Onderzoek Keala en McAfee: grote organisaties onderschatten IT-risico’s
Tweederde van de grote organisaties in Nederland geeft aan dat IT-risico’s prioriteit hebben. Deze organisaties zeggen ook dat de strategie die zij volgen op IT-beveiligingsgebied in lijn is met hun organisatiestrategie. Toch heeft meer dan de helft van de grote bedrijven en instellingen in Nederland geen idee van de schade die zij kunnen oplopen als hun IT-beveiliging doorbroken wordt. Sterker nog: een derde van de organisaties die IT-risico tot prioriteit heeft verklaard, heeft geen enkele schade-inschatting gemaakt. Bovendien heeft 1 op de 5 grote organisaties die IT-risico tot topprioriteit heeft verklaard, geen actieplan voor het geval dat de IT-beveiliging faalt. Dit zijn de belangrijkste uitkomsten van het eerste nationale onderzoek naar IT-beveiliging van bedrijfsrisico’s onder grote organisaties binnen overheid en bedrijfsleven. Dit onderzoek is uitgevoerd door Keala Research & Consultancy in opdracht van IT-beveiligingsspecialist McAfee.
Wim van Campen (foto), Vice President Northern Europe bij McAfee: “Het is niet meer haalbaar om alles met alle middelen te beschermen. Mijn advies is alleen optimaal te beschermen wat voor de organisatie echte waarde heeft of veel schade kan opleveren. Dat kan alleen als er inzicht is in de belangrijkste security-gerelateerde zakelijke risico’s. Het blijkt dat dit inzicht bij veel organisaties nog ontbreekt: bij een op de drie van de ondervraagde organisaties heeft de directie nauwelijks aandacht voor de risico’s. Ik vrees dat eerst een doorbraak van de IT-beveiliging moet plaatsvinden, voordat dit verandert. Het belang van IT-beveiliging is weliswaar duidelijk aanwezig bij de grote organisaties in Nederland, maar het onderzoek laat zien dat prioriteitstelling niet automatisch leidt tot concrete maatregelen op het gebied van IT-beveiliging.”
Ongeoorloofde toegang
Een vijfde van de ondervraagde organisaties ziet geen relatie tussen IT-beveiliging en organisatiestrategie. Dit geeft in feite aan dat ongeoorloofde toegang tot de systemen van deze organisaties geen gevaar vormt voor hun voortbestaan. Uit het onderzoek komt verder naar voren dat de prioriteiten per sector op IT-beveiligingsgebied verschillen. Vooral dienstverleners kennen IT-beveiliging een hoge prioriteit toe. Verder valt op dat het risico op ongeoorloofde toegang voor IT-systemen van de commerciële afdelingen het grootst wordt geacht (18%).
Wim van Campen: “IT-beveiliging is niet alleen een kwestie van techniek, maar ook van processen en mensen met de juiste kennis. Kennis die nodig is om te analyseren wat het risicoprofiel is. Dit moet de taak zijn van de ‘business owners’, aangezien zij de waarde én de risico’s voor hun onderneming het beste kunnen inschatten. Zij weten wat de ‘kroonjuwelen’ van hun organisatie zijn. Het onderzoek laat zien dat IT-beveiliging vooral door de IT-mensen van grote organisaties wordt ingevuld. Om de beveiliging op een hoger niveau te brengen, zodanig dat het de organisatiedoelstellingen ondersteunt, moet juist de organisatietop hier veel nauwer bij betrokken worden.”
Het IT-management en de IT-medewerkers zijn zich dan ook veruit het meest bewust van de IT-risico’s. Van het algemeen management zegt driekwart zich bewust tot zeer goed bewust te zijn van de risico’s. Maar bij de medewerkers in het algemeen is nog steeds bijna de helft zich niet, of slechts enigszins, bewust van de risico’s.
Het onderzoek is in opdracht van McAfee uitgevoerd door Keala in november 2012 onder 102 grote Nederlandse organisaties in de top van de zakelijke markt en de overheid.
Een presentatie met de belangrijkste bevindingen is te vinden op: http://mcaf.ee/coi1a.
