UNIVERSITEIT GENT FACULTEIT ECONOMIE EN BEDRIJFSKUNDE ACADEMIEJAAR 2014 – 2015
Informatiebeveiliging bij KMO's en micro-ondernemingen in Vlaanderen volgens de ISO 27K-normen
Masterproef voorgedragen tot het bekomen van de graad van Master of Science in de Handelswetenschappen
Sven Vermeulen onder leiding van Prof. Lemeire
UNIVERSITEIT GENT FACULTEIT ECONOMIE EN BEDRIJFSKUNDE ACADEMIEJAAR 2014 – 2015
Informatiebeveiliging bij KMO's en micro-ondernemingen in Vlaanderen volgens de ISO 27K-normen
Masterproef voorgedragen tot het bekomen van de graad van Master of Science in de Handelswetenschappen
Sven Vermeulen onder leiding van Prof. Lemeire
PERMISSION Ondergetekende verklaart dat de inhoud van deze masterproef mag geraadpleegd en/of gereproduceerd worden, mits bronvermelding. Naam student:
Woord vooraf Op het moment van schrijven staat mijn academische carrière dichter bij haar einde dan ooit tevoren. De evolutie die ze doormaakte heeft me gevormd tot wie ik ben. Geen econoom of informaticus, maar een eeuwig en gretig student met een optimaal opgebouwde combinatie van academische vaardigheden uit beide disciplines. Deze masterproef aanzie ik als apotheose. Het punt waarop een masterstudent zijn kunnen aantoont en laat zien dat hij klaar is bij te dragen aan de academische wereld. Het moment waarop hij uitstekend wil presteren om niet enkel zichzelf, maar ook iedereen die meestapte in het verhaal, eer aan te doen. Voor de academische ondersteuning wil ik dan ook mijn promotor, professor Lemeire, hartelijk bedanken. Ik respecteer u en de kennis die u bijdroeg aan het resultaat. Mijn onderwerpkeuze is dan ook volledig aan u te danken. De interesse die u bij mij losmaakte tijdens de lessen liet elke twijfel verdwijnen. Vervolgens wil ik hierbij ook mijn dank uiten naar elke medewerker van elke onderneming die meehielp aan het onderzoek door de enquête in te vullen. Zonder uw inbreng kon deze masterproef niet tot een succesvol einde worden gebracht. Daarnaast wil ik zeker ook mijn ouders bedanken. De morele steun die zij bieden, blijft van ongeschatte waarde. Tijdens momenten van twijfel of wanneer het even niet mee zit, zijn zij het die achter me staan. En wanneer het einde dan toch in zicht is, staan zij het hardst te juichen aan de eindmeet. Bedankt.
I
Inhoudsopgave Woord vooraf...................................................................................................................................I Inhoudsopgave................................................................................................................................II Lijst gebruikte afkortingen...............................................................................................................V Lijst van de tabellen en figuren........................................................................................................VII 1.
Inleiding..............................................................................................................................1
1.1.
Evolutie en gebruik van IT bij ondernemingen.........................................................................1
1.2.
Cybercrime in de media....................................................................................................... .....2
1.3.
Cybercrime in België.................................................................................................................3
2.
Vraagstelling en doel van het onderzoek.............................................................................5
2.1.
Inleiding tot de vraagstelling.....................................................................................................5
2.2.
Doel van het onderzoek...................................................................................................... ......5
2.3.
Assumptie.................................................................................................................... .............5
2.4.
Hoofdvraag en -deelvragen.......................................................................................................6 2.4.1.
Hoofdvraag.......................................................................................................... ........6
2.4.2.
Deelvragen...................................................................................................................7
2.4.3.
Hypothesen.......................................................................................................... ........7
3.
Literatuurstudie...................................................................................................................7
3.1.
Definitie van een KMO en een micro-onderneming..................................................................8
3.2.
De rol van KMO's en micro-ondernemingen in de economie....................................................8
3.3.
Eigenschappen van informatie............................................................................................ .......9 3.3.1.
3.4.
De CIA triad..................................................................................................................9
Nut van informatietechnologie.................................................................................................10 3.4.1
Adoptie van IT door kleinere ondernemingen............................................................12
3.5.
Definitie van informatiebeveiliging...........................................................................................12
3.6.
Redenen voor nood aan informatiebeveiliging.........................................................................13 3.6.1.
Aanwezigheid en complexiteit van IT..........................................................................14
3.6.2.
