Nieuws / Security

Home pijltje Alle Artikelen pijltje Nieuws pijltje Security

Manager vindt informatiebeveiliging te complex

15-07-2010 08:11 | Door Jolein de Rooij | Lees meer artikelen over: ITIL, Cobit | Lees meer over het bedrijf: B-able | Er zijn 8 reacties op dit artikel | Permalink

De belangrijkste drempel voor het nemen van de juiste beveiligingsmaatregelen is niet – zoals verwacht zou worden – een beperkt beveiligingsbudget. De perceptie dat beveiliging een complex onderwerp is, is dat wel. Als gevolg daarvan worden belangrijke beveiligingsmaatregelen achterwege gelaten. Dat stelt beveiligingsonderzoeker Yuri Bobbert van de Hogeschool Utrecht, op basis van onderzoek onder veertig ict-beveiligingsmanagers van Nederlandse gemeentes, zorginstellingen, wooninstellingen en andere organisaties.

Slechts 12 procent van de respondenten noemt 'budget' als belangrijkste drempel voor het nemen van adequate beveiligingsmaatregelen. De grootste drempel blijkt de perceptie te zijn dat beveiliging een complex onderwerp is. Deze reden wordt door 32 procent van de ondervraagden opgevoerd als meest essentiële hindernis. Ook de lage betrokkenheid van het management blijkt een probleem: 30 procent van de respondenten ziet dit als het grootste probleem.

Een kwart van de organisaties ziet een gebrek aan kennis en vaardigheden als grootste struikelblok. Ict-managers klagen volgens de onderzoeker dat de huidige normen en theorieën zoals ISO27001 en ISO27002 NEN (in de zorg), ITIL v3 en COBIT  te veel gericht zijn op grote ondernemingen. Daarnaast zouden die theorieën te academisch en te weinig praktisch zijn.

Risico- en impactanalyse

Managers beschouwen informatiebeveiliging volgens de onderzoeker als een zeer complex onderwerp. Als gevolg daarvan worden belangrijke beveiligingsmaatregelen achterwege gelaten. Bobbert: 'De onderzochte organisaties zijn niet in staat om essentiële maatregelen te identificeren. Ze worstelen met het selecteren van beveiligingsmaatregelen, vanwege een gebrek aan vaardigheden en kennis.'

Slechts 46 procent van de onderzochte organisaties voert een risico- en impactanalyse uit. 'Informatie-eigenaren weten vaak niet wie die analyse moet uitvoeren. De reden daarvoor is dat ze denken dat beveiliging complex is en dat ze de kennis en vaardigheden ervoor missen.'

Wettelijk vereiste maatregelen niet altijd genomen

Nederlandse organisties moeten vanaf een bepaalde omvang rekening houden met verschillende beleidslijnen op het gebied van informatiebeveiliging. Zo schrijft de Wet bescherming persoonsgegevens voor dat zorgvuldig met persoonsgegevens moet worden omgesprongen. En uit de Wet op de Jaarrekening vloeien bijvoorbeeld eisen voort op het gebied van databeschikbaarheid en -betrouwbaarheid. Deze wettelijke vereiste beveiligingsmaatregelen worden echter niet altijd genomen, zo ontdekte Bobbert.

Zo voert 54 procent van de onderzochte bedrijven geen changemanagement uit op beveiligingsapparaten. Twintig procent van de onderzochte organisaties wist zelfs niet welke maatregelen exact getroffen moesten worden.

Bobbert, die tevens directeur is van informatiebeveiligingsbedrijf B-Able, onderzocht welke beveiligingsmaatregelen het effectiefst en eenvoudigst te implementeren zijn, welke maatregelen bedrijven nemen en welke drempels er bestaan voor het nemen van beveiligingsmaatregelen. De onderzoeker vroeg veertig ict-managers van bedrijven met tussen de 100 en 2500 werknemers om het niveau van informatiebeveiliging binnen hun organisatie te beoordelen op een schaal van één tot en met vijf.

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter
Reacties op dit artikel
De redactie vindt deze reactie: OKroel schipper, 15-07-2010 8:51
Het blijft een mooi onderwerp. Tijdens mijn afstudeerfase van mijn opleiding aan de HvA hebben we gekeken welke van de theorieën het beste toepasbaar is voor het MKB. Hieruit kwam naar voren dat ISO27001 (voorheen Code voor Informatiebeveiliging) het beste toe te passen is en hier hebben we tevens gekeken of we een volwassenheidsniveau ala CMMI konden koppelen. Hier hebben we zelfs een tooltje voor gemaakt dat visueel prima weergeeft op welk niveau een bedrijf zit en welke stappen een bedrijf moet nemen om aan de Code voor Informatiebeveiliging te voldoen.
 
Het is voornamelijk dat een bedrijf meestal niet de tijd neemt om de kennis op te doen voor een basisplan voor informatiebeveiliging, dat uitgebouwd kan worden. Tevens is het meestal niet betaalbaar voor een MKB (voornamelijk klein) bedrijf om de specialisten te betalen die ze hierbij helpen.
De redactie vindt deze reactie: OKBjorn Zeeman, 15-07-2010 12:12
Onderzoek toont aan dat de kosten van een breach beginnen bij 50k en oplopen tot in de miljoenen.
 
Afgelopen jaar waren er 350 high profile breaches zoals die bij een Google en een MOD en 70 procent van de organisaties merkt niet eens dat er een breach heeft plaatsgevonden.
 
