Een goede cybersecuritystrategie kan dé oplossing zijn voor jouw organisatie. Uit onderzoek van Gartner blijkt dat de adoptiegraad van Zero Trust – een van de meest populaire cybersecuritystrategieën – op 1 januari 2023 slechts 1% was. Naar verwachting is dit percentage in 2026 naar 10% gestegen.
Deze aanzienlijke groei lijkt veelbelovend, maar is dit een realistische voorspelling?
Ondanks de grote steun voor Zero Trust vanuit de Amerikaanse overheid en NCSC’s wereldwijd, blijft de adoptiegraad laag. Dit roept de vraag op waarom zo’n krachtige en bewezen aanpak zo traag wordt geadopteerd. Wat staat een wijdverspreide implementatie in de weg?
In deze blog bespreken we de toepassing van deze strategische aanpak. We onderzoeken waarom een concept dat zo cruciaal is voor moderne bedrijfsbeveiliging niet zo snel wordt omarmd als verwacht.
Slachtoffer van HAAR eigen succes
Wanneer je als organisatie middenin een cyberaanval zit, lijkt een focus op cybersecurity vanzelfsprekend. Het is nu relevant, we lopen nu gevaar, we moeten onszelf beschermen – dus hebben we goede cybersecurity nodig. Hoe is dit wanneer er geen duidelijke dreiging is? Haal je dan opgelucht adem en ga je ervan uit dat je veilig bent?
Cybersecuritymaatregelen worden steeds beter, waardoor steeds meer dreigingen worden tegengegaan. Deze afwezigheid van zichtbare ‘vijanden’ kan beleidsmakers een vals gevoel van veiligheid geven. Een klassiek geval van “uit het oog, uit het hart”.
Dit is echter onverstandig en zelfs gevaarlijk, want cyber dreigingen nemen nog veel sneller toe en de tactieken van hackers veranderen constant. Als je op dit moment niet met dringende dreigingen te maken hebt, betekent dit alleen maar dat je huidige cybersecurity maatregelen goed werken voor de meldingen die je bekend zijn. De ironie van cybersecurity is dat bij een gebrek aan directe dreigingen het lijkt alsof er niets aan de hand is. Het lijkt dus ook alsof je maatregelen niets doen.
Dat lijkt in ieder geval een van de redenen waarom uit een recent EU-onderzoek blijkt dat veel organisaties geen prioriteit geven aan cybersecurity.
Geen ontkomen aan de realiteit
De harde waarheid is dat het slechts een kwestie van tijd is voordat ook jij een cyberaanval krijgt. Het feit dat jij en je organisatie nog geen doelwit zijn, wil niet zeggen dat dit in de toekomst niet zal gebeuren. Sterker nog, hoe langer je een lage prioriteit geeft aan je cybersecurity, hoe kwetsbaarder je wordt.
Cybercriminelen maken maar al te graag misbruik van zwakke plekken en een (mogelijk) misplaatst vertrouwen in je cybersecurity.
Hoe bereid je je dus voor op een onvermijdelijke cyberaanval? Hoe zorg je ervoor dat je niet in de val van onderschatting trapt? En hoe bewijs je aan de raad van bestuur dat een investering in cybersecurity de moeite waard is, ook wanneer het lijkt alsof er niets aan de hand is?
Proactief en reactief
Om goed antwoord te kunnen geven op bovenstaande vragen, is het belangrijk de tweeledige aard van cybersecurity te erkennen: het is zowel proactief als reactief. Hoewel een focus op preventie cruciaal is om voorbereid te zijn op potentiële dreigingen, is het net zo belangrijk aan te tonen dat je bestaande cybersecuritymaatregelen nu al effectief blijken.
Hoe bewijs je dit? Door potentiële kwetsbaarheden te identificeren en simulaties van cyberaanvallen op te zetten. Hiermee kwantificeer je de potentiële impact van een aanval en toon je de tastbare voordelen van cybersecuritymaatregelen aan.
Wat uiteindelijk van belang is, is het besef dat goede cybersecurity niet alleen kan worden afgemeten aan de afwezigheid van zichtbare dreigingen.
Is 10% een realistische voorspelling?
Hoewel Gartner’s voorspelling van een Zero Trust-adoptiegraad van 10% ambitieus lijkt, is het niet onhaalbaar. Om dit doel te bereiken, moeten organisaties hun prioriteiten op het gebied van cybersecurity verschuiven. Door mensen bewust te maken van het belang van proactieve security maatregelen, zelfs wanneer geen zichtbare dreigingen aanwezig zijn, kunnen we de bredere toepassing van de Zero Trust-strategie stimuleren en realiseren.
Managed cybersecurity services kunnen hierbij een belangrijke rol spelen door uitdagingen zoals personeelstekorten en een gebrek aan expertise aan te pakken. Deze services bieden de benodigde kennis en middelen om geavanceerde security frameworks te implementeren en onderhouden, waardoor de druk op interne teams wordt verlicht.
Door ons te richten op deze verschuiving in prioriteiten en gebruik te maken van managed services, wordt de doelstelling van 10% veel realistischer.
En zelfs als we dit doel niet halen – er is niets mis met het hoger leggen van de lat, toch?
Incident response services & csirt
Bij een ernstig cybersecurity incident, waarbij een snelle en effectieve reactie cruciaal is, kun je niet zonder een Cyber Security Incident Response Team (CSIRT).
Voor meer informatie over onze CSIRT services: