ERNST AND YOUNG
Ernst & Young: uitkomsten Global Information Security Survey
Topmanagement is zich bewust van bedreigingen op het gebied van
informatiebeveiliging, maar handelt daar niet naar
Utrecht, 23 september 2004 - Organisaties slagen er niet in zich goed
te beschermen tegen de toegenomen bedreigingen op het gebied van
informatiebeveiliging. Zo blijkt uit recent wereldwijd onderzoek van
Ernst & Young EDP Audit.
Uit de 'Global Information Security Survey 2004' wordt duidelijk dat
directieleden en topmanagers zich in toenemende mate bewust zijn van
de bedreigingen die door eigen personeel worden veroorzaakt, maar hier
niet naar handelen. Meer dan 70 procent van de 1.233 organisaties die
aan het onderzoek hebben deelgenomen -waaronder topbedrijven in meer
dan 51 landen- blijft in gebreke doordat het beveiligingsbewustzijn
van medewerkers niet als topprioriteit wordt behandeld. Dat geldt ook
voor de Nederlandse respondenten.
Door veranderingen in bedrijfsmodellen als gevolg van outsourcing en
andere externe samenwerkingsverbanden, wordt het steeds moeilijker om
controle te houden over de beveiliging van de informatie en
informatiesystemen. Daarnaast is het voor het senior management
lastiger geworden om inzicht te krijgen in de risico's waaraan de
organisatie zich blootstelt.
'Processen kun je uitbesteden, maar niet je verantwoordelijkheid voor
de beveiliging van die processen', zegt Monique Otten, partner bij
Ernst & Young EDP Audit. 'Meer dan 30 procent van de bedrijven heeft
zijn IT uitbesteed (naar het buitenland), maar minder dan eenderde van
deze bedrijven eist dat hun IT providers kunnen aantonen dat ze
voldoen aan erkende standaarden op het gebied van
informatiebeveiliging. Ze vertrouwen er gewoon op dat het wel in orde
is. Bedrijven zouden hogere eisen moeten stellen aan de beveiliging
van hun zakenpartners.'
Uit het onderzoek blijkt verder dat organisaties zich voornamelijk
blijven richten op bedreigingen van buitenaf (zoals virussen) en dat
er consistent weinig aandacht is voor interne bedreigingen. Men geeft
relatief gemakkelijk geld uit aan technische middelen zoals een
firewall en antivirus software, maar is terughoudend wat betreft
investeringen in het eigen personeel. Zo geeft 76 procent van de
Nederlandse respondenten aan dat het personeel geen periodieke
training of voorlichting krijgt op het gebied van
informatiebeveiliging (wereldwijd: 53 procent).
'Terwijl de publieke aandacht gevestigd blijft op externe
bedreigingen, is de mogelijke schade door wangedrag van insiders,
nalatigheid, onoplettendheid of een bedrijfscultuur waarin het normaal
wordt gevonden om beveiligingsvoorschriften niet in acht te nemen,
vele malen groter. Omdat interne incidenten meestal verzwegen worden,
weten organisaties vaak niet eens dat ze benadeeld zijn. Te veel
organisatie vinden informatiebeveiliging niet van belang als er geen
zichtbare aanval is. Deze perceptie in sinds de eerste editie van het
onderzoek (in 1993) onveranderd gebleven', zegt Edwin Bennet, Global
Director van Ernst & Young's Technology and Security Risk Services.
'Bedrijven zouden meer aandacht moeten hebben voor het creëren van een
beveiligingsbewuste cultuur. Het topmanagement moet daarbij zelf het
juiste voorbeeld geven, dit is essentieel om de manier waarop de
organisatie met informatiebeveiliging omgaat te kunnen veranderen',
aldus Bennet. 'Informatiebeveiliging zou beschouwd moeten worden als
iets waarmee je concurrentievoordeel kunt behalen en het vertrouwen
van je aandeelhouders kunt behouden, in plaats van als een
noodzakelijke kostenpost. Om dit te kunnen bereiken is het
noodzakelijk dat de houding van de directie en het topmanagement
verandert. Op dit moment geeft slechts 20 procent van de respondenten
aan dat informatiebeveiliging een prioriteit is op CEO-niveau
(Nederland: 17 procent). Daarnaast kan en moet meer gebeuren om de
kennis en het bewustzijn van medewerkers op het gebied van
informatiebeveiliging te verhogen. Zo kan deze doorgaans zwakke
schakel worden omgevormd tot een van de sterkste lagen van de
verdediging.'
Over de Global Information Security Survey
Aan de 2004 editie van het onderzoek Global Information Security
Survey hebben wereldwijd 1.233 organisaties meegedaan, waaronder
topbedrijven in meer dan 51 landen. In Nederland hebben 59
organisaties uit verschillende sectoren aan het onderzoek
meegewerkt.
Het onderzoek wordt uitgevoerd om de verschillende aspecten van
informatiebeveiliging in kaart te brengen en een goed beeld te krijgen
van de visie die directieleden, leden Raad van Bestuur en topmanagers
hebben op informatiebeveiliging, bedreigingen en de manier waarop
organisaties hier in de praktijk mee omgaan.
Noot aan de redactie:
Het Engelstalige onderzoeksrapport 'Global Information Security Survey
2004' kan worden gedownload via de website van Ernst & Young
Nederland: www.ey.nl.
Voor meer informatie
Monique Otten, Ernst & Young EDP Audit
Tel: (030) 259 26 01 (secretariaat)
of
Toby Ellson, persvoorlichter
Tel: (06) 29 08 47 62
23 sep 04 10:00