Verlies van controle.....................................................................................................14
3.7.
Redenen voor het tekort aan informatiebeveiling bij KMO's en micro-ondernemingen...........15
3.8.
Gevolgen van het tekort aan informatiebeveiliging..................................................................16
3.9.
3.10.
3.8.1.
Voor de klant...............................................................................................................17
3.8.2.
Voor de onderneming.................................................................................................17
Risk management.............................................................................................................. ........17 3.9.1.
Omgaan met risico......................................................................................................18
3.9.2.
Gebrek aan risk management bij KMO's en micro-ondernemingen............................19
ISO 27001 en 27002...................................................................................................................19 3.10.1
Voordelen van de ISO-normen....................................................................................19
II
3.10.2. 3.11.
Aandachtspunten bij de ISO-normen..........................................................................21
ISO 27001..................................................................................................................................22
3.11.1. Structuur............................................................................................................... .....................22 3.11.2.
Wijzigingen: ISO 27001:2005 naar 27001:2014..........................................................23
3.12.
ISO 27002............................................................................................................... ...................24
4.
Methodologie......................................................................................................................27
4.1.
Voordelen van de gekozen ondervragingstechniek...................................................................27
4.2.
4.1.1.
Voor de onderzoeker...................................................................................................27
4.1.2.
Voor de bevraagden....................................................................................................28
Nadelen van de ondervragingstechniek....................................................................................28 4.2.1.
Oplossing van de nadelen............................................................................................30
4.3.
Verkrijgen van contactgegevens................................................................................. ...............31
4.4.
Contacteren van de respondenten............................................................................... .............32
4.5.
Betrouwbaarheid en validiteit van de verzamelde resultaten..................................................33
4.6.
4.5.1.
Validiteit......................................................................................................................33
4.5.2.
Betrouwbaarheid.........................................................................................................33
Enquête..................................................................................................................... ................33 4.6.1.
Verplichte elementen.................................................................................................33
4.6.2.
Inhoud van de enquête...............................................................................................34
5.
Bespreking van de resultaten...............................................................................................44
5.1.
Doorgevoerde wijzigingen aan de dataset................................................................................44
5.2.
Winsorizen van uitschieters bij totaal datavolume en -toegankelijkheid..................................44
5.3.
Indeling van de respondenten volgens sector...........................................................................44
5.4.
Indeling van de respondenten volgens aantal werknemers......................................................45
5.5.
Verband tussen het aantal werknemers en het totaal datavolume..........................................46
5.6.
Verband tussen het aantal werknemers en de datatoegankelijkheid.......................................46
5.7.
Gebruik van IT bij respondenten volgens soort onderneming..................................................47
5.8.
Aanstelling van een personeelslid voor IT-gerelateerde incidenten.........................................48 5.8.1.
Controle van beveiligingsstatus...................................................................................49
5.9.
Bedrijfscultuur bij KMO's en micro-ondernemingen.................................................................50
5.10.
Verband tussen het totaal aantal genomen maatregelen en de stelling of IT voldoende beveiligd is (voor invullen van de vragenlijst) .........................................................51
5.11.
Verband tussen het totaal aantal genomen maatregelen en de stelling of IT voldoende beveiligd is (na invullen van de vragenlijst) ............................................................52
5.12.
Verband tussen betrokkenheid en communicatie over verantwoordelijkheden.......................52
5.13.
Overzicht van incidenten volgens hoofdstuk.............................................................................53
5.14.
Beantwoorden van de hoofdvraag............................................................................................53 5.14.1.
Mobiele apparatuur en telewerken.............................................................................54
III
5.14.2.
Verwijderbare media...................................................................................................55
5.14.3.
Toegangsbeveiliging.....................................................................................................56
5.1.4.
Cryptografie.................................................................................................................57
5.14.5.
Netwerkbeveiliging......................................................................................................58
5.14.6.
Verband tussen het aantal werknemers met toegang tot het internet en de maatregelen voor netwerkbeveiliging....................................................................60
5.15.
5.14.7.
Back-ups.......................................................................................................................60
5.14.8.
Awareness................................................................................................................ ....61
Deelvragen................................................................................................................ .................61 5.15.1.
Is er een verband tussen de bedrijfscultuur en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen? ..................................................................60
5.15.2.
Is er een verband tussen de datavolumes en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen? ..................................................................62
5.15.3.
