, staat voor de uitdaging om de informatieveiligheid te waarborgen. Investeren in security-technologie ligt dan voor de hand. Maar als medewerkers ‘onbewust onbekwaam’ met de risico’s omgaan, helpt zelfs de meest geavanceerde technologie niet. Uit onderzoek van Veenman, specialist op het gebied van documentmanagement, informatievraagstukken en visual solutions, blijkt dat organisaties zich dat nog onvoldoende realiseren: zij denken nog steeds dat de grootste bedreigingen voor de informatieveiligheid van buiten komen.

De belangrijkste conclusie van het onderzoek is echter dat de grootste bedreigingen van binnenuit komen: onveilig gedrag van medewerkers en het ontstaan van ‘zwerfinformatie’. ‘Zwerfinformatie’ ontstaat als informatie fysiek of digitaal gaat rondslingeren als gevolg van de ondoordachte manier waarop mensen in hun werk met informatie omgaan.

Wilco van Bezooijen, algemeen directeur van Veenman: “Uit ons onderzoek blijkt dat ondanks alle aandacht die de afgelopen jaren aan security is besteed mensen zich nog steeds nauwelijks bewust zijn van de waarde van informatie en van de onveilige manier waarop zij daarmee omgaan. De uitdaging is om dit onbewust onbekwame gedrag om te zetten in onbewust bekwaam gedrag: veilig omgaan met informatie, zonder er over te hoeven nadenken.”

Het rapport ‘Zwerfinformatie – Zonder omwegen goed en veilig werken met informatie’ is in opdracht van Veenman uitgevoerd in het najaar van 2016. In het onderzoek is gekeken naar: bewustzijn van mensen (kennen zij de waarde van informatie en van mogelijke gevaren?), het gedrag van mensen (vertonen zij het juiste gedrag als het om veiligheid gaat?) in combinatie met de techniek (beveiligingssoftware en –hardware).

Waarde van informatie

Veilig omgaan met informatie wordt allereerst in de weg gestaan doordat medewerkers hun onveilige gedrag als privé informatieconsument meenemen naar hun werk. Verder signaleert het onderzoek dat bestanden net water zijn: ze volgen de weg van de minste weerstand. Mensen willen gemakkelijk hun werk kunnen doen en zonder drempels of beperkingen informatie uitwisselen. Ze zijn zich echter niet bewust van de informatiewaarde en het informatiespoor dat ze achterlaten en hoe anderen hier misbruik van kunnen maken.

Bij ruim de helft van de respondenten zijn medewerkers zich er niet van bewust dat ze met concurrentiegevoelige informatie werken. Zij staan er niet bij stil (36%) of beseffen niet dat de informatie waarmee ze werken of waartoe ze toegang hebben voor anderen van waarde kan zijn (17%).

 

Wilco van Bezooijen: “Zwerfinformatie is een symptoom van de manier waarop mensen met informatie omgaan. Ga na of de applicaties die medewerkers gebruiken hun specifieke informatiebehoeften goed ondersteunen. Zo niet zullen zij ‘workarounds’ bedenken om de officiële, goed beveiligde werkwijzen te omzeilen. Achterhaal welke ‘workarounds’ dat kunnen zijn, waarom medewerkers daar gebruik van maken en welke risico’s dit met zich meebrengt. Op basis daarvan zijn dan de juiste aanpassingen door te voeren. We zien zwerfinformatie ook aan de outputkant, het ‘einddocument’, zoals de print, de factuur of aantekeningen op flipovers. Dit is vrij eenvoudig op te lossen door bijvoorbeeld een printmanagementbeleid in te stellen.”

Groot vliegwiel

Een positieve uitkomst is dat driekwart van de organisaties het veiligheidsbeleid heeft aangescherpt. Bij 21% ging het zelfs om een aanzienlijke aanscherping. Dat het groeitempo van het veiligheidsbewustzijn niet synchroon loopt met de technologische ontwikkelingen vormt daarbij een behoorlijke uitdaging. Er is nog onduidelijkheid over wie het informatieveiligheidsbeleid moet initiëren en wie waarvoor verantwoordelijk is als er iets mis gaat.

