Manager vindt informatiebeveiliging te complex

15-07-2010 08:11 | Door Jolein de Rooij | Lees meer artikelen over: ITIL, Cobit | Lees meer over het bedrijf: B-Able | Er zijn 8 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink

De belangrijkste drempel voor het nemen van de juiste beveiligingsmaatregelen is niet – zoals verwacht zou worden – een beperkt beveiligingsbudget. De perceptie dat beveiliging een complex onderwerp is, is dat wel. Als gevolg daarvan worden belangrijke beveiligingsmaatregelen achterwege gelaten. Dat stelt beveiligingsonderzoeker Yuri Bobbert van de Hogeschool Utrecht, op basis van onderzoek onder veertig ict-beveiligingsmanagers van Nederlandse gemeentes, zorginstellingen, wooninstellingen en andere organisaties.

Slechts 12 procent van de respondenten noemt 'budget' als belangrijkste drempel voor het nemen van adequate beveiligingsmaatregelen. De grootste drempel blijkt de perceptie te zijn dat beveiliging een complex onderwerp is. Deze reden wordt door 32 procent van de ondervraagden opgevoerd als meest essentiële hindernis. Ook de lage betrokkenheid van het management blijkt een probleem: 30 procent van de respondenten ziet dit als het grootste probleem.

Een kwart van de organisaties ziet een gebrek aan kennis en vaardigheden als grootste struikelblok. Ict-managers klagen volgens de onderzoeker dat de huidige normen en theorieën zoals ISO27001 en ISO27002 NEN (in de zorg), ITIL v3 en COBIT  te veel gericht zijn op grote ondernemingen. Daarnaast zouden die theorieën te academisch en te weinig praktisch zijn.

Risico- en impactanalyse

Managers beschouwen informatiebeveiliging volgens de onderzoeker als een zeer complex onderwerp. Als gevolg daarvan worden belangrijke beveiligingsmaatregelen achterwege gelaten. Bobbert: 'De onderzochte organisaties zijn niet in staat om essentiële maatregelen te identificeren. Ze worstelen met het selecteren van beveiligingsmaatregelen, vanwege een gebrek aan vaardigheden en kennis.'

Slechts 46 procent van de onderzochte organisaties voert een risico- en impactanalyse uit. 'Informatie-eigenaren weten vaak niet wie die analyse moet uitvoeren. De reden daarvoor is dat ze denken dat beveiliging complex is en dat ze de kennis en vaardigheden ervoor missen.'

Wettelijk vereiste maatregelen niet altijd genomen

Nederlandse organisties moeten vanaf een bepaalde omvang rekening houden met verschillende beleidslijnen op het gebied van informatiebeveiliging. Zo schrijft de Wet bescherming persoonsgegevens voor dat zorgvuldig met persoonsgegevens moet worden omgesprongen. En uit de Wet op de Jaarrekening vloeien bijvoorbeeld eisen voort op het gebied van databeschikbaarheid en -betrouwbaarheid. Deze wettelijke vereiste beveiligingsmaatregelen worden echter niet altijd genomen, zo ontdekte Bobbert.

Zo voert 54 procent van de onderzochte bedrijven geen changemanagement uit op beveiligingsapparaten. Twintig procent van de onderzochte organisaties wist zelfs niet welke maatregelen exact getroffen moesten worden.

Bobbert, die tevens directeur is van informatiebeveiligingsbedrijf B-Able, onderzocht welke beveiligingsmaatregelen het effectiefst en eenvoudigst te implementeren zijn, welke maatregelen bedrijven nemen en welke drempels er bestaan voor het nemen van beveiligingsmaatregelen. De onderzoeker vroeg veertig ict-managers van bedrijven met tussen de 100 en 2500 werknemers om het niveau van informatiebeveiliging binnen hun organisatie te beoordelen op een schaal van één tot en met vijf.

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Top 10 reagerende bezoekers
   Aantal
reacties
Gemiddelde
waardering
Klik voor meer info1 1894 6,9
Klik voor meer info2 1429 6,6
Klik voor meer info3 1358 6,4
Klik voor meer info4 1170 6,5
Klik voor meer info5 1109 6,5
Klik voor meer info6 1048 5,9
Klik voor meer info7 847 6,7
Klik voor meer info8 639 5,9
Klik voor meer info9 514 6,3
Klik voor meer info10 437 5,9