Is er een verband tussen de datatoegankelijkheid en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen? ..................................................63
6.
A posteriori evaluatie van het onderzoek.............................................................................63
7.
Conclusie.............................................................................................................................64
8.
Aanbevelingen voor verder onderzoek.................................................................................65
Referentielijst........................................................................... ........................................................IX Bijlagen.............................................................................................................................................74
IV
Lijst gebruikte afkortingen
B-Ccentre
Belgian Cybercrime Centre of Excellence
BS
British Standards
CCSC
Commercial Computer Security Center
CERT
Cyber Emergency Team
CIA
Confidentiality, Integrity and Availability
Cobit
Control Objectives for Information and related Technology
DMZ
Demilitarized Zone
EDI
Electronic Data Interchange
FOD
Federale Overheidsdienst
GB
Gigabyte
IDS
Intrusion Detection System
IPS
Intrusion Prevention System
ISMS
Information Security Management System
ISO
International Organisation for Standardization
ITIL
Information Technology Infrastructure Library
ITU
International Telecommunication Union
KMO
Kleine of Middelgrote Onderneming
NBN
Bureau
for
Normalisatie
V
Standardisation/Bureau
voor
OECD / OESO
Organisation
for
Economic
Development/Organisatie
Co-operation
voor
and
Economische
Samenwerking en Ontwikkeling PCI DSS
Payment Card Industry Data Security Standard
PDCA
Plan Do Check Act
PwC
Price Waterhouse Coopers
R&D
Research & Development
TCP/IP
Transmission Control Protocol/Internet Protocol
SaaS
Software as a Service
SCM
Supply Chain Management
SSL/TLS
Secure Sockets Layer/Transport Layer Security
TRIPS
Agreement on Trade Related Aspects of Intellectual Property Rights
WHO/WTO
Wereldhandelsorganisatie/World Trade Organisation
VI
Lijst van de tabellen en figuren Tabellen Tabel 1 : Onderzoek naar de computerapparatuur van bedrijven per regio en grootteklasse (2014)........1 Tabel 2: Indeling van bedrijven volgens de Europese aanbeveling van 6 mei 2003.....................................8 Tabel 3: Aantal tewerkgestelden en toegevoegde waarde volgens soort onderneming............................8 Tabel 4: Annex A ISO 27001........................................................................................................................ .23 Tabel 5: Richtlijnen op basis van Annex A en ISO 27002.............................................................................25 Tabel 6: Stellingen over bedrijfsvoering in relatie met het gebruik van IT..................................................36 Tabel 7: Richtlijnen bij het hoofdstuk 'Mobiele apparatuur en telewerken'...............................................38 Tabel 8: Richtlijnen bij het hoofdstuk 'Verwijderbare media'.....................................................................39 Tabel 9: Richtlijnen bij het hoofdstuk 'Toegangsbeveiliging'.......................................................................40 Tabel 10: Richtlijnen bij het hoofdstuk 'Cryptografie'....................................................................... ..........41 Tabel 11: Richtlijnen bij het hoofdstuk 'Netwerkbeveiliging'......................................................................42 Tabel 12: Richtlijnen bij het hoofdstuk 'Back-ups'.......................................................................................43 Tabel 13: Richtlijnen bij het hoofdstuk 'Awareness'....................................................................................43 Tabel 14: Gebruik van bedrijfs-IT bij respondenten volgens soort onderneming en soort IT.....................47 Tabel 15: Gebruik van eigen IT bij respondenten volgens soort onderneming en soort IT.........................47 Tabel 16: Aantal gerapporteerde incidenten en meest voorkomende soort per hoofdstuk.......................53 Tabel 17: Naleving van de richtlijnen bij het hoofdstuk 'Mobiele apparatuur en telewerken'....................55 Tabel 18: Naleving van de richtlijnen bij het hoofdstuk 'Verwijderbare media'..........................................56 Tabel 19: Naleving van de richtlijnen bij het hoofstuk 'Toegangsbeveiliging'.............................................57 Tabel 20: Naleving van de richtlijnen bij het hoofdstuk 'Cryptografie'........................................................58 Tabel 21: Aantal respondenten zonder inbreng bij het hoofdstuk 'Netwerkbeveiliging'............................58 Tabel 22: Naleving van de richtlijnen bij het hoofdstuk 'Netwerkbeveiling'...............................................59 Tabel 23: Naleving van de richtlijnen bij het hoofdstuk 'Back-ups'.............................................................60 Tabel 24: Naleving van de richtlijnen bij het hoofdstuk 'Awareness'..........................................................61
