KPMG
Informatiebeveiliging laat bij veel bedrijven te wensen over
12 juni 2006
De beveiliging van informatiesystemen laat bij veel Nederlandse
ondernemingen nog te wensen over. Hoewel informatiebeveiliging bij de
meeste bedrijven een belangrijk thema vormt, slaagt een meerderheid er
niet in zich adequaat te wapenen tegen de gevaren van virussen,
hackers en spyware.
Uit onderzoek van KPMG onder ruim 300 Nederlandse bedrijven blijkt dat
60% van de ondernemingen het afgelopen jaar te maken had met het
uitvallen van bedrijfskritieke computersystemen en de daarmee gepaard
gaande continuïteitsproblemen. Eén op de vier bedrijven blijkt een
aantal malen per jaar te maken te hebben met incidenten in de vorm van
wormen en virussen en 5% wordt jaarlijks geconfronteerd met hacking.
Daarnaast heeft 30% van de bedrijven jaarlijks te maken met spyware.
Eén op de vier bedrijven blijkt niet te weten of de afgelopen tijd een
poging tot hacking heeft plaatsgevonden.
Het dilemma waar veel bedrijven volgens Arjen van Zanten van KPMG
Information Risk Management mee kampen is dat de informatie
toegankelijk moet zijn, maar ook beveiligd. Van Zanten: Veel bedrijven
vragen zich af hoe zij een solide beveiliging kunnen realiseren zonder
ontoegankelijk en bureaucratisch te worden. Daarnaast willen zij de
medewerkers zoveel mogelijk laten profiteren van de zegeningen van
mobiele applicaties en flexibele thuiswerkplekken zonder dat deze de
informatiehuishouding van de werkgever onnodig kwetsbaar maken. Om dit
te realiseren moeten de bedrijven op een breed front adequate
maatregelen treffen om de beveiligings- en continuïteitsrisicos te
beheersen. Wie zich structureel wil wapenen is gebaat bij een gedegen
risicoanalyse. Veel bedrijven blijken echter nog niet zover te zijn.
Bovendien geeft tweederde van de ondernemingen aan dat het
informatiebeveiligingsbeleid niet in lijn ligt met de doelstellingen
van de organisatie.
Uit het onderzoek van KPMG blijkt dat vooral de
informatiebeveiligingseisen ten aanzien van het personeel te wensen
overlaten. Niet meer dan 24% van de bedrijven ontplooit structureel
activiteiten om het bewustzijn bij het personeel te stimuleren.
Daarnaast is er bij de bedrijven weinig aandacht voor de vaststelling
dat autorisaties van het personeel juist en actueel zijn en ontbreekt
een overzicht van de toegankelijkheid van medewerkers tot de systemen.
Van Zanten: Vooral vanuit het oogpunt van compliance, het voldoen aan
wet- en regelgeving, is dit opmerkelijk.
Hoewel organisaties zich bewust lijken van het belang van
informatiebeveiliging, zoekt een meerderheid volgens Van Zanten nog
steeds naar de juiste manieren om zich voor te bereiden op de
verschillende bedreigingen. Van Zanten: Het is essentieel dat zij hun
continuiteits- en herstelvermogen permanent kritisch tegen het licht
houden en dat ze dit ook vooral planmatig benaderen. Managers zien
informatiebeveiliging nog te vaak als een op zichzelf staand fenomeen
en niet als een integraal onderdeel van de bedrijfsvoering. Hierdoor
is informatiebeveiliging onvoldoende geïntegreerd in de
bedrijfsprocessen. Ondanks het groeiend besef van het belang van de
menselijke factor wordt de complexiteit hiervan structureel
onderschat. Het gaat bij informatiebeveiliging vooral om het motiveren
van de medewerkers en het actief en blijvend veranderen van hun
gedrag.
Voor nadere informatie: Andy Bellm, telefoon (020) 656 7039
© 2006 KPMG Holding N.V., member of KPMG International, a Swiss
cooperative. All rights reserved.