Bedrijven nemen onvoldoende maatregelen in strategische informatie te beschermen
Nederlandse bedrijven nemen onvoldoende maatregelen om de strategische informatie waarover zij beschikken afdoende te beveiligen. Het ontbreken van maatregelen is met name toe te schrijven aan een gebrek aan aandacht voor informatiebeveiliging binnen de leiding van bedrijven.
Dit blijkt uit onderzoek van KPMG. "Hoewel het bestuur zich in het algemeen realiseert hoe waardevol informatie over productieprocessen, nieuwe technologieën, intellectuele eigendommen en ook mogelijke overnames is voor de continuïteit en het succes van de onderneming, blijven afdoende maatregelen om dit eigendom te beschermen in het algemeen vaak uit", zegt John Hermans, partner bij KPMG IT Advisory. "Bestuursleden van Nederlandse ondernemingen en hun Raden van Commissarissen moeten dan ook veel meer verantwoordelijkheid nemen als het gaat om het beschermen van alle strategische informatie waarover zij beschikken."
Maatregelen uit de pas met risico’s
Uit het onderzoek 'The importance of information assets' van KPMG onder C-level functionarissen die zich met risicobeheer bezig houden, blijkt dat de maatregelen die Nederlandse bedrijven nemen om te voorkomen dat strategische informatie in verkeerde handen terecht komt in geen verhouding staat tot de risico’s die zij lopen. Hermans: "Zo’n 75% van de onderzochte ondernemingen geeft aan dat de maatregelen die genomen worden om de informatie veilig te beheren volledig uit de pas lopen met de risico’s. En ondanks het feit dat de bedrijven zich bewust zijn van het feit dat de bescherming niet toereikend is, slagen zij er tot op de dag van vandaag niet in de risico’s beter te beheersen en de beveiliging op het vereiste niveau te krijgen. Toch geeft ruim 80% van de bedrijven aan dat de informatie waarover zij beschikken essentieel is voor het voortbestaan en het succes van de organisatie."
Op basis van het onderzoek constateert Hermans dat het bij veel bedrijven schort aan 'eigenaarschap' van risicobeheer en aan een eenduidige wijze van rapporteren over de maatregelen die genomen zijn om het bezit van de bedrijven te waarborgen. "De verantwoordelijkheid voor het risicobeheer is bij veel bedrijven versnipperd belegd en dat betekent dat zowel de CFO, CIO, CRO en CISO zich met de bescherming van deze waardevolle kennis bezighoud Nederlandse ondernemingen nemen onvoldoende maatregelen om alle strategische informatie waarover zij beschikken afdoende te beschermen. Het ontbreken van maatregelen wordt met name ingegeven door een gebrek aan aandacht van de leiding van de onderneming. n. De huidige versnippering van de verantwoordelijkheid voor het risicobeheer duidt erop dat niemand zich daadwerkelijk eigenaar voelt”, aldus Hermans.
Hoger in de organisatie
Een aantal bedrijven overweegt dan ook de verantwoordelijkheid voor het risicobeheer hoger in de organisatie neer te leggen. Zo geeft één op de vier bedrijven aan de Chief Risk Officer verantwoordelijk te zullen maken. Iets minder dan een kwart kiest voor de Chief Information Officer. Als het gaat om het rapporteren over de risico’s blijkt ruim 30% van de onderzochte functionarissen te rapporteren aan de Raad van Commissarissen. Bijna 40% rapporteert aan de audit commissie.
Bijna 60% van de respondenten voorziet de Raad van Bestuur van de noodzakelijke informatie. Een duidelijk bewijs dat de bescherming van strategische informatie beter moet worden georganiseerd. Uit het onderzoek van KPMG blijkt bovendien dat de onderzochte bedrijven de effectiviteit van het risicobeheer nauwelijks actief meten en een beperkt beeld hebben van de kosten die zij maken.
Inzichtelijke relatie
Voor een effectief beleid is het volgens Hermans echter essentieel dat de relatie tussen de maatregelen, de kosten en de risico’s die een onderneming loopt inzichtelijk is. Hermans: "Als dat niet het geval is, is het onmogelijk om vast te stellen of het geld goed besteed wordt en om tijdens de rit verbeteringen aan te brengen. Overigens blijken kleine bedrijven hun waardevolle bezit in het algemeen beter te beschermen dan grotere ondernemingen. Ruim 40% van de kleine bedrijven stelt dat het niveau van bescherming voldoende is. Van de middelgrote bedrijven geeft bijna 20% aan dat de genomen maatregelen om hun bezittingen te beschermen volstaan. Van de grote bedrijven is dit slechts 6%. Een verklaring hiervoor is wellicht dat kleine bedrijven beter beschermd zijn omdat zij opereren in een minder complexe IT-omgeving. Maar het kan ook zijn dat zij zich vanwege hun omvang onterecht veiliger voelen."
Meer over
Lees ook
ESET publiceert voorbeelden van scam-mails
Sommige scam-mails zijn bijna hilarisch amateuristisch. Maar andere pogingen zijn soms griezelig 'echt' en nauwelijks te onderscheiden van legitieme mails. Een mooi voorbeeld publiceert ESET op zijn website We Live Security: een mail van een Chinese firma die zich voordoet als een 'domain name registration supplier' die bedoeld is om te checken of1
Biometrie voor enterprise security: zinvol of onzinnig?
Nu steeds meer smartphones voorzien worden van biometrische sensoren, komt ook de vraag op wat dit soort security-maatregelen betekenen voor enterprise-organisaties? Richard Moulds, vice president Strategy bij Thales e-Security, vraagt zich in een artikel op Help Net Security af of biometrie voor zakelijk gebruik zinvol is. Of juist onzinnig? Een interessant punt dat Moulds aanstipt is de vraag of het aantal tokens bij gebruik van fingerprint scanners wel groot genoeg is. Bij gebruik van traditionele hardware tokens kunnen we putten uit een nagenoeg onbeperkt aantal tokens. Maar bij gebruik v1
Infographic: lichaamstaal zegt veel over social engineering
Het Japanse Gengo heeft een interessante infographic opgesteld over de rol van lichaamstaal bij social engineering. Zoals bekend is social engineering een belangrijk hulpmiddel voor cybercriminelen om bijvoorbeeld inloggegevens van gebruikers los te krijgen. Hoewel de infographic verder gaat dan 'enkel en alleen' security-gerelateerde vormen van n1