21 procent van de Nederlandse bedrijven voert een ‘ad hoc’ informatiebeveiligingsbeleid: informatiebeveiliging wordt enkel ‘reactief uitgevoerd’, echt beleid bestaat niet. Dat stelt beveiligingsonderzoeker Yuri Bobbert van de Hogeschool Utrecht, op basis van onderzoek onder veertig ict-beveiligingsmanagers van Nederlandse gemeentes, zorginstellingen, wooninstellingen en andere organisaties.
Maar liefst 21 procent geeft de eigen organisatie een 1 op de Cobit-schaal, waarmee wordt aangegeven dat het beveiligingsbeleid ‘ad hoc’ wordt uitgevoerd. Ook blijkt dat de geïnterviewde budgetverantwoordelijken de volwassenheid van hun bedrijf op het gebied van beveiliging gemiddeld met een 2 beoordelen, terwijl ze gemiddeld een 4 ambiëren.
Slecht 3 procent heeft geoptimaliseerd beheer
De meeste organisaties (39 procent) geven aan hun beveilgingsbeheer het cijfer 2, wat staat voor ‘herhaalbaar maar intuïtief’.
21procent heeft de eigen beheeromgeving ‘gedefinieerd’ (een 3 op de Cobit-schaal): het management stimuleert het nemen van beveiligingsmaatregelen, er bestaat beveiligingsbeleid en dat is gebaseerd op een risico- en impactanalyse. 16 procent geeft zichzelf een 4. Dat betekent dat beveiliging wordt uitgevoerd in samenspraak tussen ict’ers en informatie-eigenaren en dat verantwoordelijkheden binnen de ict-beheeromgeving zijn gedefinieerd en toegewezen.
Van de onderzochte organisaties geeft slechts 3 procent zichzelf een 5 op de Cobit-schaal. Binnen dit framework staat een 5 voor ‘geoptimaliseerd’.
Wetgeving
Bobbert, die tevens directeur is van informatiebeveiligingsbedrijf B-Able, onderzocht welke beveiligingsmaatregelen het effectiefst en eenvoudigst te implementeren zijn, welke maatregelen bedrijven nemen, en welke drempels er bestaan voor het nemen van beveiligingsmaatregelen. De onderzoeker vroeg veertig ict-managers van bedrijven met tussen de 100 en 2500 werknemers om het niveau van informatiebeveiliging binnen hun organisatie te beoordelen op een schaal van één tot en met vijf volgens het Cobit-framework.
Nederlandse organisaties moeten vanaf een bepaalde omvang rekening houden met verschillende beleidslijnen op het gebied van informatiebeveiliging. Zo schrijft de Wet bescherming persoonsgegevens voor dat zorgvuldig met persoonsgegevens moet worden omgesprongen. En uit de Wet op de Jaarrekening vloeien bijvoorbeeld eisen voort op het gebied van databeschikbaarheid en -betrouwbaarheid.
