McAfee: Slechte richtlijnen zijn risico voor Europese bedrijven
Uit nieuw onderzoek is gebleken hoe gevaarlijk de 'trainingkloof' van werknemers is voor bedrijven en werknemers
Amsterdam, 16 maart 2007 - McAfee, Inc. (NYSE: (MFE) maakt vandaag de resultaten bekend van een nieuw onderzoek. Daarbij wordt duidelijk hoe belangrijk richtlijnen zijn voor de veiligheid van Europese bedrijven. Meer dan 1.000 middelgrote en kleine bedrijven (met 50 tot 250 werknemers) werden onderzocht verspreid over heel Europa. Het rapport 'Employee Education Gap' (De trainingskloof bij werknemers) brengt een aantal grote gaten aan het licht in de richtlijnen van bedrijven waardoor zij hun bedrijfsveiligheid onnodig in gevaar brengen. De belangrijkste bevindingen uit het onderzoek zijn:
Ø De beveiligingswoestijn - Slechts 32% van de middelgrote bedrijven in heel Europa neemt IT-beveiliging op in de introductie voor nieuwe werknemers. Ø Meer druk om te patrouilleren - 70% van de respondenten is ervan overtuigd dat werkgevers kwetsbaarder zijn dan drie jaar geleden met betrekking tot risico's in verband met nieuwe werknemers. Ø Het risico terugbrengen? - Slechts 39% van alle bedrijven heeft richtlijnen voor werknemers met betrekking tot taalgebruik en de inhoud van e-mailberichten. 28% heeft dergelijke richtlijnen voor het gebruik van draagbare mediadragers en 23% voor het gebruik van een mobiele laptop. Ø Het Verenigd Koninkrijk loopt voorop in goede inwerkpraktijken - Bedrijven in Groot-Brittannië zijn het meest actief in het opleggen van kaderrichtlijnen voor alle werknemers. Echter houdt meer dan één derde van alle bedrijven in Frankrijk en Italië er helemaal geen kaderrichtlijnen voor de werknemers op na.
'Roulette' van verantwoordelijkheid werkgever/werknemer De meeste bedrijven hebben, bij het merendeel van de beveiligingsgevallen, het idee dat de gebruiker meer schuld treft dan de werkgever. Dit toont aan dat er ernstige gevolgen ondervonden kunnen worden in het kader van aansprakelijkheid van werkgevers en werknemers. Zo vond 55% van de bedrijven dat een werknemer verantwoordelijk gehouden moet worden voor een persoonlijke e-mail die een virus verspreid op het bedrijfsnetwerk. Ook wordt door 67% van de bedrijven een gestolen laptop gezien als de verantwoordelijkheid van de werknemer. Natuurlijk spelen werknemers een rol in het bewaken van bedrijfseigendommen, maar door de vaagheid en soms het totaal ontbreken van voldoende inwerkprocessen, lopen werknemers vaak een oneerlijk risico. De werkgevers zouden ook Europese jurisprudentie in ogenschouw moeten nemen, waarbij werkgevers in sommige gevallen grote schikkingsbedragen op tafel moesten leggen als gevolg van e-mailberichten van werknemers die door de geadresseerden als beledigend werden opgevat, of waarbij inbreuk werd gepleegd op een klantcontract of een vertrouwelijkheids clausule.
Bedrijven moeten ook duidelijk maken wat er onder de verantwoordelijkheid van de werknemer valt en wat er gezien kan worden als onoplettendheid van de werkgever. De resultaten van het onderzoek tonen duidelijk aan dat de huidige benadering niet altijd voldoende is met betrekking tot de schuldvraag als er inbreuk wordt gemaakt op de beveiliging. Ofschoon beveiligingsincidenten een gevolg kunnen zijn van handelingen van een werknemer, is het vaak de werkgever die de eindverantwoordelijkheid draagt voor de processen en condities die zich rond dit soort incidenten afspelen.