Tabellen in bijlagen Tabel 25: Percentielwaarden bij variabele: 'Totaal datavolume'................................................................74 Tabel 26: Descriptives 'Totaal datavolume' voor winsorizing.....................................................................74 Tabel 27: Descriptives 'Totaal datavolume' na winsorizing.........................................................................74 Tabel 28: Percentielwaarden bij variabele: 'Totaal datatoegankelijkheidsvolume'....................................74 Tabel 29: Descriptives 'Totaal datatoegankelijkheidsvolume' voor winsorizing.........................................74 Tabel 30: Descriptives 'Totaal datatoegankelijkheidsvolume' na winsorizing.............................................75 Tabel 31: Verband tussen 'Totaal datavolume' en 'Totaal aantal werknemers'..........................................75 Tabel 32: Verband tussen 'Totaal datatoegankelijkheidsvolume' en 'Totaal aantal werknemers'..............75
VII
Tabel 33: Verband tussen stelling 'IT is voldoende beveiligd in het bedrijf' (voor) en 'Alle Elementen Samen'.............................................................................................................75 Tabel 34: Verband tussen stelling 'IT is voldoende beveiligd in het bedrijf' (na) en 'Alle elementen samen'.............................................................................................................76 Tabel 35: Verband tussen stelling 'Iedereen is betrokken en draagt een verantwoordelijkheid bij de beveiliging van informatie' en 'Individuele verantwoordelijkheden met betrekking tot het gebruik van IT'......................................................................................76 Tabel 36: Verband tussen 'Totaal aantal werknemers met toegang tot het internet' en 'Elementen NB'..........................................................................................................................74 Tabel 37: Verbanden tussen stellingen over bedrijfsvoering en gebruik van IT en 'Alle Elementen Samen'........................................................................................................... ..77 Tabel 38: Verband tussen 'Totaal Datavolume' en 'Alle Elementen Samen'.............................................77 Tabel 39: Verband tussen 'Totaal Datavolume' en alle elementen per hoofdstuk...................................78 Tabel 40: Verband tussen 'Totaal datatoegankelijkheidsvolume' en 'Alle Elementen Samen'.................78
Figuren Figuur 1 : Landen en sectoren geviseerd door Regin-spyware.................................................................3 Figuur 2: Aantal beveiligde internetservers per miljoen personen in 2013...............................................4 Figuur 3: Eigenschappen van gerapporteerde cijfers rond incidenten.....................................................13 Figuur 4: Positie van standaarden met betrekking tot informatiebeveiliging...........................................20 Figuur 5: Framework voor IS management...............................................................................................20 Figuur 6: Verdeling tussen interne of externe controle van de beveiligingsstatus ...................................49 Figuur 7: Standpunt van KMO's en micro-ondernemingen tegenover stellingen rond gebruik van IT en IT-beveiliging ........................................................................................................................50 Figuur 8: Mate van instemming met stelling over de IT-beveiligingsstatus van de onderneming............52
Figuren in bijlage Figuur 9: Inhoud van BS 7799-1 (ISO 17799)..............................................................................................80 Figuur 10: wijzigingen in ISO 27001 en 27002............................................................................................80
