Investeringen in beveiliging schieten tekort

Britse bedrijven investeren fors in ict-beveiliging. Desondanks blijven ze vatbaar voor computermisbruik. Dit constateert PricewaterhouseCoopers in een onderzoek dat op de Infosecurity-beurs in Londen is gepresenteerd.

PricewaterhouseCoopers (PWC) constateert dat Britse ondernemingen informatiebeveiliging van groot beland achten. Het onderwerp staat bij 81 procent op de directieagenda en er wordt geld vrijgemaakt voor beveiligingsoplossingen. Desondanks concludeert het adviesbureau in het onderzoek ‘BERR Information Security Breaches Survey' van 2008 dat veel bedrijven hun waardevolle data nog onvoldoende hebben beschermd.

Geen protocol

PWC geeft als voorbeeld dat vier van de bedrijven die kampten met diefstal van computers hun harddrives niet van encryptie hadden voorzien. Ook ontbreekt bij tweederde van de ondervraagde firma's een protocol voor het beveiligen van vertrouwelijke bedrijfsinformatie die op usb-sticks van medewerkers staat.

Geen procedures

Het tweejaarlijkse BERR-onderzoek laat verder zien dat in Groot-Brittannië bedrijven drie keer zoveel geld spenderen aan ict-beveiliging dan zes jaar geleden. Vooral anti-virussoftware en backupsystemen zijn populair. De schade die computermisbruik veroorzaakt is dan ook met eenderde vermindert, maar loopt nog steeds in de miljarden pond, becijfert PWC.

Met het bewustzijn van het bedrijfsleven dat met het groeiend gebruik van breedbandinternet-verbindingen ook de controle op misbruik moet worden verstevigd, is niets mis, stelt het adviesbureau. Alleen het schiet tekort als het gaat om het juist inschatten van alle beveiligingsrisico's die bedrijven lopen. "88 procent is ervan overtuigd zich goed voorbereid te hebben op de grootste bedreigingen; slechts 56 procent van deze bedrijven heeft procedures om op incidenten te reageren," aldus Chris Potter, partner van PWC.

Zwakke punten

Volgens Potter denken bedrijven te weinig vooruit waardoor ze niet goed kunnen anticiperen op nieuwe bedreigingen. Het rapport toont bijvoorbeeld aan dat malware-infecties vergeleken met twee jaar terug met 60 procent is gedaald door het aanschaffen van beter werkende antivirussoftware. Tegenover dit goede nieuws staat de bevinding dat tweederde van de ondervraagde bedrijven malware (verzamelnaam voor virussen, wormen, Trojans en spyware) aanwijst als het incident dat in 2007 de meeste last veroorzaakte. De malware-aanvallen zijn dan weliswaar afgenomen, maar blijken in kracht - vooral spyware - te zijn toegenomen. "Patches zijn voor bedrijven van levensbelang geworden", stelt Potter. " De indruk bestaat echter dat deze in vergelijking met 2006 minder snel worden geïnstalleerd. Dat maakt systemen kwetsbaarder voor een aanval."

Andere zwakke punten in zijn ogen zijn de vrijheid die medewerkers hebben om tijdens werktijd sociale netwerken te bezoeken en instant messaging toe te staan. "Argeloze medewerkers zetten bedrijfsgevoelige gegevens op MySpace of Facebook. Ook loopt de arbeidsproductiviteit terug omdat personeel op het werk via internet allerlei privézaken regelt." Directies reageren hierop door een strengere authenticatie in te voeren en voor hun werknemers beperkte toegang tot internet te regelen

Onderzoek