Ernst & Young: 'Informatiebeveiliging te vaak lappendeken vol gaten'

Gapend gat

Het gat tussen wat nodig is voor een adequate informatiebeveiliging en wat er daadwerkelijk voorhanden is, wordt steeds groter. Dat komt doordat de dreigingen toenemen en veranderen; de opkomst van nieuwe technologieën die steeds meer op de werkvloer gebruikt worden maar ook gevaren met zich meebrengen en de striktere eisen die wettelijke regelingen stellen aan de informatiebeveiliging. Tegelijkertijd hebben veel organisaties hun beveiligingsbeleid niet structureel aangepast en wordt te veel ad hoc gewerkt.

Het is volgens de onderzoekers van groot belang dat organisaties een “robuust framework ontwikkelen voor de beveiligingsarchitectuur”. Tweederde van de respondenten heeft zo’n framework niet en slechts 16 procent geloof dat hun beveiliging geheel voldoet aan de behoeftes van de organisatie. De lappendeken van beveiligingstechnologieen die nu vaak gehanteerd wordt, zorgt voor te veel gaten in de verdediging. Zo voert 56 procent maar 1 tot 10 penetratietesten uit per jaar en doet eenvijfde dat zelfs in het geheel niet.

De meerderheid van de respondenten erkent dat zij meer kans hebben op aanvallen van buitenaf. Ook het aantal aanvallen van binnenuit neemt fors toe. De budgetten stijgen ook bij ruim de helft de komende 12 maanden met meer dan 5 procent.

IT moet het doen

De verantwoordelijkheid voor informatiebeveiliging ligt echter bij tweederde van de organisaties op de schouders van de IT-afdeling, terwijl dat juist bij een risc manager zou moeten liggen, meent Ernst & Young, omdat het veel meer raakt dan de IT. Maar 5 procent van de organisaties heeft een chief risc officer in huis. Zeker 46 procent bespreekt zelden of nooit de informatiebeveiligingsstrategie met het algemeen management.

Ook stelt 43 procent vast dat er niet genoeg deskundigheid in huis is om de informatiebeveiliging goed in te richten. Aan dat probleem wordt weinig gedaan, want slechts 22 procent is van plan hieraan meer uit te geven de komende 12 maanden.