Ernst & Young
Ernst & Young EDP Audit presenteert Global Information Security Survey
2002
18 april 2002 - Management van informatiebeveiliging moet beter:
Hackers lopen in en uit zonder te worden opgemerkt
De financiële informatie en reputatie van steeds meer bedrijven lopen gevaar, omdat zij hun informatiesystemen onvoldoende hebben beveiligd. De risicos nemen alleen maar toe, omdat organisaties steeds meer elektronisch zaken doen met de buitenwereld. Ernst & Young EDP Audit concludeert dit op basis van het door haar uitgevoerde internationale onderzoek Global Information Security Survey 2002.
Enkele opmerkelijke resultaten:
* Slechts 40% van de organisaties denkt dat zij een aanval op de
informatiesystemen tijdig signaleren.
* 40% van de organisaties doet geen onderzoek naar incidenten rond
informatiebeveiliging.
* Storingen in bedrijfskritische systemen nemen toe - ruim 75% van
de organisaties werd verrast door uitval van de
informatiesystemen.
* Slechts 53% van de organisaties heeft een (soort)
continuïteitsplan.
Hieruit blijkt dat de beveiliging van bedrijfskritische systemen en
gegevens van sommige respondenten alarmerende gaten vertoont. Hoewel
informatiebeveiliging voor veel bedrijven overal ter wereld een
belangrijk punt van aandacht is, blijkt de strategie en inrichting van
deze beveiliging in veel gevallen onvoldoende. Volgens Ernst & Young
EDP Audit hoort de beveiliging van vitale bedrijfsinformatie op de
agenda van de Raad van Bestuur te staan. Ook stellen deze
internationale security experts dat veel ondernemingen
informatiebeveiliging als een IT-probleem zien. Daardoor wordt vaak
alleen naar de techniek gekeken en is er te weinig aandacht voor het
verbeteren van het beveiligingsbewustzijn van medewerkers,
opleiding/training op het gebied van informatiebeveiliging, het
opstellen van contracten en procedures voor het elektronisch
communiceren en handelen met zakenpartners of andere externe partijen.
Tenslotte ontbreken in veel gevallen adequate test-, monitoring- en
assurance-procedures.
Informatiebeveiliging moet in handen van de business komen
Enerzijds is het bemoedigend dat 74% van de organisaties zegt een
strategie voor informatiebeveiliging te hebben en dat 70% zegt van
plan te zijn hun bedrijfscontinuïteit en herstelplannen in geval van
IT-rampen te verbeteren en uit te breiden. Maar anderzijds is het
zorgwekkend dat slechts 29% continuïteitsplanning als een kostenpost
van een bedrijfseenheid beschouwt. 45% van de ondervraagden geeft aan
dat deze kosten ten laste van het IT-budget komen. Hieruit blijkt dat
veel organisaties continuïteit van de informatieverzorging nog altijd
als een verantwoordelijkheid van hun IT-afdeling beschouwen; hetzelfde
geldt voor informatiebeveiliging in het algemeen.
Informatiebeveiliging is te vaak een technische aangelegenheid die uitsluitend aan de IT-afdeling wordt overgelaten. Dit leidt slechts tot technische oplossingen die binnen het bedrijf niet worden begrepen en die door bedrijfsprocessen worden ondersteund. Het gevolg daarvan is dat de technische oplossingen niet of slecht worden toegepast.
Eigen personeel grootste gevaar
Hoewel 66% van de ondervraagden bekendheid van het personeel met
maatregelen voor informatiebeveiliging en -procedures als een obstakel
noemt voor het realiseren van een doelmatige beveiliging, beschikt
toch maar de helft over motivatie- en trainingsprogrammas om iedereen
bewust te maken van de filosofie en het beleid achter al die
technische beveiligingsoplossingen. Bovendien geven de ondervraagden
te kennen meer bezorgd te zijn over aanvallen van buitenaf (57%) dan
van binnenuit (41%), terwijl uit gepubliceerde gegevens blijkt dat
meer dan driekwart van alle aanvallen uit de organisatie zelf komt.
