Bedrijven beseffen dat informatiebeveiliging belangrijk is voor de zakelijke doelstellingen, maar weigeren om er voldoende budget voor uit te trekken.
Dit concludeert Ernst & Young in zijn zesde jaarlijkse wereldwijde onderzoek naar informatiebeveiliging. Zo zegt 90 procent van de 1400 ondervraagde bedrijven dat de bescherming van informatiebronnen erg belangrijk is om de algemene bedrijfsdoelstellingen te kunnen realiseren. Maar slechts 34 procent van de respondenten beweert de geldende veiligheidsregels na te leven.
Volgens ruim meer dan de helft van de bedrijven vormt het ontoereikend budget het belangrijkste obstakel voor een efficiënt beveiligingsprogramma. "Er bestaat een duidelijke wanverhouding tussen de erkenning van het belang van beveiliging en de toekenning van de budgetten", concludeert het consultancybedrijf (http://www.ey.com/globalsecuritysurvey).
Ook worden de toegekende budgetten te eenzijdig gespendeerd. Meer dan 80 procent van de bedrijven spenderen het leeuwendeel van het beveiligingsbudget aan technologie. De voorlichting en opleiding van het personeel staat bij minder dan een derde van de respondenten op de eerste plaats. Overigens is de kennis van de werknemers over hoe ze met beveiligingstechnologie om moeten gaan minstens even belangrijk als de technologie zelf.
Dat voorlichting op de eerste plaats moet staan is een verkapt advies, wat getuigd van weinig kennis van zaken. Het overnemen van het waardeoordeel (té eenzijdig) stelt een heel groot vertrouwen in de kunde van de doorsnee computergebruiker. De besmettingsgraad bij wormen van thuiscomputers onderstreept dat het hier niet primair om gaat. Laat het MSBlast gebeuren nu nét falend patchmanagement aantonen…. Oftewel een falende beheerorganisatie. Security is er om de gebruiker te beschermen, niet om ze er op te wijzen dat ze, en eventueel hoe, ze het zélf moeten oplossen. Lijkt op het advies van de politie om goede sloten op je fiets te hangen, maar er vervolgens niet bij zeggen wat dan een goed slot is. Erger nog, de beheerorganisatie bepaald wat je op je PC mag hebben, dus je kunt deze geen eens op slot zetten. Lijkt mij een perfecte strategie om volgende jaren nóg minder budget te hebben.
Als er iets is dat Mblast ons leert is dat de techniek dus blijkbaar hopeloos faalt. Net als bij beheer, waar security een integraal onderdeel van moet zijn, is de effectiviteit afhankelijk van de juiste balans tussen techniek, organisatie en processen. Overigens komt een groot deel van de bedreigingen van binnenuit (zie b.v. de brand op de TU Twente). Bewustwording van de gevaren bij alle gebruikers van ICT middelen is dus wel degelijk zinvol. Net als bij fysieke beveiliging worden de meeste maatregelen pas genomen nadat het misgaat. Dat er weinig budget voor beveiliging wordt vrijgemaakt heeft er wellicht ook mee te maken dat het aantal incidenten in de praktijk wel meevalt.