Nederlandse bedrijven nemen onvoldoende maatregelen om hun strategische bedrijfsinformatie te beveiligen. De verantwoordelijkheid voor het risicobeheer is te veel versnipperd en driekwart van de ondernemingen geeft zelfs aan dat maatregelen voor veilig informatiebeheer volledig uit de pas lopen met de risico’s. Dat blijkt uit onderzoek van adviesbureau KPMG. Dat bepleit dat bestuurders het voortouw moeten nemen om de situatie aan te pakken.
‘Hoewel het bestuur zich in het algemeen realiseert hoe waardevol informatie over productieprocessen, nieuwe technologieën, intellectuele eigendommen en ook mogelijke overnames is voor de continuïteit en het succes van de onderneming, blijven afdoende maatregelen om dit eigendom te beschermen in het algemeen vaak uit’, zegt John Hermans, partner bij KPMG IT Advisory.
Hermans: ‘Bestuursleden van Nederlandse ondernemingen en hun raden van commissarissen moeten dan ook veel meer verantwoordelijkheid nemen als het gaat om het beschermen van alle strategische informatie waarover zij beschikken.’
Uit het onderzoek ‘The importance of information assets’ van KPMG onder c-level functionarissen die zich met risicobeheer bezig houden, blijkt dat de maatregelen die Nederlandse bedrijven nemen om te voorkomen dat strategische informatie in verkeerde handen terecht komt in geen verhouding staan tot de risico’s die zij lopen.
Risico’s
Hermans: ‘Zo’n 75 procent van de onderzochte ondernemingen geeft aan dat de maatregelen die genomen worden om de informatie veilig te beheren volledig uit de pas lopen met de risico’s. En ondanks het feit dat de bedrijven zich bewust zijn van het feit dat de bescherming niet toereikend is, slagen zij er tot op de dag van vandaag niet in de risico’s beter te beheersen en de beveiliging op het vereiste niveau te krijgen. Toch geeft ruim 80 procent van de bedrijven aan dat de informatie waarover zij beschikken essentieel is voor het voortbestaan en het succes van de organisatie.’
Op basis van het onderzoek constateert Hermans dat het bij veel bedrijven schort aan ‘eigenaarschap’ van risicobeheer en aan een eenduidige wijze van rapporteren over de maatregelen die genomen zijn om het bezit van de bedrijven te waarborgen. Hermans: ‘De verantwoordelijkheid voor het risicobeheer is bij veel bedrijven versnipperd belegd en dat betekent dat zowel de cfo, cio, cro en ciso zich met de bescherming van deze waardevolle kennis bezighouden. De huidige versnippering van de verantwoordelijkheid voor het risicobeheer duidt erop dat niemand zich daadwerkelijk eigenaar voelt.’
Verantwoordelijkheid
Volgens KPMG overweegt een aantal bedrijven dan ook om de verantwoordelijkheid voor het risicobeheer hoger in de organisatie neer te leggen. Zo geeft één op de vier bedrijven aan de chief risk officer (cro) verantwoordelijk te zullen maken en kiest iets minder dan 25 procent voor de chief information officer (cio). En als het gaat om het rapporteren over de risico’s, blijkt dat ruim 30 procent van de onderzochte functionarissen rapporteert aan de raad van commissarissen en dat bijna 40 procent dat doet dat aan de audit-commissie. Bijna 60 procent voorziet de raad van bestuur van de noodzakelijke informatie.
‘Een duidelijk bewijs dat de bescherming van strategische informatie beter moet worden georganiseerd. Uit ons onderzoek blijkt bovendien dat de onderzochte bedrijven de effectiviteit van het risicobeheer nauwelijks actief meten en een beperkt beeld hebben van de kosten die zij maken’, aldus KPMG.
Inzichtelijke relatie
Voor een effectief beleid is het volgens Hermans echter essentieel dat de relatie tussen de maatregelen, de kosten en de risico’s die een onderneming loopt, inzichtelijk is. ‘Als dat niet het geval is, is het onmogelijk om vast te stellen of het geld goed besteed wordt en om tijdens de rit verbeteringen aan te brengen.’
Overigens blijkt volgens de onderzoekers dat kleine bedrijven hun waardevolle bezit in het algemeen beter beschermen dan grotere ondernemingen. Ruim 40 procent van de kleine bedrijven stelt dat het niveau van bescherming voldoende is.
Van de middelgrote bedrijven geeft bijna 20 procent aan dat de genomen maatregelen om hun bezittingen te beschermen volstaan. Van de grote bedrijven is dit slechts 6 procent. Een verklaring hiervoor is wellicht dat kleine bedrijven beter beschermd zijn omdat zij opereren in een minder complexe ict-omgeving. ‘Maar het kan ook zijn dat zij zich vanwege hun omvang onterecht veiliger voelen’, aldus de onderzoekers.
Beveiliging van bedrijfsdata begint bij de mens zelf. Niet zeggen, maar doen! Bewustwordingsprogramma’s voor medewerkers zou bij elke organisatie hoog op de agenda moeten staan en of die nu onder leiding van een CIO of CRO wordt uitgevoerd doet niet veel ter zake. Door de toenemende digitalisering is het er blijkbaar niet eenvoudiger op geworden en is het opbergen van bedrijfsgevoelige informatie in een ouderwetse kluis met een goed slot erop wellicht nog wel het beste advies. Tegelijkertijd zijn er voldoende mogelijkheden om vertrouwelijker om te gaan met bedrijfsinformatie:
Denk bijvoorbeeld aan:
-Rechstreeks scannen naar beveiligde document management-of archiveringssystemen (“Want we scannen naar e-mail en e-mail wordt gezien als een nogal lekkende toepassing als het om veiligheid gaat”)
-Maak gebruik van digitale workflows met uitgebreide autorisatiemogelijkheden.
-Maak gebruik van digitale handtekeningen om onnodige duplicaten en distributie van informatie te voorkomen.
-Zorg voor de juiste software om gevoelige informatie uit PDF’s te kunnen verwijderen of deze bestanden juist te beveiligen.
-Zorg voor systemen die de communicatie tussen uw medewerkers en uw klanten ook traceerbaar maken.
De technische middelen zijn er, maar maak medewerkers vooral bewust van de gevolgen, laat praktijkvoorbeelden zien en review het onderwerp ‘Security’ constant tijdens management overleg.
Het gaat bij security om mensen én processen én techniek.
Van alle security incidenten wordt 40% veroorzaakt door menselijk handelen. Vaak onbewust. Bedrijven dienen in te zien dat cybercriminelen zich momenteel steeds vaker richten op de medewerkers van bedrijven. De medewerkers dienen daarom bewust te zijn van de gevaren waaraan ze bloot staan, zowel op het werk als privé. Ik ben het roerend eens met de opmerking van Ronald Ostendorf dat security een review moet krijgen tijdens management overleg. Wat ons betreft mag het ook en laag eronder op de agenda komen. Zet security als onderwerp eens op de agenda van de afdelingsvergaderingen. Praat eens over security, phishing emails, spam mailtjes en vreemde telefoontjes van “Microsoft helpdesk” uit India. Al is het maar een paar minuten per vergadering. Laat eens een presentatie verzorgen over cybercriminaliteit voor het personeel. Ik kan uit ervaring spreken dat hierbij vele ogen worden geopend. Alleen op die manier krijg je security op de agenda van de organisatie en gaan de medewerkers anders denken over de bescherming van “hun” kroonjuwelen.