Global Information Security Survey 2002

Dit artikel delen:

Het Global Information Security Survey 2002 is uitgevoerd voor VNU Business Publications/Computable en CMP uitgevoerd door Price Waterhouse Coopers. 8.100 ICT-professionals vulden de vragenlijst volledig in.

Uit het wereldwijde onderzoek wordt duidelijk dat gebrekkige beveiliging tot aanzienlijke schade kan leiden. In bijna de helft van de gevallen leiden aanvallen op het systeem tot onbruikbare applicaties en uitvallen van het netwerk. Ook de tijd dat applicaties en netwerken niet beschikbaar zijn is aanzienlijk. Deze is meestal te meten in uren, maar regelmatig ook in dagen. In extreme gevallen waren de systemen van een bedrijf tien of meer dagen uit de lucht.

Eigen personeel

In ruim de helft van de gevallen blijken inbraken in het systeem van een bedrijf pas achteraf, door analyse van log files, ontdekt te worden. De daders, hoewel ze vaak anoniem blijven, worden door de getroffen ondernemingen in overgrote meerderheid gezocht onder hackers. Maar een goede tweede is het eigen personeel, terwijl voormalige medewerkers eveneens een niet onaanzienlijk veiligheidsrisico vormen.
De maatregelen tegen veiligheidsincidenten zijn vaak eenvoudig. Passwords heeft vrijwel ieder bedrijf, maar meer geavanceerde toegangscontrole als smart cards en biometrische authenticatie komt maar bij enkele ondernemingen voor. En hoewel beveiligingsvraagstukken ondertussen hoog op de agenda staan lopen de investeringen in zeventig procent van de gevallen niet in de pas te lopen met het beleid. Meer dan de helft van alle respondenten beweert dan ook dat de hoge kosten effectieve beveiliging in de weg staat. Overigens blijkt dat zowel in Europa als in de Verenigde Staten ruim een kwart van de ondervraagde bedrijven het afgelopen jaar niets heeft veranderd aan hun veiligheidsbeleid, terwijl de bedreigingen steeds talrijker worden.
 
Top 10 van aanvalsmethoden op ICT-systemen


Noord-AmerikaEuropa
Uitbuiten van bekende zwakke punten in het OS46,7%34,6%
Uitbuiten van een bekende applicatie29,4%22,6%
Misbruik van bestaande accounts/authorisaties20,4%18,7%
Menselijke fouten21,1%18,3%
Uitbuiten van slechte toegangscontrole17,9%14,6%
Externe denial of service18,2%14,7%
Uitbuiten van onbekende zwakke punten in het OS16,5%13,0%
Raden van passwords9,3%9,0%
Uitbuiten van onbekende applicatie6,1%4,7%
Interne denial of service3,2%1,9%

 
Wie verdenkt u van de veiligheidsincidenten?


Noord-AmerikaEuropa
Hackers/terroristen62,6%50%
Ongeauthoriseerd personeel27,0%26,2%
Geauthoriseerd personeel22,9%22,2%
Voormalige medewerkers12,2%11%
Klanten5,8%8,1%
Concurrenten4,2%5,8%

 
Hoe beveiligt u informatiesystemen?


Noord-AmerikaEuropa
Eenvoudige gebruikerswachtwoorden90,5%86,3%
Meervoudige logons en wachtwoorden56,1%52,9%
Softwarematige toegangscontrole voor PC's31,5%29,6%
Toetsenblokkering21,7%23,5%
Softwarematige toegangscontrole voor mainframes22,1%26,3%
Single sign on-software20,3%20,3%
Tokens/smart cards14,9%18,4%
Biometrische authenticatie4,1%2,3%

 
Wat staat in uw organisatie effectieve beveiliging in de weg?


Noord-AmerikaEuropa
Hoge kosten58,8%47,9%
Tijdgebrek50,7%57,3%
Te weinig training37,5%25,2%
Complexiteit van de technologie31,0%31,0%
Weinig aandacht23,3%23,4%
Te weinig gekwalificeerd personeel26,1%20,4%
Geen steun van het management24,2%20,7%
Tempo van de veranderingen23,8%17,4%
Geen samenwerking tussen afdelingen22,1%16,4%
Slecht beleid16,3%13,3%
Geen goede technologie14,4%11,1%

 
Hoeveel downtime had u het afgelopen jaar door veiligheidsincidenten?


