Om te weten aan welke risico's een bedrijf bloot staat, zou elke organisatie een risicoanalyse moeten maken. Het rapport 'Dilemma's in Informatiebeveiliging' van KPMG Information Risk Management toont dat dit nog te vaak wordt nagelaten.
“Hoe kan een organisatie in hemelsnaam een beleid ontwikkelen als je geen risicoanalyse maakt”, vraagt ir. Arjen van Zanten, partner bij KPMG Risk Management, zich af bij het bekendmaken van de uitkomsten van het onderzoek naar dilemma’s in informatiebeveiliging. “Het probleem daarbij is dat het in veel gevallen onduidelijk is onder wiens verantwoordelijkheid dit valt. Daar heb ik best wel enige zorg over.” Volgens Van Zanten betekent die onduidelijkheid dat ook uitbestedingsprojecten vaak gedoemd zijn te mislukken.
Hij is wel positief over het groeiende gebruik van 2-factor authenticatie. “Iets minder dan de helft zegt met tokens te werken en ook PKI (Public Key Infrastructure – red.) is met 20 procent aardig vertegenwoordigd. Wat we helaas nog wel zien is dat het invoeren van een nieuwe werknemer nog veel te veel tijd kost en dat autorisaties niet structureel worden gecontroleerd.” Natuurlijk wordt er ook gewezen op de gevaren van rondslingerende usb-sticks, maar volgens director Peter Kornelisse gaat dat op voor veel verschillende apparaten die vanuit het privé-domein de organisatie binnenkomen. “Usb-sticks en pda’s zijn inmiddels bekende risicofactoren. Maar denk bijvoorbeeld eens aan handsfree Bluetooth-apparaten voor in de auto. Zelf gebruik ik een Parrot; op een hackersconfentie zag ik hoe gemakkelijk het was om deze af te luisteren. Dan ga je toch wel even nadenken wat je in de auto wel en niet wil zeggen.”
Ook Edo Roos Lindgreen, partner bij KPMG Information Risk Management, weet dat er wel eens iets mis kan gaan. "In 1996 heeft een niet nader te noemen collega een laptop op het dak van zijn auto laten liggen. De vinder heeft toen een poging tot afpersing gedaan. Naar aanleiding van het incident heeft KPMG nog hetzelfde jaar alle laptops voorzien van encryptie. Ik ben destijds betrokken geweest bij de selectie van het encryptiepakket. Op 8 mei 2006 is mijn tas met laptop gestolen in Hotel Arena in Amsterdam, waar in juni 13 barkeepers zijn ontslagen in verband met diefstal. Gelukkig zijn de vertrouwelijke gegevens op de laptop beschermd dankzij de encryptiesoftware, en zijn er ook geen gegevens verloren gegaan dankzij de automatische backups bij KPMG. No harm done."