VIII
1. Inleiding 1.1.
Evolutie en gebruik van IT bij ondernemingen
Eens de overgang gemaakt van een louter onderzoeksobject naar praktisch element in elk bedrijf in de jaren '70, kent het computernetwerk een ongezien snelle opvolging van veranderingen. Wanneer eerst enkelen samenzaten en discussieerden over de toekomstperspectieven van het internet, is het vandaag ondenkbaar dat een bedrijf zonder IT functioneert (Comer, 2009). Intussen zijn technologieën in deze sector vele male performanter, sneller en bovenal toegankelijker geworden voor de wereldbevolking. Ook toegang tot het internet breidt uit. Een onderzoek van ITU toont aan dat minstens 44 procent van de wereldbevolking momenteel verbonden is (ITU,2014). Het meest recente onderzoek van FOD Economie (2014) stelt vast dat er bij 98 procent van de Belgische ondernemingen minstens één computer gebruikt wordt. Dit ligt hoger dan het Europees gemiddelde van 97,2 procent. Om vergelijkingen te kunnen maken op Europees niveau zijn bedrijven met minder dan tien werknemers hier niet aan toegevoegd. Op Vlaams niveau gebruikt 97 procent van de ondernemingen met minder dan 10 werknemers een computer, 1,67 procent minder dan het Vlaams totaal. 94 procent van deze zogenaamde micro-ondernemingen is ook verbonden met het internet. Over alle Vlaamse bedrijven heen gaat het over 97,33 procent. Grotere Vlaamse ondernemingen maken procentueel nog meer gebruik van computers, met percentages van 99 en 100 procent. Plaats
Referen eperiode2014 Vlaams Gewest (%)
Waals Gewest (%)
Aantal werknemers
Brussels Hoofdstedelijk
BELGIE (%)
Gewest (%) 5-9
10-49
50-249
Totalen
Gebruikt computers
97
95
94
96
Beschikt over internettoegang
94
92
91
94
Mobiele aansluiting
66
48
61
60
Gebruikt computers
99
96
96
98
Beschikt over internettoegang
98
95
95
97
Mobiele aansluiting
75
57
71
70
Gebruikt computers
100
99
99
100
Beschikt over internettoegang
100
99
99
99
Mobiele aansluiting
89
79
83
86
Gebruikt computers
98,67
96,67
96,33
98,00
97,33
95,33
95,00
96,67
76,67
61,33
71,67
72,00
Beschikt over internettoegang Mobiele aansluiting
Tabel 1 : Onderzoek naar de computerapparatuur van bedrijven per regio en grootteklasse (2014) (FOD Economie, 2014)
1
Deze percentages bieden een eerste zicht op de omvang van de beveiligingsproblematiek. Deze bedrijven verbinden zich namelijk met een wereldwijd netwerk dat niet louter gebruikt wordt door mensen met goede bedoelingen. De toegenomen toegankelijkheid van steeds sneller ontwikkelende technologieën biedt meer mogelijkheden aan hackers, concurrenten of andere malicieuze partijen om informatie van bedrijven schade aan te richten.
1.2.
Cybercrime in de media
Het effect van deze toename in verspreiding en toegankelijk van computertechnologie is wereldwijd voelbaar. Aan een alarmerend tempo keert informatiediefstal terug als onderwerp in de media. Het recentste onderzoek van PwC noemt de toenemende mediarapporteringen zelfs "as commonplace as the weather forecast:" een trend waarbij er geen onderscheid gemaakt wordt in sector of geografische locatie (PwC, 2014, p. 1). Zo zien klanten van een Amerikaanse winkelketen hun kredietkaartdata gestolen tussen 27 november en 15 december 2013 (Wallace, 2013). 40 miljoen accounts vallen in de handen van tot nog toe ongeïdentificeerde hackers. Daarna belandt deze informatie op de zwarte markt voor 20 tot 100 dollar per kaart (Epstein, 2013). In augustus van hetzelfde jaar ontdekt een Amerikaans bedrijf een verzameling persoonsgegevens, gestolen door Russische hackers. Meer dan een miljard gebruikersnamen en wachtwoorden en daarbij meer dan 500 miljoen e-mailadressen vallen ten prooi aan een georganiseerde misdaadgroep. Deze bedreiging beperkte zich spijtig genoeg niet enkel tot Amerika en al helemaal niet tot enkel de websites van grote ondernemingen (Perlroth&Gelles, 2014). In april van 2014 wordt een minstens twee jaar oude zwakheid ontdekt bij de versleutelingsbibiliotheek OpenSSL. Deze toepassing dient voor de beveiliging in de transportlaag in het TCP/IP-model. Zijn doel is om communicatie over het internet - IP staat voor Internetprotocol - van cryptografie te voorzien. Deze bibliotheek wordt geschat door twee derde van de internet servers ter wereld te worden gebruikt (Wheeler, 2014). Indringers kunnen ermee naar data vissen en de primaire sleutels in handen te krijgen. Eenmaal die in hun bezit zijn, krijgen de aanvallers vrij spel (Codenomicon, 2014). Deze zogenaamde Heartbleed Bug zorgt voor de aantasting van miljoenen websites, webshops en software waaronder netwerktoestellen (PwC, 2014; Symantec, 2015). Ook KMO's en micro-ondernemingen lijden onder het lek. Saas en web platformen die door KMO's worden gebruikt dienden evengoed als doelwit (de Ruiter, 2014). Recentelijk, nadat de Heartbleed Bug is verholpen, is een nieuwe SSL/TLS-zwakheid ontdekt. 'Freak' biedt indringers de kans communicatie te onderscheppen tussen een gebruiker en de website om die daarna te ontcijferen en voor eigen doeleinden te gebruiken (Symantec, 2015).
