De belangrijkste drempel voor het nemen van de juiste beveiligingsmaatregelen is niet – zoals verwacht zou worden – een beperkt beveiligingsbudget. De perceptie dat beveiliging een complex onderwerp is, is dat wel. Als gevolg daarvan worden belangrijke beveiligingsmaatregelen achterwege gelaten. Dat stelt beveiligingsonderzoeker Yuri Bobbert van de Hogeschool Utrecht, op basis van onderzoek onder veertig ict-beveiligingsmanagers van Nederlandse gemeentes, zorginstellingen, wooninstellingen en andere organisaties.
Slechts 12 procent van de respondenten noemt 'budget' als belangrijkste drempel voor het nemen van adequate beveiligingsmaatregelen. De grootste drempel blijkt de perceptie te zijn dat beveiliging een complex onderwerp is. Deze reden wordt door 32 procent van de ondervraagden opgevoerd als meest essentiële hindernis. Ook de lage betrokkenheid van het management blijkt een probleem: 30 procent van de respondenten ziet dit als het grootste probleem.
Een kwart van de organisaties ziet een gebrek aan kennis en vaardigheden als grootste struikelblok. Ict-managers klagen volgens de onderzoeker dat de huidige normen en theorieën zoals ISO27001 en ISO27002 NEN (in de zorg), ITIL v3 en COBIT te veel gericht zijn op grote ondernemingen. Daarnaast zouden die theorieën te academisch en te weinig praktisch zijn.
Risico- en impactanalyse
Managers beschouwen informatiebeveiliging volgens de onderzoeker als een zeer complex onderwerp. Als gevolg daarvan worden belangrijke beveiligingsmaatregelen achterwege gelaten. Bobbert: 'De onderzochte organisaties zijn niet in staat om essentiële maatregelen te identificeren. Ze worstelen met het selecteren van beveiligingsmaatregelen, vanwege een gebrek aan vaardigheden en kennis.'
Slechts 46 procent van de onderzochte organisaties voert een risico- en impactanalyse uit. 'Informatie-eigenaren weten vaak niet wie die analyse moet uitvoeren. De reden daarvoor is dat ze denken dat beveiliging complex is en dat ze de kennis en vaardigheden ervoor missen.'
Wettelijk vereiste maatregelen niet altijd genomen
Nederlandse organisties moeten vanaf een bepaalde omvang rekening houden met verschillende beleidslijnen op het gebied van informatiebeveiliging. Zo schrijft de Wet bescherming persoonsgegevens voor dat zorgvuldig met persoonsgegevens moet worden omgesprongen. En uit de Wet op de Jaarrekening vloeien bijvoorbeeld eisen voort op het gebied van databeschikbaarheid en -betrouwbaarheid. Deze wettelijke vereiste beveiligingsmaatregelen worden echter niet altijd genomen, zo ontdekte Bobbert.
Zo voert 54 procent van de onderzochte bedrijven geen changemanagement uit op beveiligingsapparaten. Twintig procent van de onderzochte organisaties wist zelfs niet welke maatregelen exact getroffen moesten worden.
Bobbert, die tevens directeur is van informatiebeveiligingsbedrijf B-Able, onderzocht welke beveiligingsmaatregelen het effectiefst en eenvoudigst te implementeren zijn, welke maatregelen bedrijven nemen en welke drempels er bestaan voor het nemen van beveiligingsmaatregelen. De onderzoeker vroeg veertig ict-managers van bedrijven met tussen de 100 en 2500 werknemers om het niveau van informatiebeveiliging binnen hun organisatie te beoordelen op een schaal van één tot en met vijf.
Het blijft een mooi onderwerp. Tijdens mijn afstudeerfase van mijn opleiding aan de HvA hebben we gekeken welke van de theorieën het beste toepasbaar is voor het MKB. Hieruit kwam naar voren dat ISO27001 (voorheen Code voor Informatiebeveiliging) het beste toe te passen is en hier hebben we tevens gekeken of we een volwassenheidsniveau ala CMMI konden koppelen. Hier hebben we zelfs een tooltje voor gemaakt dat visueel prima weergeeft op welk niveau een bedrijf zit en welke stappen een bedrijf moet nemen om aan de Code voor Informatiebeveiliging te voldoen.
Het is voornamelijk dat een bedrijf meestal niet de tijd neemt om de kennis op te doen voor een basisplan voor informatiebeveiliging, dat uitgebouwd kan worden. Tevens is het meestal niet betaalbaar voor een MKB (voornamelijk klein) bedrijf om de specialisten te betalen die ze hierbij helpen.
Onderzoek toont aan dat de kosten van een breach beginnen bij 50k en oplopen tot in de miljoenen.
Afgelopen jaar waren er 350 high profile breaches zoals die bij een Google en een MOD en 70 procent van de organisaties merkt niet eens dat er een breach heeft plaatsgevonden.
Zelf werk ik veel met zorginstelling en beveiliging staat hier niet altijd hoog op de agenda. Dit in combinatie met dat de meeste organisaties niet eens doorhebben dat er een breach heeft plaatsgevonden maken dat het eerst heel erg fout moet gaan wil er daadwerkelijk iets gebeuren.
Er moet een framework/model worden gemaakt, dat informatiebeveiliging koppelt met business performance indicatoren. Business performance indicatoren zijn iets waar managers (zonder security kennis)hun budget kunnen koppelen. Als je geen idee hebt van wat informatiebeveiliging is, ga je ook je geld niet zomaar in stoppen.
Hoog tijd om het management eens op cursus informatiebeveiliging te sturen, dan krijgen ze nog eens ergens anders verstand van dan saneren en bezuiningen.
@redactie
Kunt u misschien ook het onderzoek van Dhr. Bobbert even plaatsen en linken ? Op de website van B-Able is het (nog?) niet te vinden.
Kun je dit de manager kwalijk nemen?
Ik denk het niet. Bij veel, vooral kleinere, bedrijven is ICT een ondersteunende functie, welke er vaak “bij gedaan wordt”.
De competentie van de manager ligt aan de commerciële enof vakinhoudelijke kant, niet aan de ICT kant, laat staan aan bij informatiebeveiliging.
Niet elk bedrijf heeft de luxe om over een ict-manager te beschikken, laat staan over een goede ict-manager.
Zoals de ondernemer voor de jaarrekeningen een accountant inhuurt, zal hij wellicht voor zijn verplichtingen m.b.t. informatiebeveiliging ook expertise moeten inhuren
Van wat ik heb gezien is sabsa een uitstekende framework voor informatiebeveiliging juist omdat de business drivers de basis vormen. Zelfs een manager kan het volgen en begrijpen.
Het boek kan besteld worden op de volgende site:
http://www.mbis.eu/