Meer dan de helft van de Nederlandse organisaties geeft aan dat zij het afgelopen jaar het slachtoffer was van een beveiligingsincident, een verdubbeling ten opzichte van 2006. Een groot deel van de resterende organisaties heeft geen weet van eventuele beveiligingsincidenten.
Meer dan 40% van de respondenten vindt dat er momenteel weinig budget is vrijgemaakt voor informatiebeveiliging. Dit komt ondermeer tot uiting in dalende investeringen in beveiligingsbewustzijn.
Deze conclusies zijn afkomstig uit het onderzoek ‘Informatiebeveiliging 2007′ dat door Capgemini is uitgevoerd. Het jaarlijks terugkerende onderzoek laat voor het eerst weer een stijgende lijn zien in het aantal organisaties dat is getroffen door een beveiligingsincident. In 2006 was 25% van de respondenten nog het slachtoffer van beveiligingsincidenten; het afgelopen jaar is dit percentage gestegen naar 56%. Zorgwekkend is dat 24% van de respondenten niet weet te vertellen of zij moeten voldoen (compliance) aan bepaalde wet- en regelgeving. Er bestaat dus gerede twijfel of organisaties een goed beeld hebben van de incidenten en de gevolgen hiervan onderkennen.
In 2006 was nog bijna 60% van de respondenten ervan overtuigd dat binnen zijn of haar organisatie voldoende budget voor het voorkomen van incidenten beschikbaar was. In 2007 is dit percentage gedaald naar nog geen 40%. Iets meer dan 40% vindt dat te weinig budget wordt besteed aan het voorkomen van incidenten. Hoewel we meer last hebben van incidenten is er dus minder aandacht (in termen van budget) voor het voorkomen ervan.
"Het gaat om de beveiliging van de gegevens zelf", zegt Jule Hintzbergen, werkzaam als adviseur op het gebied van informatiebeveiliging bij Capgemini. "Beveiliging richt zich bij de meeste organisaties nog op de buitenkant van de organisatie en haar informatievoorziening. Een effectieve organisatie moet echter ‘open’ zijn om te communiceren met klanten, partners, burgers etc. Tegelijkertijd moet dezelfde organisatie ‘gesloten’ zijn om indringers buiten te houden. Deze spagaat vraagt om een aanpak die zich richt op de beveiliging van de gegevens zelf in plaats van te vertrouwen op de ‘dikke kasteelmuren’. Er zijn voorbeelden genoeg waarbij de nadruk op het beveiligen van de gegevens moet liggen, zoals diefstal van laptops met belangrijke gegevens, opslag van data op onbeveiligde USB-sticks en het ongecontroleerd doorzenden van informatie per e-mail."
Mede-onderzoeker Roger Wannee vult aan: "Wat ook opvalt, is dat in meer dan de helft van de organisaties onvoldoende aandacht wordt besteed aan beveiligingsbewustzijn van de medewerkers, terwijl dit een van de meest effectieve middelen is om de beveiliging op een hoger niveau te brengen. Het ‘verlies’ van gegevens kan bijvoorbeeld in belangrijke mate worden ondervangen door gebruikers goed voor te lichten. Er is natuurlijk altijd een combinatie nodig van maatregelen. Technisch afdwingen heeft alleen maar zin als de medewerkers dit accepteren en niet bewust of onbewust de maatregelen omzeilen".
Nog meer dan in 2006 (toen 63%, nu 82%) vinden de respondenten dat de overheid een zorgplicht heeft, bijvoorbeeld om vitale infrastructuren zoals internet te beveiligen. Organisaties hebben een continuïteitsplan nodig om zich te beschermen tegen calamiteiten zoals de uitval van vitale infrastructuren (internet, stroomvoorziening, watervoorziening etc.). Circa een derde van de ondervraagde organisaties blijkt echter geen continuïteitsplan te hebben en daar waar wel een plan voor handen is, wordt dit niet periodiek op werking getoetst. Er is dus sprake van een aanzienlijk afbreukrisico, terwijl ook het voortbestaan van organisaties in het geding kan komen.
Het beveiligingsonderzoek van Capgemini werd gehouden onder Nederlandse bedrijven en overheidsinstellingen met meer dan 150 werknemers. Van de benaderde bedrijven zijn 154 reacties ontvangen. Een vergelijkbaar onderzoek is uitgevoerd in 2003, 2005 en 2006. Het volledige rapport staat online.