2
In augustus wordt de grootste bank van de Verenigde Staten slachtoffer van wat wordt beschouwd als de meest gesofisticeerde aanval van 2014. Via een fout in de codering van de website dringen aanvallers binnen, waarna ze ongemerkt gigabytes aan gevoelige informatie stelen (Robertson&Riley, 2014). Deze zogenaamde 'zero-day attack' heeft rechtstreekse gevolgen voor 76 miljoen huishoudens en 7 miljoen kleine ondernemingen (Silver-Greenberg, Goldstein&Perlroth, 2014).
1.3.
Cybercrime in België
In november 2014 wordt een Belgisch bedrijf gericht op preventie en veiligheid het slachtoffer van een hack waarbij gedreigd wordt gevoelige persoonsgegevens zoals e-mailadressen en rijksregisternummers openbaar te maken (Hordijk, 2014). Zelfs de Federale Overheidsdienst Economie valt ten prooi aan het fenomeen (Van de Velden&Bové, 2014). De bedragen waarover in dit geval gesproken wordt, stijgen boven de miljoenen euro's uit. In april van 2015 blijft de website over het Waalse economische beleid evenmin overeind, wanneer het door het 'Fallaga Team' wordt overgenomen (Bn, 2015). Even verontrustend is de zogenaamde 'Regin' spyware. Dit in 2014 ontdekte stuk spionagesoftware verzamelde zes jaar lang data bij overheidsinstanties en onderzoeksinstellingen.
Figuur 1 : Landen en sectoren geviseerd door Regin-spyware (Symantec, 2014) Hoewel de spyware hoofdzakelijk actief is in Rusland en Saoedi-Arabië, wordt ook België in de statistieken vernoemd. Ernstig hierbij is dat het Amerikaanse IT-beveiligingsbedrijf Symantec de sectorale diversiteit benadrukt. Bijna de helft (48 procent) van de doelwitten zijn private bedrijven en KMO's of kleinere ondernemingen. Symantec vermoedt dat de oorsprong van deze software wegens zijn complexiteit bij een staat ligt in plaats van individuele hackers. Dit vermoeden wordt ondersteund doordat de software enkel tot doel heeft data te ontfutselen en daarnaast geen schade aanbrengt aan het systeem (Symantec, 2014). Volgens de barometer van FOD Economie staat België pas op de 25e plaats (van de 189 landen) wanneer het aantal beveiligde internetservers wordt vergeleken. Met maar 749 beveiligde servers per miljoen Belgen, kan
3
ons land niet tippen aan onder andere Nederland en Luxemburg. Dit houdt overduidelijk een risico in voor bedrijfsgevoelige data.
Figuur 2: Aantal beveiligde internetservers per miljoen personen in 2013 (FOD Economie, 2014) CERT, het federale Cyber Emergency Team, voegt daarenboven onthutsende data toe aan het rapport. Waar er in 2012 165 gerapporteerde, reëel bevonden incidenten per maand waren, klokt 2013 af op 339. Wat deze toename van 105,5 procent nog meer onrustbarend maakt, is dat het aantal incidenten in werkelijkheid nog hoger ligt. In 2014 steeg het aantal incidenten per maand naar 822, een stijging van 142,48 procent tegenover 2013 (CERT, 2015). Volgens de coördinator van de overheidsdienst, Christian Van Heurck, is er sprake van een dubbelwerking. "Uiteraard hebben we ondertussen meer naambekendheid gekregen en melden bedrijven en organisaties daardoor gemakkelijker in alle confidentialiteit bij ons. Maar er zijn simpelweg meer cyberincidenten. En we merken dat ook de kwaliteit van de meldingen is toegenomen. Het gaat steeds meer over complexe incidenten waar meer analyse bij nodig is" (Van Heurck, 2013, p.1). Een gelijkaardige boodschap valt te lezen in de Belgian Cyber Security Guide. Ook daarin wordt gewezen op de toenemende hoeveelheid bedreigingen. Hun geavanceerdheid en efficiëntie neemt inderdaad alsmaar toe. Gelukkig gaat de gewaarwording dezelfde kant op, waardoor bestrijding steeds vaker een reëel gebeuren is (Mennens et al., 2014).
