Veertig procent van het management bemoeit zich niet met het informatiebeveiligingsbeleid. Daardoor zijn beveiligingsinvesteringen onvoldoende afgestemd op het bedrijfsbeleid. Doordat risico-en impactanalyses vaak achterwege blijven, weten bedrijven bovendien niet welke maatregelen het meest kosten-efficïent zijn. Dat blijkt uit onderzoek van beveiligingsexpert Yuri Bobbert.
Yuri Bobbert, ict-beveiligingsonderzoeker van de Hogeschool Utrecht, voerde onderzoek uit onder veertig ict-beveiligingsmanagers van Nederlandse gemeentes, zorginstellingen, wooninstellingen en andere organisaties. Daaruit bleek bovendien dat de informatiebeveiliging van Nederlandse organisaties onder het door hen geambieerde niveau ligt.
Volgens Bobbert moet de oorzaak daarvan voornamelijk gezocht worden in een lage betrokkenheid van het management bij het informatiebeveiligingsbeleid: slechts bij 59 procent van de onderzochte organisaties bemoeien informatie-eigenaren zich met het beveiligingsbeleid. Juist die business kan volgens Bobbert echter bepalen welke beveiligingsmaatregelen noodzakelijk zijn.
Bobbert noemt als voorbeeld de beveiliging van een zorgdatabase: 'De eigenaar daarvan is vaak de directie of raad van bestuur. Idealiter zou die een risico- en impactanalyse moeten laten uitvoeren en op basis daarvan bijvoorbeeld zeggen: laten we tienduizend euro uittrekken voor het versterken van de authenticatiemechanismen, of voor het scheiden van de database van de kantoorautomatisering. Vaak gebeurt dat echter niet. Met het gevolg dat de securitymanager zelf aan de slag gaat. Hij kiest dan voor maatregelen die in zijn ogen belangrijk zijn en schaft bijvoorbeeld een antiviruspakket aan. Maar die investeringsselectie is dan niet gebaseerd op een gedegen risico- en impactanalyse en is niet afgestemd op het bedrijfsbeleid.'
Wetgeving
Bobbert, die tevens directeur is van informatiebeveiligingsbedrijf B-Able, onderzocht welke beveiligingsmaatregelen het effectiefst en eenvoudigst te implementeren zijn, welke maatregelen bedrijven nemen, en welke drempels er bestaan voor het nemen van beveiligingsmaatregelen. De onderzoeker vroeg veertig ict-managers van bedrijven met tussen de 100 en 2500 werknemers om het niveau van informatiebeveiliging binnen hun organisatie te beoordelen op een schaal van één tot en met vijf volgens het Cobit-framework.
Nederlandse organisaties moeten vanaf een bepaalde omvang rekening houden met verschillende beleidslijnen op het gebied van informatiebeveiliging. Zo schrijft de Wet bescherming persoonsgegevens voor dat zorgvuldig met persoonsgegevens moet worden omgesprongen. En uit de Wet op de Jaarrekening vloeien bijvoorbeeld eisen voort op het gebied van databeschikbaarheid en -betrouwbaarheid.
Waar bemoeien managers zich nu nog wel mee, behalve MT en aandeelhouders belangen en hun eigen stokpaardjes ?