Informatiesystemen blijven kwetsbaar: het treffen van maatregelen komt
moeizaam op gang
Geavanceerde virusaanvallen en wormen hebben de wereld regelmatig
laten zien hoe afhankelijk het bedrijfsleven van informatiesystemen is
en hoe kwetsbaar voor de gevaren die deze systemen bedreigen. Het is
niet verrassend dat 60% van de 459 geraadpleegde CIOs, IT-directeuren
en topmanagers te kennen geeft dat hun organisatie kwetsbaarder wordt
naarmate zij meer elektronisch zaken doen met de buitenwereld. Een
flinke meerderheid van de geënquêteerden geeft bovendien aan dat
bedrijfskritische systemen steeds vaker met onderbrekingen te kampen
hebben - 75% heeft wel eens te maken gehad met systemen die op
onverwachte momenten niet beschikbaar waren. Toch beschikt nog maar
53% van de ondernemingen over een continuïteitsplan en heeft minder
dan de helft van de ondervraagden een deugdelijke tijdplanning voor
het herstel van hun systemen.
Elementaire beveiligingsactiviteiten
De beveiligingsactiviteiten die wel plaatsvinden, zijn vaak de meest
elementaire voorzieningen, zoals firewall-beheer en bescherming tegen
virussen. 40% van de organisaties stelt geen onderzoek in naar
beveiligingsincidenten. Eveneens 40% van de ondervraagde bedrijven
wordt niet onderzocht, ondanks herhaalde waarschuwingen dat het
doorbreken van de beveiliging vaak leidt tot back doors die later door
kwaadwillenden kunnen worden gebruikt. Verder past slechts 81% van de
respondenten anti-virusprocedures toe, heeft 72% toegangsbeheer
geïmplementeerd en doet 66% aan firewall-beheer. Dit zijn tegenwoordig
absoluut noodzakelijke basismaatregelen. Het is dan ook verontrustend,
vindt Ernst & Young EDP Audit, dat deze cijfers niet veel dichter bij
de 100% liggen.
Conclusies en aanbevelingen
"Het huidige zakelijke klimaat eist dat managers de veiligheid en
beschikbaarheid van informatie als een hoge prioriteit voor de hele
onderneming beschouwen en dat zij beveiligingsproblemen tijdig
onderkennen en oplossen", zegt prof.drs. Paul van Kessel RE RA,
voorzitter van Ernst & Young EDP Audit in Nederland. "Organisaties die
informatiebeveiliging te weinig aandacht geven of met houtje-touwtje
oplossingen komen, zullen door de markt en potentiële zakenpartners in
toenemende mate worden afgestraft. De informatiebeveiligingsstrategie
van een organisatie moet niet alleen technische oplossingen omvatten,
maar dient ook terdege rekening te houden met de aard van de risicos
die het bedrijf loopt en met de bedrijfscultuur. Zon strategie moet
worden gedragen door de Raden van Bestuur van organisaties, worden
geïmplementeerd en moet het uitgangspunt vormen voor tactische en
operationele beslissingen binnen alle geledingen van de onderneming.
Een degelijke strategie kan het verschil uitmaken tussen succes en
mislukking", aldus Van Kessel.
Onderzoeksmethode
In oktober en november 2001 heeft Ernst & Young wereldwijd
persoonlijke en telefonische interviews gehouden met een
representatieve groep CIOs, IT-directeuren en topmanagers aan de hand
van een gestructureerde vragenlijst. In zeventien regios werden in
totaal 459 interviews afgenomen, waaronder vraaggesprekken met 23
Nederlandse bedrijven. De antwoorden zijn vervolgens op anonieme basis
geanalyseerd en verwerkt door marktonderzoeksbureau IDA. De
belangrijkste onderzoeksresultaten zijn voor iedere vraag volledig
geanalyseerd, per land en op basis van een aantal industriesectoren.