Noord-AmerikaEuropa
Geen17%28,3%
Minder dan 4 uur25,4%25,9%
4 tot 8 uur19,1%19%
8 tot 24 uur18,1%14,4%
1 tot 3 dagen11,7%7,9%
3 tot 6 dagen5,3%2,6%
6 tot 10 dagen1,9%1,0%
Meer dan 10 dagen1,5%0,9%

 
Bescherming van klantgegevens:


Noord-AmerikaEuropa
Gedragsregels voor werknemers69,1%68,0%
Beveiligde webtransacties51,2%45,5%
Privacy-beleid staat op website45,3%34,3%
Veiligheidsbeleid jarlijks evalueren42,8%31,2%
Versleutelde communicatie37,0%32,0%
Versleutelde databases22,4%20,1%
Verificatie door derden18,2%16,4%
Benoeming hoofd beveiliging6,6%21,5%
Inschakelen privacy-consultants5,6%9,8%

 
Ontdekken van aanvallen op het systeem


Noord-AmerikaEuropa
Analyse van server en firewall log files50,1%54,3%
Intrusion detectie systeem39,6%38,4%
Alarmering door collega38,9%33,0%
Schade aan data of materiaal19,7%14,9%
Alarmering door klant of leverancier15,1%13,5%
Alarmering door service provider6,1%9,3%

 
Effect van de aanvallen


Noord-AmerikaEuropa
Applicaties onbruikbaar46,9%40,1%
Netwerk niet beschikbaar45,7%34,9%
Vertrouwelijke informatie verspreid15,9%13,7%
Data verdwenen of beschadigd12,9%11%
Financiële schade8,4%8,3%
Klantgegevens onbereikbaar8,0%6,2%
Schade aan reputatie6,2%6,9%
Diefstal intellectueel eigendom5,0%5,2%
Misbruik identiteit2,9%5,2%
Fraude3,2%3,7%

 
Controle en evaluatie van beveiligingsbeleid


Noord-AmerikaEuropa
Controle én evaluatie31,4%35,4%
Alleen controle4,8%10,8%
Alleen evaluatie38,8%32,6%
Geen actie25,0%29,8%

 
Beveiligingsmaatregelen na 11 september


Noord-AmerikaEuropa
Beleid herzien68,3%66.3%
Nieuwe instructies voor personeel74,2%57,8%
Herziening/opstellen disaster recovery59,5%48,9%
Opstellen interne communicatieprocedures41,7%41,0%
Extra bescherming intellectueel eigendom32,9%23,1%
Extra bescherming fysiek eigendom31,4%23,8%
Verbeterde samenwerking beveiligingsafdelingen29,1%24,3%
Procedures voor klanten/leveranciers21,0%20,9%
Betere screening personeel20,2%11,0%
Instellen hoofd beveiliging13,4%18,9%

 
Prioriteiten voor de komende 12 maanden


Noord-AmerikaEuropa
Strategisch:

Verbeterde netwerkbeveiliging71,5%70,1%
Blokkeren ongeautoriseerde toegang58,4%55,8%
Verbeteren veiligheidsarchitectuur50,9%44,4%
Ontwikkelen beveiligingsstrategie38,0%32,7%
Integreren fysieke en virtuele beveiliging29,1%22,1%
Topmanagement erbij betrekken26,7%22,9%
Meer budget25,5%12,2%
Outsourcing8,5%10,5%



Tactisch

Beter beveiligen OS62,8%54,8%
Beter beveiligen applicaties54,3%46,9%
Installeren firewalls49,6%52,1%
Betere toegangscontrole45,0%47,2%
Tegengaan virusdreiging50,0%47,0%
Veilige remote access44,8%45,2%
Intrusion detection tools43,3%32,3%
Beveiligde web-browsers34,1%28,4%
Toezicht op gebruikers36,1%25,6%

 
Lopen veiligheidsuitgaven in de pas met beleid?


Noord-AmerikaEuropa
Volledig5,9%5,8%
Bijna volledig23,3%21,9%
Enigszins40,0%39,7%
Slecht21,0%19,7%
Niet9,9%12,9%

 
Marco van der Hoeven

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2002-09-27T00:00:00.000Z Marco van der Hoeven
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.