Greg Day, beveiligingsanalist bij McAfeeâ, zegt hierover: "Voor veel bedrijven zijn introductiesessies voor werknemers een prioriteit, maar andere bedrijven zijn nalatig in het opleggen van kaderrichtlijnen voor het leeuwendeel van het kantoorleven van de werknemers: hun PC en het gebruik van internet. Deze bedrijven lopen de kans mis om alle personeelsleden te doordringen van het belang van waakzaamheid en beveiliging. In combinatie met een duidelijk gebrek aan controle op naleving verhoogt deze nalatigheid het risico dat nieuwe werknemers, zij het bewust of onbewust, op een gegeven moment de bedrijfsprotocollen voor beveiliging overtreden."
Strikt vertrouwelijk...
Meer mensen veranderen steeds vaker van baan. Daardoor worden bedrijven geconfronteerd met meer 'nieuwe werknemers' dan ooit tevoren. Alleen al in het Verenigd Koninkrijk gingen zeven miljoen mensen in 2005/2006 voor een ander bedrijf werken. Dat betekent dat meer dan een kwart van de werkende bevolking (29 miljoen) in een periode van 12 maanden aan een nieuwe baan begon.
Binnen elke middelgrote organisatie dient training van (nieuwe) werknemers betreffende informatiebeveiliging bijzonder ernstig genomen te worden. Zeker omdat veel middelgrote bedrijven niet over een eigen IT-afdeling beschikken. Over de afgelopen 12 maanden heeft 73% van de respondenten hun inwerkbeleid onder de loep genomen. De bedrijven lijken deze informatie desalniettemin beperkt beschikbaar te houden na de inwerksessie - soms doordat het beleid alleen beschikbaar is op papier in een dossier, of doordat het alleen toegankelijk is voor bepaalde autorisatieniveaus op het computernetwerk. Slechts één derde van de respondenten zorgt ervoor dat deze documentatie beschikbaar is voor iedereen via een algemeen toegankelijke netwerkfolder of op een gezamenlijke drive.
Day verklaarde: "Sommige bedrijven praten er wel over, maar in de praktijk gaat het anders. De bedrijfsprocessen zijn vaak niet afgestemd op wat in het beleidsdocument staat. Met betrekking tot inwerksessies vinden sommige landen dat ze de processen in huis hebben. Vaak wordt dat echter niet ondersteund door vrij beschikbare beleidsdocumentatie."
Onsamenhangende inwerksessies...
Over het algemeen bezien zijn de inwerksessies in Duitsland het kortst. 36% van de Duitse bedrijven ronden de volledige inwerksessie af in minder dan drie uur. Aan de andere kant van de schaal duren Spaanse inwerksessies vaak het langst - 32% van de respondenten besteedt hier meer dan 2 dagen aan. Bedrijven in Groot-Brittannië en Frankrijk zitten hier tussenin met ongeveer een halve dag.
Billy Hamilton Stent, directeur bij Loudhouse Research, het bureau dat het onderzoek heeft uitgevoerd, concludeerde: "Het inwerkproces vormt een ideale kans op het instigeren van waakzaamheid in informatiebeveiliging in de eindgebruikers. Het is geen kwestie van een lijst met 'wel doen, niet doen'. Het is meer een proces waarbij vertrouwen wordt opgebouwd, en beveiliging en heldere werkprocedures worden afgesproken, waardoor zowel de werknemer als de werkgever minder risico loopt. Helaas is het aantal bedrijven dat het ook zo ziet ver in de minderheid."
Een kwestie van vertrouwen?