Statistisch is het betrouwbaarheidsniveau van de steekproef gemiddeld
95%, met een afwijking van plus of min 4% op het 50%-niveau. Bij het
analyseren van de resultaten is gerefereerd aan eerdere
beveiligingsonderzoeken van Ernst & Young - niet om directe
vergelijkingen te kunnen maken, maar om trends en veranderingen te
kunnen signaleren.
Internationale en Nederlandse resultaten
In sommige opzichten zijn er opmerkelijke verschillen tussen de
antwoorden van internationale en van Nederlandse respondenten die
deelnamen aan GISS 2002:
* Heeft een plan voor bedrijfscontinuïteit.
Internationaal: 53%
Nederland: 39%
* Wijt uitval van bedrijfskritische systemen aan operationele fouten
(bijv. het laden van foutieve software).
Internationaal: 25%
Nederland: 78%
* Overweegt om de activiteiten van medewerkers nadrukkelijker te
monitoren.
Internationaal: 46%
Nederland: 78%
* Vertrouwt op het tijdig signaleren van een aanval op de
IT-systemen.
Internationaal: 40%
Nederland: 61%
* Doet geen onderzoek naar incidenten met informatiebeveiliging.
Internationaal: 40%
Nederland: 17%
* Is bezorgd over de kwetsbaarheid bij interne en externe aanvallen.
Internationaal: 41% intern, 57% extern
Nederland: 39% intern, 30% extern
* Ziet bekendheid personeel met maatregelen en procedures als
barrière om veiligheid te realiseren.
Internationaal: 66%
Nederland: 91%
* Noemt storingen in hardware of software als hoofdoorzaken van
bedrijfsonderbrekingen.
Internationaal: 56%
Nederland: 96%
* Noemt storingen in telecommunicatie als hoofdoorzaak van
bedrijfsonderbrekingen.
Internationaal: 49%
Nederland: 61%
* Gebruikt standaard beveiligingssoftware van een leverancier.
Internationaal: 59%
Nederland: 96%
* Verwacht een systeem te gaan gebruiken dat mogelijke aanvallen
signaleert.
Internationaal: 24%
Nederland: 52%
Over Ernst & Young EDP Audit
Ernst & Young EDP Audit is een gespecialiseerde adviesgroep van Ernst
& Young Accountants. De 200 onafhankelijke en deskundige edp-auditors
helpen cliënten met het optimaliseren van de kwaliteit, veiligheid en
betrouwbaarheid van de ICT en het minimaliseren en beheersen van de
risicos.
De adviesgroep is decentraal georganiseerd en opereert vanuit acht
regionale groepen die zich bevinden in de grotere Ernst & Young
kantoren in Nederland (Amsterdam, Apeldoorn, Den Haag, Eindhoven,
Groningen, Maastricht, Rotterdam en Utrecht). Iedere groep heeft een
mix van generalisten en specialisten in huis, zodat ook regionale
cliënten optimaal bediend kunnen worden. Daarnaast is in Utrecht een
(inter)nationaal team van specialisten geformeerd op het gebied van
ERP- en financiële pakketten (onder andere SAP, Baan, Exact, JD
Edwards, Navision Attain, Axapta, Oracle, Coda en People Soft) en
diverse platforms, database systemen en operating systemen (onder
andere Windows NT/2000, Linux, UNIX, Lotus Notes, AS/400). Ook de
specialisten op het gebied van internet, eCommerce, telecom,
netwerkbeheer, informatiebeveiliging en data engineering opereren
vanuit deze specialistengroep in Utrecht. Meer informatie:
www.ey.nl/edp.
Voor meer informatie kunt u contact opnemen met Christa Vogelzang van
Ernst & Young EDP Audit op tel. 030 259 26 04
.