Gevraagd naar wie ervoor moet zorgen dat medewerkers onbewust bekwaam worden in het werken met informatie is het antwoord: directie en management (26%), een interne veiligheidsspecialist (26%) en een afdeling/speciale commissie

informatieveiligheid (16%). Slechts 14% vindt het een gedeelde verantwoordelijkheid.

Informatieveiligheid is als het ware een groot vliegwiel dat langzaam op gang komt. Alarmerend is dat veel organisaties nog op weg zijn naar bewustzijnsverandering. Bij 17% van de organisaties hebben medewerkers onvoldoende kennis over de voorschriften met betrekking tot informatieveiligheid en 52% van de organisaties durft hierover geen uitspraak te doen. Bijna een kwart is nog niet actief bezig met kennisoverdracht en bewustwording rond informatieveiligheid.

Het rapport ‘Zwerfinformatie – Zonder omwegen goed en veilig werken met informatie’ is een benchmark over informatieveiligheid waaraan bijna 170 ICT-managers, information security officers en directieleden van organisaties uit uiteenlopende sectoren hebben deelgenomen. Ruim de helft van de responderende bedrijven heeft 1 tot 10 vestigingen; 40% heeft 11 tot 20 vestigingen. De overige 10% heeft tussen de 20 en 300 vestigingen of meer. Het volledige rapport is te downloaden via www.zwerfinformatie.nl.

Over Veenman

Veenman is een onafhankelijke partner die organisaties helpt grip te krijgen op hun informatievoorziening. Met een breed scala aan oplossingen – van printing en document management software tot videoconferencing en interne zoekmachines – zorgt Veenman ervoor dat werknemers informatie in de hand krijgen voor het nemen van beslissingen. Naast het hoofdkantoor in Rotterdam, heeft Veenman vestigingen in Amsterdam, Best en Zwolle. De onderneming maakt deel uit van Xerox Corporation. Voor meer informatie: www.veenman.nl of de Veenman nieuwspagina.

Wilco van Bezooijen nieuwe directeur Veenman

Veenman, dochterbedrijf van Xerox, heeft Wilco van Bezooijen (46) benoemd tot Algemeen Directeur. Van Bezooijen is afkomstig van Xerox en heeft diepgaande ervaring in de printing- en publishingmarkt. Hij volgt Dirk Olivier op die Veenman onlangs heeft verlaten.

Wilco van Bezooijen: “Veenman is een grote speler in de kantoormarkt met advisering en implementatie van systemen en software voor document management, visual solutions en managed print services. Ik ben blij met de uitdaging om mijn kennis en ervaring voor Veenman in te zetten.”

Na zijn opleiding heeft Wilco diverse management en directiefuncties bekleed in de printing- en publishingmarkt in Nederland en internationaal.

Wilco is zijn loopbaan begin jaren negentig gestart bij Xerox en was sinds 2013 Country General Manager voor de Nederlandse divisie van de European Channels Group (ECG) en vervulde deze rol sinds 2015 ook in Denemarken. In deze positie bouwde hij de indirecte verkoopstrategie uit in de verschillende marktsegmenten en hield hij zich bezig met het aantrekken van nieuwe partners.

Over Veenman
Veenman is een onafhankelijke partner die organisaties helpt grip te krijgen op hun informatievoorziening. Met een breed scala aan oplossingen – van printing en document management software tot videoconferencing en interne zoekmachines – zorgt Veenman ervoor dat werknemers informatie in de hand krijgen voor het nemen van beslissingen. Naast het hoofdkantoor in Rotterdam, heeft Veenman vestigingen in Amsterdam, Best en Zwolle. De onderneming maakt deel uit van Xerox Corporation. Voor meer informatie: www.veenman.nl of de Veenman nieuwspagina.

Contact voor de pers
Veenman
Hanneke Mulder
Marketing Manager
T: 010 28 46 320

E: hanneke.mulder@veenman.nl
MCS PR
Carroll Florentinus
T: 023 56 28 208
E: veenman@mcspr.nl