Organisaties slagen er niet in zich goed te beschermen tegen de toegenomen bedreigingen op het gebied van informatiebeveiliging. Topmanagement is zich bewust van bedreigingen op het gebied van informatiebeveiliging, maar handelt daar niet naar. Zo blijkt uit recent wereldwijd onderzoek van Ernst & Young EDP Audit.
Uit de 'Global Information Security Survey 2004' wordt duidelijk dat directieleden en topmanagers zich in toenemende mate bewust zijn van de bedreigingen die door eigen personeel worden veroorzaakt, maar hier niet naar handelen. Meer dan 70 procent van de 1233 organisaties die aan het onderzoek hebben deelgenomen – waaronder topbedrijven in meer dan 51 landen – blijft in gebreke doordat het beveiligingsbewustzijn van medewerkers niet als topprioriteit wordt behandeld. Dat geldt ook voor de Nederlandse respondenten.
Door veranderingen in bedrijfsmodellen als gevolg van uitbesteding en andere externe samenwerkingsverbanden, wordt het steeds moeilijker om controle te houden over de beveiliging van de informatie en informatiesystemen. Daarnaast is het voor het senior management lastiger geworden om inzicht te krijgen in de risico's waaraan de organisatie zich blootstelt.
Uit het onderzoek blijkt verder dat organisaties zich voornamelijk blijven richten op bedreigingen van buitenaf (zoals virussen) en dat er consistent weinig aandacht is voor interne bedreigingen. Men geeft relatief gemakkelijk geld uit aan technische middelen zoals een firewall en antivirus software, maar is terughoudend wat betreft investeringen in het eigen personeel. Zo geeft 76 procent van de Nederlandse respondenten aan dat het personeel geen periodieke training of voorlichting krijgt op het gebied van informatiebeveiliging. Wereldwijd ligt dat op 53 procent.
“Bedrijven zouden meer aandacht moeten hebben voor het creëren van een beveiligingsbewuste cultuur. Het topmanagement moet daarbij zelf het juiste voorbeeld geven, dit is essentieel om de manier waarop de organisatie met informatiebeveiliging omgaat te kunnen veranderen”, aldus Edwin Bennet, Global Director van Ernst & Young's Technology and Security Risk Services.
“Informatiebeveiliging zou beschouwd moeten worden als iets waarmee je concurrentievoordeel kunt behalen en het vertrouwen van je aandeelhouders kunt behouden, in plaats van als een noodzakelijke kostenpost. Om dit te kunnen bereiken is het noodzakelijk dat de houding van de directie en het topmanagement verandert. Op dit moment geeft slechts 20 procent van de respondenten aan dat informatiebeveiliging een prioriteit is op ceo-niveau. In Nederland zelfs maar 17 procent. Daarnaast kan en moet meer gebeuren om de kennis en het bewustzijn van medewerkers op het gebied van informatiebeveiliging te verhogen. Zo kan deze doorgaans zwakke schakel worden omgevormd tot een van de sterkste lagen van de verdediging.”
