image

Eigen onderzoek: IT-beveiliging in Nederland niet waterdicht

maandag 4 februari 2008, 16:07 door Redactie, 7 reacties

Security.NL voerde in samenwerking met Webwereld en NuZ.nl onder 2400 bezoekers van de websites een onderzoek uit naar het beveiligingsbeleid binnen de organisatie, met toch wel zeer verrassende resultaten. Hoewel managers een aantal belangrijke zaken met betrekking tot het bedrijfsnetwerk missen, zet de trend zich ook in Nederland voort dat het personeel als grootste dreiging wordt gezien. Hieronder de belangrijkste punten uit het onderzoek:

Collega's niet te vertrouwen
Waren het vroeger hackers en virussen waar managers 's nachts van wakker lagen, vandaag de dag zijn dat de eigen werknemers. De reden hiervoor is dat ze onbewust (23%) of bewust (9%) vertrouwelijke informatie kunnen doorspelen. Hoe groter de organisatie, hoe meer men vindt dat bewust lekken door het eigen personeel het grootste risico vormt. Van de beslissers bij organisaties met meer dan 500 man personeel antwoordt 15 procent dat tegenover drie procent bij de bedrijven met vijf of minder medewerkers. Ook systeem- en netwerkbeheerders hebben weinig vertrouwen in hun niet-technische collega's. Zij maken zich het meeste zorgen over 'onbewust lekken door medewerkers': 31 en 30 procent. Spionage door de concurrentie of anderen ziet slechts 6% als een gevaar voor de toekomst.

Meeste werknemers niet geschoold in IT-beveiliging
De werknemer mag dan de zwakste schakel in de IT-beveiliging worden genoemd, menig bedrijf vertikt het om het personeel op te leiden. Zo zegt 78% van de werknemers nog nooit "beveiligingsles" te hebben gehad. Bij vijftien procent van de bedrijven wordt personeel direct bij binnenkomst opgeleid. Het beveiligingsbeleid wat betreft personeel dat vertrekt ziet er dan ook stukken beter uit. 61% van de managers zegt dat gebruikersaccounts van ex-werknemers binnen enkele dagen worden opgeruimd. Zeven procent doet dit binnen een week, en een andere zeven procent binnen een maand na vertrek. Vijftien procent hanteert geen specifieke limiet.

Budget blijft geheim of onbekend
Een vraag waar de meeste deelnemers aan het bezoek niet op antwoordde omdat ze dit niet wilden of niet wisten is die over het security budget. Maar liefst 40 procent geeft geen antwoord op de vraag hoeveel er per jaar per werkplek wordt besteed aan beveiliging. Bij grote organisaties bestaat de meeste onduidelijkheid over de uitgaven: 52 procent moet het antwoord schuldig blijven. Bijna een derde zegt meer dan 75 euro per werkplek uit te trekken, terwijl een kwart onder de grens van de 75 euro blijft.

Rampenplannen
Opmerkelijk is het aantal bedrijven dat een "Disaster Recovery Plan" heeft klaarliggen. Twee derde van de organisaties zou in theorie na een ramp meteen weer aan de slag kunnen. Het blijft echter bij theorie, want twintig procent heeft deze plannen nog nooit getest en vijftien procent weet het niet. Verder oefent 19% van de organisaties minder dan één keer per jaar. IT-beslissers in nood hoeven niet aan te kloppen bij een computer emergency response team (CERT). 28% van de managers weet niet eens of er een CERT is.

Strenge werkgever
Dat er binnen organisaties verschillend over beveiliging wordt nagedacht blijkt wel uit het aantal "verboden" waar personeel mee moet leven. Zo verbiedt 31% het gebruik van sociale netwerksites, verbiedt 25% blogging, kan er bij 45% niet via Instant Messaging software gechat worden, is het bij 38% ook niet toegestaan om online office applicaties zoals Google Docs te gebruiken en blokkeert bijna de helft van de werkgevers bepaalde websites. YouTube is de meest geblokkeerde pagina, gevolgd door Hyves en MySpace. In sommige gevallen begrijpbaar. 79% van de ondervraagden zit elke dag in de tijd van de baas te internetten, waarbij de zware gebruikers meer dan een uur voor eigen gerief bezig zijn. Daarnaast moeten werknemers (71%) periodiek een nieuw wachtwoord aanmaken. Ondanks alle verboden zegt 29% van het personeel dat het niet weet wat het beveiligingsbeleid inhoudt.

De baas kijkt mee
Werknemers weten dat de werkgever kan meekijken met hun activiteiten op de werk-pc. Slechts een kwart weet niet of de werkgever dat wel of niet doet. Nog een kwart antwoordt dat de werkgever zijn mails of internetverkeer niet analyseert. Bij de rest van het personeel gebeurt dat wel op enige manier. Ook bij de beslissers zegt ongeveer de helft dat het surfgedrag van het personeel wordt geanalyseerd. Dat gebeurt continu (18%) of incidenteel (29%). Analyseren van surfgedrag van medewerkers gebeurt bij grote organisaties (meer dan 500 man) veel vaker dan bij kleine bedrijven. Een derde van de 'groten' analyseert het surfgedrag continu en nog eens een derde incidenteel. Bij de kleinste bedrijven is dat respectievelijk 12 en 16 procent.

Spamfilters werken
De spamplaag lijkt voor personeel niet meer te bestaan. Ruim veertig procent zegt nog nauwelijks ongewenste commerciële e-mail te ontvangen, en van de 54% die dat wel doet, is 32% in minder dan een minuut klaar met het verwijderen ervan. 84% van de bedrijven zegt een spamfilter te gebruiken, en komt daarmee achter anti-virus software, die bij 86% aanwezig is. Absolute must have binnen Nederlandse bedrijven is de firewall, die negentig procent in huis heeft.

