ERNST AND YOUNG

ERNST & YOUNG: Global Information Security Survey 2003

Global Information Security Survey 2003:

Gebrek aan budget is belangrijkste
obstakel voor effectieve informatiebeveiliging

ROTTERDAM, 26 AUGUSTUS 2003 - Veruit de belangrijkste reden voor organisaties om te investeren in beveiliging van hun informatie en systemen is het toegenomen bewustzijn dat risico's voor de continuïteit van de bedrijfsvoering groot zijn. Toch blijkt gebrek aan budget het voornaamste obstakel te zijn voor het effectief implementeren van informatiebeveiliging in de praktijk. Angst en onzekerheid over de beveiliging rechtvaardigen uitgaven niet langer vanzelfsprekend, zeker in deze moeilijke economische tijden. Om het topmanagement te overtuigen moeten de verantwoordelijken voor informatiebeveiliging leren om de risico's in euro's te bespreken. Dit is één van de bevindingen van de zesde editie van de Global Information Security Survey (GISS), een onderzoek van Ernst & Young EDP Audit.

Het GISS onderzoek wordt jaarlijks uitgevoerd. Dit jaar werkten meer dan 1.400 organisaties uit 66 verschillende landen mee aan het onderzoek. In Nederland participeerden 95 organisaties uit verschillende sectoren. Het onderzoek wordt uitgevoerd om de verschillende aspecten van informatiebeveiliging in kaart te brengen en een goed beeld te krijgen van de visie die managers hebben op informatiebeveiliging en de manier waarop organisaties er in de praktijk mee omgaan.

Opvallende GISS-resultaten op internationaal niveau:
- 90 procent van de respondenten vindt dat informatiebeveiliging een belangrijke rol speelt bij het bereiken van de doelstellingen van de organisatie;

- 78 procent van de ondervraagde organisaties zegt dat het beperken van risico's de belangrijkste beslissingsfactor is ten aanzien van informatiebeveiliging.

Desondanks...


- Heeft 34 procent van de organisaties er geen vertrouwen in een aanval op de eigen informatiesystemen te kunnen ontdekken;
- Bovendien zegt 33 procent van de respondenten dat ze niet in staat zijn adequaat op een incident te kunnen reageren;
- Slechts 34 procent zegt te voldoen aan de wet- en regelgeving op het gebied van beveiliging;

- Onvoldoende budget wordt door 56 procent van de organisaties genoemd als de grootste belemmering voor het bereiken van het gewenste beveiligingsniveau;

- Bij 59 procent van de ondervraagden wordt de 'return on investment' voor uitgaven op het gebied van informatiebeveiliging zelden tot nooit getoetst;

- Slechts 29 procent van de organisaties noemt 'beveiligingsbewustzijn van medewerkers' en 'trainingen' als zaken waarin veel geïnvesteerd wordt;

- Er wordt nog steeds het meest geïnvesteerd in technologie, zoals 83 procent van de respondenten ook aangeeft;

- Voor het komende jaar ziet de helft van de organisaties virussen en wormen als de grootste bedreigingen.

Opvallende verschillen tussen de Nederlandse en de internationale antwoorden:

- De CFO wordt (na de CIO) in Nederland het meest genoemd als verantwoordelijke voor informatiebeveiliging. Internationaal wordt deze functionaris slechts door vier procent genoemd;
- Informatiebeveiliging wordt in Nederland vaker vanuit de procesmatige kant benaderd dan vanuit de menselijke kant. Nederlandse organisaties geven in verhouding dan ook meer geld uit aan de continuïteit van de organisatie en aan processen/procedures. Internationaal wordt meer uitgegeven aan consultants, personeel en trainingen/opleidingen;

- Bij slechts 16 procent van de Nederlandse ondervraagden wordt via informatieve sessies of een andere vorm van communicatie op periodieke basis gewerkt aan het beveiligingsbewustzijn van werknemers. Internationaal gebeurt dit bij 32 procent van de organisaties;
- Gebrek aan betrokkenheid van het management wordt door 43 procent van de Nederlandse ondervraagden aangegeven als een belangrijk obstakel voor het effectief implementeren van informatiebeveiliging. Internationaal speelt dit een minder grote rol, want wereldwijd wordt dit door 24 procent van de ondervraagden aangegeven;
- Bijna driekwart (74 procent) van de Nederlandse organisaties kan tijdig vaststellen of de systemen worden aangevallen. Dit is een verbetering ten opzichte van vorig jaar, toen dit voor 61 procent van de organisaties gold. Internationaal is het percentage van 40 naar 66 procent gegroeid;

- Bij 62 procent van de Nederlandse respondenten zijn belangrijke systemen onverwacht/ongepland uitgevallen in het afgelopen jaar. Internationaal gebeurde dit bij 52 procent van de organisaties.

Monique Otten van Ernst & Young EDP Audit: 'Het is verheugend om te zien dat het bewustzijn is toegenomen, maar denken en handelen zitten nog niet altijd op dezelfde lijn. Gebrek aan budget wordt genoemd als belangrijkste obstakel voor het effectief implementeren van informatiebeveiliging. Ook gebrek aan betrokkenheid en bewustzijn van het topmanagement worden genoemd als belemmerende factoren. Aan de andere kant zien we in Nederland dat 66 procent van de organisaties zelden tot nooit de 'return on investment' berekend voor informatiebeveiliging. Een geval van oorzaak en gevolg. De voor informatiebeveiliging verantwoordelijken moeten leren om de taal van het topmanagement te spreken en informatiebeveiliging als business vraagstuk op de agenda te zetten in plaats van als technisch vraagstuk.'

'Daarnaast zien wij nog al te vaak dat organisaties pas actie ondernemen als er iets aan de hand is. Bijvoorbeeld als er een lek in informatiesystemen is geconstateerd, of als een concurrent wordt aangevallen of controle plaatsvindt op de naleving van wettelijke voorschriften (zoals bijvoorbeeld de Wet Bescherming Persoonsgegevens). Op zo'n moment is men allang blij als het probleem is opgelost. Toch is een proactieve benadering van informatiebeveiliging op de langere termijn minder kostbaar dan een reactieve benadering, waarbij in verhouding vaak te veel wordt uitgegeven om te kunnen reageren op een incident', aldus Monique Otten van Ernst & Young EDP Audit.

Noot aan de redactie
Het Engelstalige onderzoeksrapport 'Global Information Security Survey 2003' is verkrijgbaar via de woordvoerder

Voor meer informatie
Ernst & Young EDP Audit, Monique Otten
Tel: 030 259 26 01 (secretariaat)

Toby Ellson, woordvoerder
Tel: 06 2908 47 62

26 aug 03 10:00