Goede beveiliging van ict-middelen blijft een moeilijke taak. Niet alleen doordat het belang van ict voor het bedrijf toeneemt, maar ook doordat cyberaanvallen en risico’s continue veranderen.
Security is een hot topic in de ict. Het is dat al jaren en blijft dat ook. Er valt digitaal namelijk heel wat te halen. Bedrijven en instanties zijn in toenemende mate afhankelijk van informatie- en communicatietechnologie. Uitval of storing is steeds pijnlijker, steeds moeilijker te doorstaan. Regelrechte faillissementen lijken misschien niet aan de orde, maar schade is er wel degelijk.
Onderzoek door MarketCap in samenwerking met Computable onder 413 instanties levert opmerkelijke inzichten op. De reacties zijn verrekend met een weging naar aantal organisaties per sector. Overigens hebben alle vragen in dit onderzoek ook een percentage ‘onbekend' opgeleverd, waardoor de hier genoemde percentages opgeteld niet altijd op 100 procent uitkomen.
Afhankelijk en onderschat
Ict-managers en -professionals menen dat het belang van ict-beveiliging toeneemt door de afhankelijkheid van informatie en techniek. Een overweldigende 40 procent van de markt is het hier volledig mee eens, met nog eens 33,1 procent die het hier deels mee eens is. Slechts 2,3 procent is het volledig oneens hiermee, en 5,1 procent deels oneens. Circa 9 procent is neutraal en 2,3 procent weet niet of de stelling klopt.
Het is dan ook opvallend dat diezelfde ict'ers het grotendeels ook eens zijn met de stelling dat de kwetsbaarheid van informatie en bedrijfsprocessen wordt onderschat. Ongeveer 23,3 procent kan zich hier volledig in vinden, 43,1 procent slechts deels. Neutraal is 15,3 procent, 5,3 procent is het er deels niet mee eens en 2,9 procent is volledig tegen deze stelling.
Verdeeldheid
Die onderschatting, door organisaties, werknemers en directies, is mogelijk ook te wijten aan onduidelijkheid, vanuit de ict-afdeling zelf. De ondervraagde ict-managers zijn namelijk ook verdeeld over de dreigingen. Virussen worden niet over de gehele linie als gevaar gezien, en niet iedereen ziet de risico's voor bedrijfsprocessen en bedrijfsinformatie jaarlijks verdubbelen. Een krappe 4,7 procent neemt wel een jaarlijkse risicoverdubbeling waar, en 22,5 procent is het deels met die stelling eens. Maar liefst 36,8 procent is neutraal, met 15 en 3,2 procent die geen verdubbeling zien.
De dreiging door virussen wordt door 13,6 en 6,4 procent achtereenvolgens deels en volledig van de hand gewezen als ‘overschat', waarbij een actief antivirusbeleid als overdreven wordt gezien. Naast een opmerkelijk grote 28,4 procent die hier neutraal over is, staat nog 27 en 14,6 procent die het hier respectievelijk deels en volledig mee eens is. Die laatste twee groepen maken zich dus wel druk over virussen.
Ondergraven
Die verdeeldheid wordt weer ondergraven door enkele andere uitkomsten. Zo meent bijna de helft van de respondenten dat antivirus- en firewallsoftware alleen geen afdoende bescherming bieden. Een kleine 7,3 procent is het hier volledig mee oneens, en 33,1 procent deels mee oneens. Aan de ja-kant is 17,3 procent het er deels mee eens en 2,6 procent het volledig mee eens. Opvallend is dat een forse 29,6 procent ‘neutraal' antwoordt.
Terwijl niet alle ict-managers en -professionals virussen als groot gevaar zien, zijn die wel de op één na meest voorkomende (volgens 34,3 procent) aanvalsvorm van de afgelopen twee jaar. De nummer één cyberaanval is Trojans, volgens 35,3 procent van de ondervraagden. Na die top twee volgt spyware (volgens 22,0 procent), onbekende aanvalsvormen (21,9 procent), hackers die rootkits gebruiken (19,8 procent) en aanvallen op eigen DNS-servers (17,2 procent).
Noodzaak en schade
Feit is wel dat bijna driekwart van de ict-managers en -professionals beveiliging als noodzaak ziet voor grote én kleine organisaties. De prikkelende stelling dat ict security iets is voor alleen grote organisaties wordt door 42,7 procent volledig en door 30,8 procent deels afgewezen. Slechts 4,7 en 5,5 procent is het hier respectievelijk deels en volledig mee eens. Nog eens 6,7 procent antwoordt ‘neutraal'.
De direct geleden schade door cyberaanvallen betreft vooral informatieverlies. Daarbij geeft 39,7 procent algemene informatiediefstal op, maar noemt 34 procent verlies van privacygevoelige informatie en 28,4 procent verlies van bedrijfsgevoelige informatie. Daarna volgen imagoschade met 25,5 procent en omzetderving met 23,5 procent. Vreemd genoeg is het opzeggen van vertrouwen door de klant slechts in 12,1 procent van de gevallen een schadepost. Schadevergoedingen voor het niet nakomen van contractuele verplichtingen overkomt maar 9,9 procent van de ondervraagden. Tot slot is er voor 2 procent nog de schade door een daling van de beurskoers van het bedrijf.
Bijkomend
De complexiteit van ict-beveiliging wordt verder bemoeilijkt door bijkomende factoren zoals toenemende mobiliteit (in zowel dataopslag als communicatie en toegang tot bedrijfsapplicaties) en de zogeheten ‘open organisatie'. Eerstgenoemde is door Computable elders al belicht, waarbij opvalt dat de factor mens nog altijd een grote bijdrage is. Het tweede is voor 7,5 en 14,8 procent een groot probleem; respectievelijk deels en volledig eens met de stelling dat de ‘open organisatie' niet te beveiligen is tegen indringers en aanvallen. Neutraal is 25,7 procent, deels mee oneens is 27,8 procent en volledig mee oneens is 10,6 procent.
Meer info
Het volledige storage-onderzoek kun je bestellen door een mail te sturen aan info@marketcap.nl onder vermelding van "Security-onderzoek Computable".