21 procent van de Nederlandse bedrijven voert een 'ad hoc' informatiebeveiligingsbeleid: informatiebeveiliging wordt enkel 'reactief uitgevoerd', echt beleid bestaat niet. Dat stelt beveiligingsonderzoeker Yuri Bobbert van de Hogeschool Utrecht, op basis van onderzoek onder veertig ict-beveiligingsmanagers van Nederlandse gemeentes, zorginstellingen, wooninstellingen en andere organisaties.
Maar liefst 21 procent geeft de eigen organisatie een 1 op de Cobit-schaal, waarmee wordt aangegeven dat het beveiligingsbeleid 'ad hoc' wordt uitgevoerd. Ook blijkt dat de geïnterviewde budgetverantwoordelijken de volwassenheid van hun bedrijf op het gebied van beveiliging gemiddeld met een 2 beoordelen, terwijl ze gemiddeld een 4 ambiëren.
Slecht 3 procent heeft geoptimaliseerd beheer
De meeste organisaties (39 procent) geven aan hun beveilgingsbeheer het cijfer 2, wat staat voor 'herhaalbaar maar intuïtief'.
21procent heeft de eigen beheeromgeving 'gedefinieerd' (een 3 op de Cobit-schaal): het management stimuleert het nemen van beveiligingsmaatregelen, er bestaat beveiligingsbeleid en dat is gebaseerd op een risico- en impactanalyse. 16 procent geeft zichzelf een 4. Dat betekent dat beveiliging wordt uitgevoerd in samenspraak tussen ict'ers en informatie-eigenaren en dat verantwoordelijkheden binnen de ict-beheeromgeving zijn gedefinieerd en toegewezen.
Van de onderzochte organisaties geeft slechts 3 procent zichzelf een 5 op de Cobit-schaal. Binnen dit framework staat een 5 voor 'geoptimaliseerd'.
Wetgeving
Bobbert, die tevens directeur is van informatiebeveiligingsbedrijf B-Able, onderzocht welke beveiligingsmaatregelen het effectiefst en eenvoudigst te implementeren zijn, welke maatregelen bedrijven nemen, en welke drempels er bestaan voor het nemen van beveiligingsmaatregelen. De onderzoeker vroeg veertig ict-managers van bedrijven met tussen de 100 en 2500 werknemers om het niveau van informatiebeveiliging binnen hun organisatie te beoordelen op een schaal van één tot en met vijf volgens het Cobit-framework.
Nederlandse organisaties moeten vanaf een bepaalde omvang rekening houden met verschillende beleidslijnen op het gebied van informatiebeveiliging. Zo schrijft de Wet bescherming persoonsgegevens voor dat zorgvuldig met persoonsgegevens moet worden omgesprongen. En uit de Wet op de Jaarrekening vloeien bijvoorbeeld eisen voort op het gebied van databeschikbaarheid en -betrouwbaarheid.
Maw meer dan de helft van deze bedrijven kan naar alle waarschijnlijkheid niet volledig voldoen aan de beveiliging van persoonsgegevens. Dat er dan sporadisch naar voren komt dat deze gevens ook daadwerkelijk misbruikt wordt door derden is dus het topje van de ijsberg?
Dit onderzoek legt weer eens de vinger op de gevoelige plek. Helaas is ‘compliant zijn’ voor veel organisaties slechts een invuloefening om op een bepaald moment te voldoen aan de geldende regelgeving (bijvoorbeeld bij de audit van een derde partij). Dit is volgens mij niet de juiste aanpak, aangezien de IT-infrastructuur snel en continu verandert. Dat moet ook, want veranderingen zijn essentieel voor de ontwikkeling en groei van een organisatie. Hierdoor kent ieder audit-proces problemen. Verantwoordelijken binnen de organisatie weten dat als controleurs handmatig komen controleren, er zaken aan het licht komen waaruit blijkt dat niet is voldaan aan regelgeving. Of zaken die duur extra onderzoek vereisen. Dit resulteert in hogere auditkosten en een toenemend risico dat bedrijven niet voldoen aan regelgeving – met alle bijbehorende boetes en negatieve publiciteit van dien.
Nu de ‘compliancy-last’ jaarlijks toeneemt, kunnen organisaties niet langer vertrouwen op het reactieve handmatige audit-proces. Dit is namelijk niet effectief of efficiënt. Om de kosten en risico’s terug te dringen, is automatisering vereist. Alleen met een continu compliancy-proces met real-time monitoring is het mogelijk om optimaal inzicht te krijgen in veranderingen waardoor een infrastructuur niet voldoet aan regelgeving. Met een dergelijk proces bereikt een bedrijf pas daadwerkelijk compliancy, op meerdere vlakken én voor de lange termijn.
Rob Warmack, Tripwire