18 procent van de middelgrote en grote Nederlandse ondernemingen heeft geen beveiligingsstrategie. Dat is beduidend meer dan het Europees gemiddelde van 10 procent. Dit blijkt uit analyse van marktonderzoeksbureau Vision Critical onder driehonderd ict-beslissers uit Nederland, België, Frankrijk, Duitsland, Engeland, Italië en Spanje. De personen werden ondervraagd over hun huidige en toekomstige beveiligingsstrategie.
Uit het onderzoek blijk dat binnen Europa 10 procent van ondervraagde bedrijven geen beveiligingsstrategie bezat en dat 7 procent de strategie voor de ict-beveiliging al meer dan drie jaar niet meer had bekeken. Slechts 60 procent van de bedrijven heeft in de afgelopen twaalf maanden de beveiligingsstrategie volledig geëvalueerd. Ter vergelijking: van de Nederlandse ondervraagden gaf 18 procent aan helemaal geen beveiligingsstrategie te bezitten, dit is het hoogste percentage van heel Europa. 5 procent heeft meer dan drie jaar de beveiligingsstrategie niet bekeken en 58 procent van de respondenten gaf aan dat de beveiligingsstrategie in het afgelopen jaar volledig onder de loep is genomen.
Grotere kostenefficiëntie
Van een toekomstige beveiligingsstrategie verwachten de Europese gebruikers verbeteringen voor systemen die meer bedrijfsaspecten beveiligen dan alleen maar de onderdelen die te maken hebben met het bedrijfsnetwerk, zoals mobiele endpoints en processen. Daarnaast verwacht men een grotere kostenefficiëntie.
De belangrijkste redenen om strategische wijzigingen in de beveiliging aan te brengen, zijn veelzijdig. Enerzijds is er de wil de om de bedreigingen en aanvallen de baas te blijven (25 procent van de respondenten haalde dit als de belangrijkste reden aan), anderzijds wordt de noodzaak genoemd om aan de normen te voldoen (16 procent). Europese ict-verantwoordelijken voelden zich echter ook onder druk gezet door ict-trends als cloud computing (19 procent), mobiliteit (16 procent) en virtualisatie (13 procent).
Mobiele toestellen
Van de Europese de respondenten gaf 88 procent aan dat ze heel specifiek de mobiele beveiliging in hun strategie voor de ict-beveiliging hebben opgenomen. 66 procent van de bedrijven echter laat alleen het gebruik van mobiele toestellen van het bedrijf toe, waarop het beveiligingsbeleid direct verplicht kan worden.
Van de ondervraagde de bedrijven legt 21 procent de verantwoordelijkheid voor de beveiliging van persoonlijke mobiele toestellen bij de gebruiker/eigenaar van het toestel. Nederlanders nemen dit punt veel serieuzer; slechts 8 procent legt de verantwoordelijkheid van het beveiligen van mobiele toestellen bij de eigenaar zelf.
Draadloze netwerken
Bij de vraag welke onderdelen van de ict-infrastructuur vanuit een beveiligingsstandpunt kwetsbaar waren, werden de draadloze netwerken door 57 procent van de respondenten het vaakst genoemd (tegenover 42 procent van de Nederlandse respondenten). De draadloze netwerken werden niet alleen het vaakst vermeld, ze werden ook het vaakst als de zwakste schakel beschouwd, terwijl de netwerkinfrastructuur op de tweede en databases op de derde plaats staan.
Beveiligingssystemen die meer rekening houden met applicaties en meer regelmogelijkheden bieden, werken de opkomst van de next generation firewalls in de hand ten nadele van de traditionele firewall-oplossingen. Nu al gebruikt 50 procent van de Europese respondenten een firewall met regelmogelijkheden voor de applicatie (of is van plan om dat te doen). Gespecialiseerde webapplicaties en xml-firewalls worden ook in grote aantallen ingevoerd: 43 procent van alle respondenten past die technologie al toe om webapplicaties te beveiligen of is van plan om dat te doen.
Consolidatie
69 procent van de respondenten heeft tot nu toe beveiligingselementen geconsolideerd. De reden hiervoor zijn de lagere kosten, het eenvoudigere beheer en de betere beveiliging die met deze aanpak mogelijk zijn. 79 procent van hen zegt dat ze in de loop van de volgende twaalf maanden nog meer beveiligingselementen zullen consolideren.
Van de ondervraagde organisaties had 24 procent plannen om in de loop van het jaarmet een eerste consolidatieproject voor de netwerkbeveiliging te beginnen. Slechts 7 procent van de respondenten zegt geen onmiddellijke plannen te hebben voor consolidatieprojecten op het vlak van de netwerkbeveiliging. In Nederland zegt 24 procent van de respondenten dat ze de consolidatie van de netwerkbeveiliging zo ver als gewenst ingevoerd hebben (Europees gemiddelde is 14 procent).
Er zijn drie pijlers die de basis vormen voor een adeguate informatiebeveiliging:
1) Identity & Access management
2) Application Security (applicaties moeten in staat zijn zichzelf te beveiligen, dus geen extra appliances e.d. inzetten
3) Information Rights Management voor het beveiligen van ongestructureerde data