Toenemende wet- en regelgeving blijkt duidelijke stimulans voor informatiebeveiliging
3 november 2005 - Wetten en regels op het gebied van corporate governance blijken dit jaar een duidelijke stimulans te zijn geweest voor informatiebeveiliging. Zo blijkt uit de 2005 editie van het Ernst & Young onderzoek Global Information Security Survey.
Op zich is het natuurlijk geen verrassing dat organisaties als gevolg van toenemende wet- en regelgeving, zoals Sarbanes Oxley en de Code Tabaksblat, meer aandacht hebben gekregen voor informatiebeveiliging. Maar zelfs bedrijven die niet aan deze specifieke wetten en regels hoeven te voldoen, geven aan dat zij qua informatiebeveiliging aan de gestelde eisen willen voldoen. 'In Nederland leeft dit zelfs nog meer dan in de rest van wereld', aldus Monique Otten, partner bij Ernst & Young EDP Audit.
Virussen en wormen
'In voorgaande jaren was de dreiging van virussen en wormen voor veel organisaties de belangrijkste reden om aan informatiebeveiliging te doen', vervolgt Otten. 'En hoewel de wereld ook in het afgelopen jaar geteisterd werd door een aantal virussen en wormen met grote impact, lijken bedrijven vertrouwen te hebben gekregen in de getroffen maatregelen en wordt dit niet meer gezien als belangrijkste bedreiging.'
'Vervolgens zijn er de nieuwe bedreigingen. Bedrijven spreken duidelijk hun zorg uit over de beveiliging van populaire technologieën zoals mobile computing, removable media (zoals USB sticks) en draadloze netwerken. Driekwart van de organisaties zegt hiervoor in het komende half jaar maatregelen te gaan treffen', aldus Otten.
Geïntegreerd risicomanagement
'Daarnaast zien we dat informatiebeveiliging steeds vaker deel uitmaakt van geïntegreerd risicomanagement, hetgeen ik een zeer positieve ontwikkeling vind', zegt Otten. 72 procent van de respondenten geeft aan formeel een informatiebeveiligingsfunctie te hebben, 35 procent hiervan heeft deze functie geïntegreerd met risicomanagement.
Verbeteringen blijven echter mogelijk, zo wordt nog altijd de focus gelegd op de operationele beveiligingsaspecten. Ook bij outsourcing is informatiebeveiliging van strategisch belang. 'Organisaties kunnen niet langer volstaan met het benaderen van informatiebeveiliging vanuit intern perspectief. Steeds vaker wordt grensoverschrijdend geopereerd en wordt informatie uitgewisseld met derde partijen. Om die reden is het steeds belangrijker dat organisaties beveiligingseisen stellen aan zakelijke partners, leveranciers en klanten', besluit Otten.
Global Information Security Survey
Ernst & Young Technology & Security Risk Solutions (in Nederland EDP Audit genoemd) doet al sinds 1993 onderzoek naar de stand van zaken op het gebied van informatiebeveiliging. Aan de 2005 editie van het onderzoek Global Information Security Survey hebben wereldwijd meer dan 1.300 organisaties uit 55 landen meegedaan. In Nederland hebben 95 organisaties uit verschillende sectoren aan het onderzoek meegewerkt.
Ernst & Young EDP Audit
Ernst & Young EDP Audit is een gespecialiseerde adviesgroep van Ernst & Young Accountants. Internationaal wordt de groep TSRS (Technology and Security Risk Services) genoemd. In deze onafhankelijke adviesgroep werken edp-auditors met verschillende achtergronden (informaticadeskundigen, technische specialisten en accountants) met elkaar samen om cliënten te helpen met het optimaliseren van de kwaliteit, veiligheid en betrouwbaarheid van hun ICT en het minimaliseren en beheersen van de risico's.
Meer weten?
Het Engelstalige onderzoeksrapport van het Global Information Security Survey 2005 is online beschikbaar. Net als een korte samenvatting van de onderzoeksresultaten in het Nederlands.
Heeft u vragen over dit onderwerp? Neem dan contact op met Monique Otten van onze specialistengroep EDP Audit, telefoon 030 259 26 01 of via e-mail.
Ernst & Young