CyberArk introduceert het Holistic Identity Security Maturity Model, een meetmethode om het niveau van identity security binnen organisaties te bepalen. Het model helpt leidinggevenden in security om beleid uit te stippelen door huidige strategieën te evalueren, risico’s te bepalen en concrete stappen te definiëren om de cyber-weerbaarheid te vergroten.
Uit de eerste toepassing ervan door CyberArk en onderzoeksbureau ESG (Enterprise Strategy Group) bij 1500 bedrijven wereldwijd blijkt dat slechts 9 procent van de ondervraagde organisaties een agile, overkoepelende, en volwassen aanpak hebben van identity security in hybride en multi-cloud omgevingen. Daartegenover staat een overgrote meerderheid (wereldwijd gemiddeld 92 procent) die endpoint security en identiteitsbeheer als essentieel bestempeld binnen een zero trust strategie. Opvallend is dat met name Nederlandse bedrijven hier minder van overtuigd zijn: zo’n 70 procent zegt in deze aanpak te geloven.
Op basis van het wereldwijde onderzoek identificeert het datagestuurde model 9 procent van de organisaties als bedrijven met een volwassen en holistische identity security- aanpak. Deze bedrijven kenmerken zich door een heldere focus op het implementeren van identity security tools, zijn zeer wendbaar en vertonen een "fail fast, learn faster" karakteristiek, zelfs in tijden van een succesvolle cybersecurity-aanval.
Hiertegenover staat een groep van 42 procent van de respondenten waarvan de identity security-programma's in de kinderschoenen staat. Er ontbreken fundamentele tools en integraties om risico’s snel te beperken. Dit komt vooral door de groei van het aantal aanvalsmogelijkheden, de groter wordende IT-complexiteit en diverse organisatorische belemmeringen.
Het onderzoek wijst op een opvallend verschil in perceptie tussen top-management en overig personeel. Meer dan tweederde van de C-level leidinggevenden (69 procent wereldwijd) is van mening dat de juiste beslissingen worden nemen ten aanzien van identity security. Bij het overige personeel (technische besluitvormers en IT-medewerkers) is dat slechts 52 procent. Het verschil benadrukt de perceptie dat security in het algemeen kan worden bereikt door de juiste technologische investeringen te doen. Maar dat is slechts een deel van het verhaal. Het strategisch maximaliseren van die investeringen, inclusief implementatie en integratie met bestaande omgevingen, het doorbreken van silo's en een betere opleiding zijn even belangrijk.
Gemiddeld gelooft wereldwijd 92 procent van de organisaties dat endpoint security of vertrouwde apparatuur en identiteitsbeheer essentieel zijn voor een robuuste zero trust strategie. Hierbij denkt 65 procent dat het correleren van data cruciaal is om endpoints effectief te beschermen. Opvallend is dat Nederlandse respondenten minder overtuigd zijn hiervan: 70 procent ziet endpoint security en identiteitsbeheer als cruciaal, en 38 procent beschouwt het correleren van data als cruciaal. Nederland is daarmee hekkensluiter van de lijst landen/regio’s waarin het onderzoek is uitgevoerd, te weten Noord-Amerika (VS, Canada), Latijns-Amerika (Mexico, Brazilië), EMEA (Israël, Duitsland, VK, Spanje, Italië, Nederland) en APJ (Australië, Hongkong, India, Japan, Singapore, Taiwan).
Daarnaast valt op dat 58 procent twee verschillende teams heeft voor het beveiligen van identiteiten in de cloud en on-premise, en hierbij terugvallen op verschillende puntoplossingen. Hierdoor wordt het lastig om de security-status in real-time te bepalen.
Op basis van de eerste inzichten biedt het Holistic Identity Security Maturity Model een raamwerk om organisaties te helpen hun volwassenheid in identity security te bepalen aan de hand van vier elementen. Als eerste de aanschaf van tools voor beheer, privilege controls, governance, authenticatie en autorisatie voor alle identiteiten en identiteitstypen. Ten tweede de aanwezige integraties met andere IT- en beveiligingsoplossingen binnen de organisatie om de toegang tot alle bedrijfsmiddelen en -omgevingen te beveiligen. Ten derde de mate van automatisering om de continue naleving van beleid, industrienormen en regelgeving te helpen waarborgen, samen met een snelle reactie op grootschalige, routinematige en afwijkende events. Als vierde of er continue detectie van bedreigingen en responsmogelijkheden is op basis van een goed begrip van identiteitsgedrag en het beleid van de organisatie.
“Een grote meerderheid van de organisaties is slachtoffer geworden van een identiteitsgebaseerde aanval, en dit aantal loopt op”, aldus Amita Potnis, director, thought leadership marketing, CyberArk. "Bedrijven moeten een allesomvattende identity security-strategie omarmen, waarbij geen onderscheid is tussen menselijke en machine-identiteiten, en silo’s worden doorbroken door een geconsolideerde en geautomatiseerde aanpak.”
Het volledige rapport is hier beschikbaar.
