6 februari 2008
Een onderzoek onder 2400 bezoekers van de sites Security.NL, Webwereld en NuZ.nl naar het beveiligingsbeleid binnen de organisatie had niet echt verrassende resultaten, gezien internationale onderzoeken de afgelopen maanden. De trend zet zich voort dat ook in Nederland het personeel van een bedrijf als de grootste dreiging voor de veiligheid van de informatie wordt gezien. Liggen managers nog steeds wakker van hackers en virussen, vandaag de dag zijn daar de eigen werknemers bijgekomen. Het blijkt dat vooral personeel onbewust (23%) of bewust (9%) vertrouwelijke informatie doorspeelt aan derde partijen die daar niets mee te maken hebben. Hoe groter de organisatie, hoe meer het personeel als grootste dreiging voor het lekken van informatie wordt gezien. 15 % van de managers bij organisaties van meer dan 500 medewerkers antwoordt in die zin, tegenover slechts 3 % van de managers van kleinere organen. Niet verwonderlijk is dat systeem- en netwerkbeheerders bar weinig vertrouwen hebben in de rest van hun collega's. Zij hebben de grootste zorgen over het 'onbewust lekken door medewerkers': 31 en 30 procent. En 6 % ziet in industriele spionage een gevaar.
Maar ook al wordt het personeel gezien als de zwakste schakel in de IT-beveiliging, de meeste Nederlandse organisaties vinden het (waarschijnlijk uit misplaatste zuinigheid) niet nodig om hun mensen op te leiden. 78% van de werknemers zegt nog nooit een cursus te hebben gevolgd over de beveiliging van informatie en hun rol daarin. Bij slechts 15 % van de bedrijven wordt werknemers direct na hun komst opgeleid. Bij vetrek van het personeel ziet het er iets beter uit: 61% van de managers zegt dat gebruikersaccounts van ex-werknemers binnen enkele dagen worden afgesloten, 7 % doet dit binnen een week, nogmaals 7 % doet dat binnen een maand na vertrek en 15 % hanteert geen specifieke limiet. Maar liefst 40 procent van de ondervraagden geeft geen antwoord op de vraag hoeveel er per jaar per werkplek wordt besteed aan beveiliging. Bij grote organisaties bestaat de meeste onduidelijkheid: 52 % blijft het antwoord schuldig. Bijna een derde zegt meer dan 75 euro per werkplek uit te trekken, terwijl een kwart onder de grens van de 75 euro blijft. Het aantal organisaties dat een 'Disaster Recovery Plan' heeft klaarliggen stelt wel tevreden: plm. 60 %, maar of dat iets helpt is maar de vraag want 20 % heeft die plannen nooit getest en nog eens 15 % weet niet of de plannen getest zijn. IT-beslissers in nood kloppen veelal ook niet aan bij een computer emergency response team (CERT). 28% van de managers weet niet eens of er een CERT is. 31% van de bedrijven verbiedt het gebruik van sociale netwerksites, 25 % verbiedt blogging, 45 % instant messaging, 38 % het gebruik van online office applicaties en 50 % bepaalde websites. YouTube is de meest geblokkeerde pagina, gevolgd door Hyves en MySpace. 79% van de ondervraagden zit elke dag in werktijd te internetten, waarbij zeker iets meer dan een uur prive. 71 % van de werknemers moet periodiek een nieuw wachtwoord aanmaken. Ondanks al deze verboden stelt 29% van het personeel niet te weten wat informatiebeveiliging is. Werknemers weten dat de werkgever kan meekijken met hun activiteiten op de PC. Een kwart antwoordt dat de werkgever zijn mails of internetverkeer niet analyseert. Bij de rest van het personeel gebeurt dat wel. 50 % van de managers geeft aan dat het surfgedrag van het personeel wordt geanalyseerd. Dat gebeurt continu (18%) of incidenteel (29%). De security-beslissers moeten hun plek in de directie nog veroveren, want 19 % is directielid tegenover 47 % IT-professional. Er is nog veel winst te boeken op zaken als trainingen, encryptie, beleid en datalekkage. Meer belangstelling in de beveiliging van netwerken kan ook geen kwaad. Een aanzienlijk deel heeft geen idee van de status van het bedrijfsnetwerk als het gaat om aanvallen door malware en hackers. Zo heeft 17% van de bedrijven dagelijks met virussen, Trojaanse paarden en andere malware op het netwerk te maken en hebben hackers bij 27% de afgelopen jaren geprobeerd in te breken. Toch weet 18% niet hoe vaak malware-aanvallen plaatsvinden, en is 34% niet op de hoogte van aanvallen door hackers. Er is nog wel wat te doen, dus….