Het is essentieel dat organisaties hun aanpak van informatiebeveiliging fundamenteel wijzigen om de risico's van bestaande en opkomende technologie te kunnen pareren. Dit blijkt uit het onderzoek Global Information Security Survey 2012 van Ernst & Young. Het onderzoek is gebaseerd op interviews met ruim 1850 cio's en topfunctionarissen op het gebied van informatiebeveiliging in 64 landen.
Organisaties voeren nu stapsgewijs aanpassingen in hun informatiebeveiliging door, waardoor op korte termijn verbeteringen worden aangebracht. Hierbij worden niet de problemen aangepakt ten aanzien van het overkoepelende risico van informatiebeveiliging. 40 procent van de Nederlandse respondenten geeft aan meer beveiligingsincidenten te zien ten opzichte van vorig jaar. De noodzaak tot een structurele aanpak is nog nooit zo groot geweest. 55 procent van de Nederlandse organisaties heeft echter niet zo'n aanpak en slechts 14 procent geeft aan dat de functie voor informatiebeveiliging volledig voldoet aan hun verwachtingen. Dit in een wereld waarbij 91 procent aangeeft dat externe bedreigingen toenemen, en 52 procent vermeldt dat de interne dreiging toeneemt, is dat verontrustend.
Niet snel genoeg
'In de nieuwe wereld voor de cio is snel niet snel genoeg', zegt Monique Otten, partner bij Ernst & Young IT Risk and Assurance. 'De snelheid en complexiteit van veranderingen is enorm. Daarbij dienen opkomende markten, aanhoudende economische volatiliteit, offshoring en toenemende regelgeving in een reeds complexe omgeving voor informatiebeveiliging te worden opgeteld.'
Nieuwe technologieën bieden organisaties enorme kansen, maar organisaties worden ook met bedreigingen geconfronteerd van onbekende bronnen. Cloud computing blijft één van de drijvende krachten voor vernieuwing van het businessmodel, waarbij het aantal organisaties dat hiervan gebruik maakt in twee jaar tijd is verdubbeld. Een andere belangrijke nieuwe technologie is mobiel internet, waarbij de voordelen voor zakelijke gebruikers ervoor hebben gezorgd dat de adoptie in een versneld tempo is geraakt. 43 procent van de Nederlandse ondernemingen maakt gebruik van zakelijke of privétablets. Vorig jaar was dit nog maar 20 procent.
Mobile computing
'Door het toenemende gebruik van tablets raken organisaties de controle kwijt over waar de informatie zich bevindt', zegt Martin Wijnmaalen, partner bij Ernst & Young Financial Services IT Risk and Assurance. 'Organisaties erkennen dat zij meer moeten doen aan mobiele technologie. Echter in de snel veranderende mobile computing-wereld staat het gebruik van beveiligingstechnieken nog in de kinderschoenen.' De transformatie naar effectieve informatiebeveiliging vraagt niet zo zeer om complexe technologische oplossingen, maar gaat volgens hem veel meer om leiderschap en betrokkenheid, capaciteit en bereidheid tot handelen.
In die infrastructuurvoorzieningen, waar (informatie)beveiliging en-beleidsuitvoering niet al in de ontwerpfase meegenomen wordt op een onderhoudbare en beheerbare wijze zal het beveiligingsniveau zeker haperen.
Beveiliging is niet een op zich zelf staand iets, maar inmiddels noodzakelijkerwijs integraal onderdeel van het informatiebeleid en van een ICT architectuur.
Dit is indirect de basis waarom bovenstaand de conclusies zo zijn, zo als ze zijn en ook niet gaan veranderen als de basis ervan niet aangepakt wordt…
Zoals Maarten bevestigd, loopt de beveiliging altijd achter de feiten aan. Beheerders hebben de apparatuur al aangesloten en ingericht en dan komt de security officier het concept afkeuren. Te laat en niet me in te halen.
Zorg dus dat je een architectuur implementeer waar beveiliging een vast onderdeel van is en zie toe dat er de architectuur wordt gehandhaafd inclusief beveiliging.
De inhoud van het bovenstaande artikel is volgens mij al vanaf 1995 ongewijzigd, beveiliging holt acht de feiten aan en dat is vanaf de doorbraak van Internet. Niets nieuws onder de zon en Ernst en Young blijft maar zwaaien met het vingertje.