Volgens onderzoek van Dimension Data vertrouwen CxO's nog te veel op traditionele beveiligingstechnologieën voor het netwerk. Veel bedrijven gaan ervan uit dat VPN's en firewalls voldoende zijn om bedreigingen het hoofd te bieden. Ze onderschatten echter de gevaren van bedreigingen van binnenuit. Deze onderschatting is er slechts één in een reeks van fundamentele fouten die ondernemingen maken op het gebied van informatiebeveiliging.

Uit het onderzoek blijkt dat CxO's vaak een combinatie van 'softe' en 'harde' fouten maken in de beveiligingsstrategie.

Top 10 'softe' fouten

1. Ontbreken van een informatiebeveiligingsstrategie.
   
2. Ontbreken van steun binnen de directie voor het beveiligingsprogramma.
   
3. Niet bijhouden van belangrijke beveiligingsgegevens.
   
4. Denken dat informatiebeveiliging alleen een technologieprobleem of probleem van de IT-afdeling is.
   
5. Onderschatten van de kosten voor het inlopen van een achterstand in beveiliging.
   
6. Denken dat je als onderneming niet aansprakelijk bent voor ondermaatse beveiliging.
   
7. Compliance gelijkstellen aan beveiliging.
   
8. Waarde van de informatie en de organisatorische reputatie niet zien.
   
9. Relatie tussen IT en het bedrijfsproces niet zien.
   
10. Niet meenemen van security als onderwerp binnen outsourcing- en samenwerkingsovereenkomsten.

1. Toestaan van kortetermijnoplossingen in reactie op problemen.
   
2. Niet-getrainde mensen op een ongeorganiseerde manier de beveiliging laten regelen.
   
3. Belang van bewustwordingsprogramma's op het vlak van informatiebeveiliging niet inzien.
   
4. Niet inzien dat traditionele perimeterbeveiliging achterhaald is.
   
5. Niet beveiligen van laptops, PDA's en thuiscomputers 'van de zaak'.
   
6. Niet instellen van effectief change management.
   
7. Niet implementeren van diepgaande beveiligingsstrategie.
   
8. Niet implementeren van een kwetsbaarheidsmanagementstrategie.
   
9. Niet willen inzien dat virusses, wormen, spyware en spam een business continuity issue zijn, en dus niet alleen maar 'vervelend'.

Uit de voorlopige resultaten blijkt dat nutsbedrijven met een geïntegreerde aanpak het verst zijn. Daarna volgt het onderwijs. Opvallend is dat serviceproviders tot nu toe laag scoren. Ook de overheid en de bouwsector blijken laag te scoren op een overall aanpak van databeveiliging. Wat verder opvalt, is dat maar weinig organisaties hun medewerkers bewust maken van het belang van beveiliging. Minder dan de helft van de bedrijven heeft hiervoor een programma.

Naar aanleiding van de voorlopige resultaten zijn enkele aanbevelingen opgesteld. De belangrijkste zijn dat beveiliging op de agenda moet staan van het senior management. Verder moeten bedrijven een zogenaamde Security Road-map ontwikkelen, een bewustwordingsprogramma opzetten en een breed samengesteld beveiligingsteam in het leven roepen. Organisaties moeten vervolgens de resultaten en de voortgang van de programma's en acties op dit gebied constant meten op basis van concrete cijfers.