WiFi-netwerken redelijk op orde
Menig bedrijf stapt nog niet over op Wifi vanwege de potentiële beveiligingsproblemen. Toch heeft 39 procent van de bedrijven volgens de werknemers een draadloos netwerk. De beslissersgroep weet dat er nog meer Wifi-punten in de lucht hangen dan die de medewerkers kennen (55 procent). Beveiligingstechiek WPA2 wordt het meest gebruikt in WiFi-netwerken (61 procent). Daarna volgen 'mac-adress filtering' (36%) en WPA (28%). Curieus is dat WEP-beveiliging, dat met op internet makkelijk te vinden software is te kraken, toch nog wordt gebruikt door 24 procent van de bedrijven. Dat is op z'n minst onverstandig te noemen. WiFi komt het meest voor in de horeca (80%), de it-branche (66%) en de cultuur- en recreatiesector (65%), zeggen de beslissers. Bij de medewerkers valt op dat 67 procent van het onderwijspersoneel zegt dat er een draadloos netwerk op het werk is.

Beslissers zonder stem
De beslissers op securitygebied moeten hun plek in de directie nog veroveren, want 19 procent is directielid tegenover 47 procent it-professional. Van die laatste groep is 30 procent systeembeheerder, 12 procent it-manager en 11 procent netwerkbeheerder. De beslissers hebben meestal niet alleen zeggenschap. Maar 30 procent is echt eindverantwoordelijk. Een grotere groep, 44 procent, is medeverantwoordelijk, en 27 procent heeft een adviserende rol.

Conclusie
Beveiliging is een onderwerp dat bij een gedeelte van de Nederlandse bedrijven zeker leeft. Toch is er nog veel winst te boeken op zaken als trainingen, encryptie, beleid en datalekkage. Managers en IT-beslissers mogen ook wat meer interesse in de beveiliging van het netwerk tonen. Een aanzienlijk deel heeft geen idee van de status van het bedrijfsnetwerk als het gaat om aanvallen door malware en hackers. Zo heeft 17% van de bedrijven dagelijks met virussen, Trojaanse paarden en andere malware op het netwerk te maken en hebben hackers bij 27% de afgelopen jaren geprobeerd in te breken. Toch weet 18% niet hoe vaak malware-aanvallen plaatsvinden, en is 34% niet op de hoogte van aanvallen door hackers

Reacties (7)
04-02-2008, 17:21 door Anoniem
Dit bericht komt niet helemaal overeen met mijn ervaring.

75E per werkplek per jaar? Dan hebben ze geen firewall of
anti-virus, want dan zit je hier al snel boven.

Disaster recovery heb ik nog nergens gevonden, laat staan
dat er goed getest is.

Rare jongens die managers :-)
04-02-2008, 19:03 door sjonniev
Het probleem is m.i. dat bedrijven ook niet echt
geïnteresseerd zijn in beveiliging. Het enige waar het
management (ok, niet allemaal) interesse in heeft is hoe ze
hun eigen k*nt beveiligen. Voor die club heeft dat ene
regeltje in de company policy net zoveel waarde (of zelfs
meer, want goedkoper) als afdwingbare beveiligingsmaatregelen.
04-02-2008, 21:09 door Anoniem
Door sjonniev
Het probleem is m.i. dat bedrijven ook niet echt
geïnteresseerd zijn in beveiliging. Het enige waar het
management (ok, niet allemaal) interesse in heeft is hoe ze
hun eigen k*nt beveiligen.
Spreekt hier een gefrustreerde werknemer?

Het lijkt me eerder dat het probleem is dat het hele
onderwerp 'beveiliging' moeilijk is te overzien. Het levert
specialisten al genoeg hoofdbrekens op, laat staan managers
die meer terreinen onder hun hoede hebben (maar wel
beslissingen moeten nemen).

De grootste uitdaging voor (IT-)beveiligingsspecialisten de
komende jaren is het in begrijpelijke taal uitleggen wat nu
precies die bedreigingen en oplossingen zijn. En om dat in
een cijfermatig onderbouwde risico-analyse te vatten. Ga er
maar aan staan. Aan de zijlijn blijven mopperen dat 'de baas
er niets van snapt' helpt in ieder geval niet, lijkt me.
04-02-2008, 23:48 door lieque
Ik vraag me af waarom je hier onderzoek na moet doen. En dan heb ik niet
eens een diploma bedrijfs kunde. *kuch*
05-02-2008, 01:28 door Anoniem
"75E per werkplek per jaar? Dan hebben ze geen firewall of
anti-virus, want dan zit je hier al snel boven."

Als je daar nog even loonkosten bijtelt voor de personen die de apparatuur
en de software moeten beheren, wat je ook in de kost per werkplek zou
moeten doorberekenen, dan kom je ruimschoots boven de 75E per
werkplek per jaar.
07-02-2008, 07:37 door Apostrophe
@lieque:

Neen, en zo te zien ook geen diploma waaruit blijkt dat je
het Nederlands beheerst. Waarom zou je hier géén onderzoek
naar doen? Vind je het erg dat je geen diploma bedrijfskunde
hebt?

Ik vind het wel fijn...
11-02-2008, 14:27 door Martin de Gier
In dit onderzoek wordt weer duidelijk dat sommige medewerkers toch
dingen doen die niet mogen. Wat niet mag is spannend om toch te doen.
Wie kent dan niet? Dus ligt de taak om of mensen te leren dat sommige
dingen gewoon niet kunnen (is lastig en voor sommige kansloos) of
gewoon zorgen dat ze het niet kunnen. En ja dan moet zaken beveiligen of
niet toegankelijk maken. Maar dit moet ook weer gecontroleerd worden.

Vaak wordt de put gedempt als er al iemand verzopen is
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.