Veel Nederlandse bedrijven onderschatten nog steeds de IT-risico's. Niet alleen vervelend voor het bedrijf zelf, maar ook voor de consument. Zeker met de nieuwe draadloze communicatiestandaard op komst, moet beveiliging een hogere prioriteit krijgen, stelt podiumauteur Wim van Campen.
Afgelopen november hebben we in Nederland onderzoek laten uitvoeren naar IT-beveiliging van bedrijfsrisico’s onder grote organisaties en de overheid. Daaruit komt naar voren dat meer dan de helft geen idee heeft van de schade die zij kunnen oplopen als hun IT-beveiliging doorbroken wordt. Daartegenover staat dat twee derde van de organisaties prioriteit geeft aan IT-risico's en dat de strategie die zij volgen op IT-beveiligingsgebied in lijn is met hun organisatiestrategie.
Bij een op de drie van de ondervraagde organisaties heeft de directie nauwelijks aandacht voor de risico’s. En van de organisaties die IT-risico tot prioriteit hebben verklaard, heeft een derde geen schade-inschatting gemaakt. Bovendien heeft 1 op de 5 grote organisaties die IT-risico tot topprioriteit heeft verklaard, geen actieplan voor het geval de IT-beveiliging faalt.
Geen maatregelen voor IT-rampen
Dit fenomeen doet denken aan een recent bericht op MT: bijna 1 op 4 grote bedrijven heeft geen calamiteitenplan. Bijna de helft weet ook niet hoeveel geld een dag uitval de organisatie zou kosten. Bewustzijn van risico’s – we zien dat het belang van IT-beveiliging bij vrijwel alle grote organisaties aanwezig is – betekent dus niet automatisch dat concrete maatregelen worden genomen. Ik ben bang dat het bij deze organisaties eerst mis moet gaan met de IT-beveiliging voordat dit verandert. Met alle schade van dien.
IT-beveiliging is taak van managers
Organisaties die zo’n calamiteit voor willen zijn, adviseer ik alleen te beschermen wat voor de organisatie echte waarde heeft, of veel schade kan opleveren. Maar dat kan alleen als er inzicht is in de belangrijkste security-gerelateerde zakelijke risico’s. Het topmanagement moet daarom een doordacht informatie-beveiligingsplan eisen van de verantwoordelijken voor de implementatie van informatiebeveiliging. In dit plan horen bedrijfsrisico’s de leidraad te zijn voor te nemen maatregelen en voor het bepalen van de prioriteiten voor de implementatie.
Dit moet niet de taak zijn van de IT-afdeling, maar van de ‘business owners’. Zij kunnen de waarde én de risico’s voor hun onderneming het beste bepalen, zij weten wat de ‘kroonjuwelen’ zijn. Uit het onderzoek komt naar voren dat IT-beveiliging meestal de taak is van de IT-afdeling. Mijn pleidooi is dat organisaties eerst helder moeten krijgen welke risico’s ze lopen, pas dan kan de IT-afdeling met technische middelen komen om die risico’s af te dekken.
Actieplan voor als beveiliging faalt
Wie betere IT-beveiliging wil, een beveiliging die ook de organisatiedoelstellingen ondersteunt, zal ook de organisatietop hier veel nauwer bij moeten betrekken. Hier is nog een wereld te winnen, want bij 34% van de ondervraagde organisaties heeft de directie nauwelijks aandacht voor de risico’s. En als er dan wél aandacht is voor de risico’s, wat moet er dan gebeuren? Het lijkt een open deur, maar dat is het niet: een doordacht en up-to-date actieplan voor het geval de beveiliging van informatie faalt. Het denkwerk over de dan te nemen stappen moet vooraf plaats te vinden – niet pas als zich een lek of diefstal voordoet of, nog erger, al in het nieuws is.
Wetgeving betere beveiliging
Dan is er nog de vraag of de overheid de beveiliging kan bevorderen of zelfs zou kunnen afdwingen. Nu bestaat er al veel regelgeving – ook vanuit Europa – maar de uitvoering kan beter. Voor organisaties voorziet de Telecomwet ook in een meldingsplicht van datalekken. Regelgeving helpt, maar kan in de praktijk de informatiebeveiliging niet afdwingen. Zolang nog niet iedere organisatie zijn IT-beveiliging goed op orde heeft, denk ik dat aanvullende regelgeving nodig is, zeker als het gaat om het veiligstellen van persoonsgegevens. Vergelijk het met de Keuringsdienst van Waren. Burgers moeten er op kunnen vertrouwen dat IT-diensten goed zijn beveiligd, maar zelf kunnen zij dat niet controleren.
Behoefte aan IT-beveiliging neemt toe
De behoefte aan beveiliging van mobiele IT-diensten, applicaties en data zal nog sterker gaan spelen dan vandaag, zodra LTE – de nieuwe en snelle draadloze communicatiestandaard – in Nederland in de loop van 2013 van de grond komt. Er zal nog veel meer data op slimme telefoons en tablets verwerkt worden dan nu en gebruikers moeten er zeker van kunnen zijn dat deze LTE-diensten en –apparaten veilig zijn. Operators kunnen de grote investeringen in de licenties alleen maar terugverdienen met diensten die gebruikers kunnen vertrouwen. Als een mobiel apparaat dat met een oudere communicatiestandaard werkt op afstand gehackt wordt, duurt het uren of dagen om de gegevens eraf te halen en dat loont niet. Met LTE kan dit binnen minuten, criminelen weten dit ook. Beveiliging van mobiele apparaten wordt daarom dan nog veel belangrijker.
Eerdere bijdrage:
Over de auteur:
Dit Podiumartikel is geschreven door Wim van Campen, Vice President Northern Europe at McAfee.
Over het Podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium'.