Onbedoelde beveiligingsincidenten door insiders komen vaker voor en kunnen meer schade veroorzaken dan opzettelijke aanvallen van uit de organisatie zelf. Desondanks geeft topmanagement veelal de prioriteit aan bescherming tegen laatstgenoemde opzettelijke aanvallen, zo blijkt uit het door RSA gesponsorde onderzoek van IDC. Investeringen om de vaker voorkomende en in potentie schadelijkere onbedoelde beveiligingsincidenten te voorkomen blijven hierbij achter.
Voor het onderzoeksrapport ‘Insider Risk Management: A framework approach to internal security’ heeft IDC 400 IT-beslissers op C-level ondervraagd omtrent beveiligingsrisico’s afkomstig van uit de organisatie. 52 procent van de respondenten geeft aan dat deze ‘insider threats’ voornamelijk onbedoeld zijn, 19 procent gelooft dat de beveiligingsincidenten veelal opzettelijk van aard zijn.
Gemiddeld kampen de deelnemende organisaties met 1 beveiligingsincident per maand. Van de verschillende type beveiligingsincidenten komt onbedoeld dataverlies door toedoen van werknemers met gemiddeld 14 incidenten per jaar het meest voor. Malware/spyware van uit de organisatie zelf en te ruime privileges volgen met gemiddeld 13 incidenten per jaar. De technologiesector telt de meeste beveiligingsincidenten met gemiddeld bijna 18 voorvallen per organisatie per jaar.
"Beveiliging is een taak van de hele organisatie, niet slechts van de IT afdeling," aldus Corné van Rooij, Manager Benelux en Zwitserland bij RSA, de beveiligingsdivisie van EMC. "Interne beveiligingsrisico’s wegen steeds zwaarder, om deze effectief te beperken zullen C-level managers hun visie en prioriteiten wat betreft incidentele en opzettelijke beveiligingsbedreigingen moeten bijstellen. Hier is een holistische strategie voor nodig die draait om het beschermen van bedrijfskritische informatie tegen misbruik, lekken en verlies door insiders ongeacht of dit opzettelijk gebeurt."
Andere opvallende resultaten uit het onderzoek:
– De grootste ‘insider threat’ vormen contractors en tijdelijke werknemers.
– Binnen de IT-outsourcingsector bedroeg de gemiddelde jaarlijkse financiële schade ruim €560.000.
– Van de respondenten was 93 procent verantwoordelijk voor het IT-beveiligingsbeleid van de organisatie, toch gaf 82 procent aan niet zeker te zijn van de aard en bron van de interne beveiligingsrisico’s. Evenmin konden ze de financiële schade die deze incidenten veroorzaakten benoemen.
– Bijna 40 procent van de respondenten heeft de intentie om in de komende 12 maanden meer te gaan investeren in initiatieven die het interne beveiligingsrisico beteugelen, 6 procent geeft aan hier minder in te gaan investeren.
Grappig dat slechts 40 % intentie heeft terwijl 82 % miet echt weet welke risico’s niet echt kent.
De meeste bedrijven dempen de put pas als er een kalf is verdronken.
Ja die tijdelijke dure mensen zijn schuldig! Ook die zien we vaak terug komen.
Mensen investeer in je eigen mensen en in fatsoenlijke beveiliging en vol niet altijd de trends om ongure externe dure medewerkers tijdelijk aan te nemen 🙂