Te weinig aandacht voor beveiliging bij nieuwkomers
Dat blijkt uit een onderzoek van het Britse onderzoeksbureau Loudhouse Research, in opdracht van beveiliger McAfee, onder 1185 lijnmanagers en HR-medewerkers die betrokken zijn bij de introductie van nieuwe medewerkers. Zij zijn werkzaam bij Europese bedrijven met 50 tot 250 personeelsleden.
Bombarderen
Slechts eenderde van de bedrijven besteedt aandacht aan IT-beveiliging tijdens de introductie. In Nederland geldt dat zelfs maar voor een kwart. Vermoedelijk zien bedrijven de introductie vooral als een verwelkoming van de nieuwe medewerkers en willen ze hen niet al gelijk bombarderen met voorschriften. Ook vermoeden de onderzoekers dat IT-beveiliging zo weinig aandacht krijgt omdat dat in de meeste MKB-organisaties nog steeds wordt gezien als iets dat vooral de IT-afdeling aangaat. Zij zien het als een gemiste kans dat het MKB de gelegenheid niet te baat neemt om de nieuwe medewerkers bij de introductie gelijk te doordringen van de in het bedrijf geldende gedragsregels voor IT-beveiliging. Doordat dat nu niet gebeurt, is de kans veel groter dat nieuwe werknemers de beveiligingsprotocollen al of niet bewust overtreden.
Geen beleid
Uit het onderzoek blijkt ook dat de meerderheid van het MKB geen beleid heeft voor IT-beveiligingsaspecten. Zo beschikt maar veertig procent over een beleid voor de toegestane inhoud van en het taalgebruik in e-mails. Ruim een kwart heeft regels opgesteld voor het gebruik van mobiele opslagmedia en nog geen kwart voor het gebruik van laptops. Slechts de helft van de bedrijven heeft een beleid opgesteld voor spam en virussen en het downloaden van software en bestanden.
Tegelijkertijd zijn de managers er wel van overtuigd dat problemen met de IT-beveiliging vooral de schuld van medewerkers zijn en slechts een enkele keer die van de werkgever. Daarbij gaat het bijvoorbeeld om het kwijtraken van een laptop buiten het kantoor, het verspreiden van een virus via een persoonlijke e-mail, het verlies van belangrijke gegevens en het versturen van vertrouwelijke mail naar de verkeerde klant. Daar moet echter wel meer duidelijkheid over komen, vinden de onderzoekers. Handelingen van medewerkers mogen dan tot een verslechtering van de beveiliging leiden, de werkgever is wettelijk toch de eindverantwoordelijke. Bovendien leidt een cultuur waarbij de schuld bijna altijd aan de werknemer wordt gegeven, ertoe dat men ‘vergeet’ de gevolgen van de risico’s voor het bedrijf als geheel goed te doorgronden.
Dataverlies
Het verband tussen de risico’s die men loopt en de acties die men daarop onderneemt lijkt sowieso wat scheef bij IT-kwesties. Uit een onderzoek dat CA heeft laten uitvoeren onder 715 IT-managers in Europa en het Midden-Oosten blijkt dat hun grootste angst is dat ze belangrijke data verliezen. Dat betekent echter niet dat ze actie ondernemen om dit te voorkomen. Zo gaf 86 procent aan dat het verlies van data het bedrijf schade zou berokkenen. Eenderde heeft er echter geen toereikende SLA voor geïmplementeerd om de risico’s op dataverlies in de hand te houden.