Geen producten in de winkelwagen.
Een belangrijk punt van zorg zit waarschijnlijk in het budget. 65 procent van de respondenten geeft maximaal 100.000 euro per jaar uit aan IT-security. Waarvan bijna de helft een budget van onder de 10.000 euro heeft. Dat is niet genoeg; slechts 39% heeft naar eigen zeggen voldoende geïnvesteerd in IT-security om veilig te zijn.
Deels hangen de budgetten samen met de grootte van het bedrijf, maar meer omzet betekent niet evenredig meer budget. De ondernemingen in het onderzoek vertegenwoordigen alle omvangs- en omzetcategorieën: van minder dan 50 werknemers tot multinational, van beursgenoteerd tot familiebedrijf. Aan het onderzoek van MT, Proact en NetApp deden 258 IT-verantwoordelijken in Nederland mee, aangevuld met een kwalitatief onderzoek onder tien IT-verantwoordelijken.
Verantwoordelijkheid
IT-security wordt steeds belangrijk binnen het bedrijfsleven. Dat is vooral te merken aan het toenemend aantal C-levelfuncties. Zo zijn er CDO’s (chief digital officers), CTO’s (chief technology officers) en CISO’s (chief information security officers). Daarnaast hebben veel grote organisaties ook nog iemand die de meer traditionele IT-directeursrol vervult, met eigen systeembeheerders.
Ook in dit onderzoek is die diversiteit van functies goed te zien. In het bestuur van één op de vijf ondervraagde organisaties is de CEO of CFO de eindverantwoordelijke voor ICT. 10 procent heeft een CIO in het directieteam en bijna de helft heeft een eigen IT-manager in dienst.
Maatregelen IT-security
Terug naar IT-security; welke maatregelen hebben de respondenten zoal genomen? Ruim vier op de vijf geeft aan technologie, zoals antivirusscanners en firewalls, in te zetten. Daarnaast erkent 59 procent dat werknemers vaak de zwakste schakel zijn en heeft daarom awareness-programma’s geïntroduceerd om het bewustzijn onder werknemers te vergroten.
Zo stelt Peer Huising, Director IT bij NetApp, adviseur in en leverancier van datamanagement en clouddiensten: ‘Door de toegenomen mobiliteit van gebruikers is het aantal toegangspunten op onze netwerken sterk toegenomen. Daarom voeren we continu controles uit op ons netwerk en op onze data, ook door middel van bijvoorbeeld eigen phishing mails, bij wijze van test. We trainen onze mensen met de resultaten van deze tests.’
Andere maatregelen die de bedrijven van de respondenten hebben genomen, zijn: IT-processen aangepast (57%), specifiek securityteam opzet (28%) en/of het risico afgedekt met een verzekering (12%).
Terechte zorgen
Hoewel IT-verantwoordelijken het belangrijk vinden om het nodige te doen om kwetsbaarheden te voorkomen, realiseert de meerderheid dat het een illusie is om 100 procent waterdicht beveiligd te zijn. Zo is slechts een kwart van de deelnemers het eens met de stelling: ‘ik heb mijn IT-security tiptop geregeld’.
Bijna een op de vier geeft toe te maken te hebben gehad met een digitaal veiligheidsincident – nog eens 22 procent weet niet of dat ooit het geval is geweest of wil het niet zeggen. ‘Als een hacker echt naar binnen wil, dan zal hij een poort vinden,’ aldus een van de geïnterviewden. Tegelijk vindt driekwart van de IT-managers dat je ‘niet veilig genoeg kunt zijn’ als onderneming.
Kortom, de zorgen lijken terecht. Je kunt immers niet alles in de hand houden. Een van de geïnterviewden geeft daarom ook aan dat het er vooral om gaat hoe je ermee omgaat als er eenmaal iets gebeurt. ‘Een groot beveiligingsincident is vooral een les. Wat ik geleerd heb? Blijf rustig. Formeer een team. Dicht je lek. Analyseer het probleem. Evalueer.’ Problemen beheersen valt dus te leren, stelt deze IT-manager. ‘De tweede keer is altijd gemakkelijker dan de eerste keer.’
Dit artikel is onderdeel van het dossier ‘IT-security’ op mt.nl. Dit dossier wordt mogelijk gemaakt door Proact. Proact levert flexibele, toegankelijke en veilige IT-oplossingen en -diensten.