Het is duidelijk dat bedrijven zich beter bewust zijn van de bedreigingen die het slecht informeren van werknemers met zich meebrengt. Daarbij is 70% kwetsbaarder voor risico's met betrekking tot uit nieuwe werknemers dan drie jaar geleden. Bedrijven moeten echter zorgvuldig omgaan met het opleggen van controle op naleving. Volgens 72% van de respondenten zijn de werknemers zich ervan bewust dat er meer op hen gelet wordt door de werkgevers. 29% ziet deze situatie als het opbouwen van meer vertrouwen, maar bijna evenveel bedrijven (28%) zijn ervan overtuigd dat het afbreuk kan doen aan het vertrouwen.
Day concludeerde: "De zorg om beveiliging op het gebied van werknemersactiviteiten in het algemeen, en specifiek aangaande nieuwe werknemers, kan beïnvloeden hoe een bedrijf omgaat met richtlijnen. Het is van essentieel belang om een balans te vinden in de controle op activiteiten van werknemers, het verlenen van een bepaalde graad van autonomie aan de werknemers en het onderhouden van een open en constructieve relatie met het personeel. Vertrouwen is een buitengewoon waardevolle factor in een werkomgeving en ongeschikte processen kunnen dat nadelig beïnvloeden."
De volgende vijf overwegingen vormen een praktische basis voor het ontwikkelen van een checklist voor beveiliging in het kader van de bevindingen van het onderzoek:
Ø Zorg dat alle gebieden afgedekt zijn: Waarborg dat bij de bestaande materialen voor inwerksessies voldoende tijd is ingebouwd voor risico's omtrent beveiliging. Misschien komt u hiaten tegen in de huidige kaderrichtlijnen met betrekking tot beveiliging. Ø Inzicht in de bestaande perceptie van werknemers: Ga na hoeveel de bestaande werknemers weten over beveiligingszaken, bijvoorbeeld e-mail disclaimers, spamberichten en mobiel werken. Ø Breng verantwoordelijkheid voor risico's duidelijk in kaart: Begin de risico-evaluatie met een 'opfrisser' over wie binnen uw bedrijf verantwoordelijkheid moet accepteren voor welke beveiligingsrisico's. Websites van de overheid, het productschap of de branchevereniging bieden vaak goede referentieteksten. Ø Onafhankelijke analyse: Nodig een onafhankelijke derde uit, een partnerbedrijf of een klant om uw inwerksessies bij te wonen en daarover feedback te geven met betrekking tot mogelijke verbeteringen in de geboden informatie. Ø Stel bewakers aan voor virtuele beveiliging: Stel vast welke werknemers de verantwoording kunnen nemen voor het borgen van waakzaamheid met betrekking tot informatiebeveiliging en bewustzijn van beveiliging onder het personeel.
*Western Provident Association v Norwich Union (ENGEL, D. (1998) Caught by the net: avoiding cyberliability. Flexible Working. Deel 3, nummer 4, mei, pagina's 15 en 16).
Opmerking voor de redactie:
Onderzoeksmethode
Er werden 1185 online interviews afgenomen met de persoon die verantwoordelijk is voor de inwerksessies voor nieuwe werknemers bij het bedrijf, vanuit het lijnmanagement of vanuit HR. De onderzochte bedrijven hadden een personeelsbestand van 50 tot 250 werknemers en waren actief in verschillende sectoren.
Over McAfee, Inc.
McAfee, Inc., marktleider op het gebied van security technologie, gezeteld in Santa Clara, California (V.S.) biedt innovatieve en bewezen solutions en services die systemen en netwerken wereldwijd beschermen. Met McAfee's ongeëvenaarde expertise op beveiligingsgebied kunnen particuliere klanten, ondernemingen, (semi)overheidsinstellingen en service providers aanvallen blokkeren, verstoringen vermijden en hun beveiligingsstatus voortdurend bewaken en verbeteren. Meer informatie vindt u op
###
NOTE: McAfee is a registered trademark of McAfee, Inc. and/or its affiliates in the U.S. and/or other countries. McAfee Red in connection with security is distinctive of McAfee brand products. All other registered and unregistered trademarks herein are the sole property of their respective owners. (c) 2007 McAfee, Inc. All rights reserved.