Zelf werk ik veel met zorginstelling en beveiliging staat hier niet altijd hoog op de agenda. Dit in combinatie met dat de meeste organisaties niet eens doorhebben dat er een breach heeft plaatsgevonden maken dat het eerst heel erg fout moet gaan wil er daadwerkelijk iets gebeuren.
De redactie vindt deze reactie: GoedDirk, 15-07-2010 15:13
Er moet een framework/model worden gemaakt, dat informatiebeveiliging koppelt met business performance indicatoren. Business performance indicatoren zijn iets waar managers (zonder security kennis)hun budget kunnen koppelen. Als je geen idee hebt van wat informatiebeveiliging is, ga je ook je geld niet zomaar in stoppen.
De redactie vindt deze reactie: MatigRV, 15-07-2010 16:06
Hoog tijd om het management eens op cursus informatiebeveiliging te sturen, dan krijgen ze nog eens ergens anders verstand van dan saneren en bezuiningen.
De redactie vindt deze reactie: OKCees Nooteboom, 15-07-2010 21:24
@redactie
Kunt u misschien ook het onderzoek van Dhr. Bobbert even plaatsen en linken ? Op de website van B-Able is het (nog?) niet te vinden.
De redactie vindt deze reactie: OKPaVaKe, 16-07-2010 21:54
Kun je dit de manager kwalijk nemen?
Ik denk het niet. Bij veel, vooral kleinere, bedrijven is ICT een ondersteunende functie, welke er vaak "bij gedaan wordt".
De competentie van de manager ligt aan de commerciële en\of vakinhoudelijke kant, niet aan de ICT kant, laat staan aan bij informatiebeveiliging.
 
Niet elk bedrijf heeft de luxe om over een ict-manager te beschikken, laat staan over een goede ict-manager.
 
Zoals de ondernemer voor de jaarrekeningen een accountant inhuurt, zal hij wellicht voor zijn verplichtingen m.b.t. informatiebeveiliging ook expertise moeten inhuren
De redactie vindt deze reactie: OKurbanunr3st, 21-07-2010 8:43
Van wat ik heb gezien is sabsa een uitstekende framework voor informatiebeveiliging juist omdat de business drivers de basis vormen. Zelfs een manager kan het volgen en begrijpen.
De redactie vindt deze reactie: OKDaniel, 02-11-2010 10:42
Het boek kan besteld worden op de volgende site:
 
http://www.mbis.eu/
Meer Nieuws
RSS-feed

24-05   UvA-student toont computerbuitenbeentjes

24-05   Main Capital verkoopt Iaso aan GFI Software

24-05   Bedrijven zeggen massaal .nl-domein op

Aantal reacties
9

24-05   'Capgemini-systeem Politieacademie werkt wel'

24-05   CarePartners en Pinkroccade bedienen Rodersana

24-05   Cognos-gebruikersgroep CUGNL is ter ziele

Aantal reacties
2

24-05   Peak-IT stuurt ICT’er 2 weken naar Turkije

24-05   Nnextgroup neemt Just Connecting over

23-05   Prevent-IT neemt NetEyes over

Aantal reacties
1

23-05   XA neemt Xerox-tak over van BührmannUbbens

Meer Security
RSS-feed

24-05  Bedrijven zeggen massaal .nl-domein op

24-05  Autodesk en Netsuite integreren cloudoplossing

Aantal reacties
1

23-05  Evinova Datacenter opent deuren in Meppel

23-05  Quick Heal beveiliging nu ook in de Benelux

22-05  Norman Shark ontdekt Indiase cyberspionage

Aantal reacties
12

22-05  Documenten dubbel zien in de cloud

22-05  IntraData biedt CTB Flex handtekening via cloud

22-05  Eaton 5P UPS ondersteunt virtuele omgevingen

22-05  Vasco Data Security neemt Cronto over

Aantal reacties
4

21-05  Beveilig je site tegen DDoS-aanval
Gerelateerde artikelen
Aantal reacties
6

28-09-10  'Betrokken directie is beste beveiliging'

Aantal reacties
1

12-07-10  Managers weinig betrokken bij beveiliging

15-06-07  ‘Het is vaak adhoc-problemen oplossen’

Security whitepapers

DoS-aanvallen: strategieen om de schade te beperken

De kans dat organisaties getroffen worden door een DoS-aanval is helaas reëel. Omdat er allerlei soorten......

IT Banen Beveiliging
2 vacatures
Security Officer (Co\u00f6rdinator Beveiliging en Continu\u00efteit)

Vivare , Arnhem

Penetration tester

Dionach bv , Amersfoort

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren		Gemiddelde
waardering
Klik voor meer info1 753 6.1
Klik voor meer info2 660 6.3
Klik voor meer info3 621 6.4
Klik voor meer info4 590 6.3
Klik voor meer info5 537 6.3
Klik voor meer info6 525 6.2
Klik voor meer info7 280 6.2
Klik voor meer info8 236 6.2
Klik voor meer info9 157 6.1
Klik voor meer info10 123 6.0
Sitemap  |   Abonneren  |   Adverteren  |   Algemene voorwaarden  |   Disclaimer  |   Privacy  |   Cookiebeleid  |   IT Banen  |   CRN  |   Tweakers.net  |   Autotrack.nl  |   Carsom.nl

Alle rechten voorbehouden © 1995-2013 De Persgroep