4
2. Vraagstelling en doel van het onderzoek 2.1.
Inleiding tot de vraagstelling
De snelheid waaraan kleine ondernemingen zich aanpassen aan nieuwe IT ligt stukken lager in vergelijking met grote bedrijven. Een rapport van de OECD (OESO) uit 2004 legt de oorzaak hiervoor bij een gebrek aan toepasbaarheid van de nieuwe IT. Daarnaast zorgt de onzekere toekomstige opbrengst van de investering voor een verlaagd enthousiasme. Maar in welke mate zijn deze bedrijven dan wel voorbereid op eventuele indringers? Welke stappen neemt een kleinere onderneming in het kader van beveiliging rekening houdende met haar budget en de knowhow van het personeel? De literatuurstudie omvat drie onderdelen. Hierbij wordt geconcentreerd op besprekingen van de informatiebeveiligingsstandaarden ISO 27001 en ISO 27002. De voorziening van deze standaarden is rechtstreeks gebeurd bij de NBN. Dit zorgt ervoor dat van beide standaarden de meeste recente en volledige versie gebruikt wordt. Daarnaast bevat de literatuurstudie werken in verband met informatiebeveiliging toegepast op KMO's en micro-ondernemingen. Aangezien deze ook onder de grotere noemer van een bedrijf vallen, zijn ten slotte ook algemenere relevante werken over informatiebeveiliging betrokken bij de literatuurstudie. Op basis van een enquête, opgebouwd met behulp van deze literatuurstudie, worden dan antwoorden geformuleerd op de onderzoeksvraag en deelvragen.
2.2.
Doel van het onderzoek
Dit onderzoek dient om een beeld te scheppen over de huidige status van informatiebeveiliging bij KMO's en micro-ondernemingen in Vlaanderen. Gezien het uitgebreid en vaak technisch karakter van deze materie, stelt dit onderzoek zich de vraag hoe kleine ondernemingen dit aanpakken. Het onderzoekt welke middelen worden ingezet om te weerhouden dat dataincidenten voorkomen, waaronder (maar niet beperkt tot): vernietiging, diefstal of wijziging van data. Via het literatuuronderzoek wordt er bepaald welke eenvoudige, praktische richtlijnen deze bedrijven kunnen in acht nemen om hun informatie te beveiligen. Daaraan verbonden bevat het onderzoek een gedeelte over gebeurde incidenten en hoe het getroffen bedrijf dit heeft aangepakt.
2.3.
Assumptie
De pure opsplitsing van de resultaten volgens het aantal werknemers is voor dit onderzoek onvoldoende. Hoewel er een potentieel verband kan bestaan tussen het aantal werknemers en de genomen veiligheidsmaatregelen, is dit niet noodzakelijk causaal. Daarentegen wordt er wel aangenomen dat er een verband zal bestaan tussen de beveiligingsmaatregelen, de hoeveelheid data in een bedrijf en de 5
toegankelijkheid ervan. Binnen een bedrijf met bijvoorbeeld 10 werknemers kan veel meer en veel gevoeligere data circuleren dan in een onderneming die 50 mensen tewerkstelt. Wanneer deze werknemers daarnaast veel verschillende manieren aangeboden krijgen om deze data te raadplegen, neemt het veiligheidsrisico toe. Datavolume bestaat uit twee elementen. Eerst zijn er de bedrijfsdatabanken die het meeste van de data zullen bevatten. Daarnaast vereist het onderzoek ook de hoeveelheid andere data die beschikbaar is. Deze eerder uitgebreide term omvat alle data die logischerwijze niet wordt bewaard in de databanken van het bedrijf. Dit zijn onder andere de tekstdocumenten, scans of mails die lokaal zijn opgeslagen op computers van de werknemers. Hierbij wordt opgemerkt dat ondernemingen hierop in veel gevallen geen precies zicht hebben. Data die niet centraal beheerd wordt, kan zich over de hele onderneming en over verschillende dragers verspreiden. De precieze hoeveelheid ervan bepalen is dus erg moeilijk. De beste oplossing voor dit onderzoek is bedrijven toe te laten een zo precies mogelijke raming te geven. De toegankelijkheid van de data speelt ook een rol. Naarmate de data in het bedrijf op meer manieren kan worden geraadpleegd, wordt verondersteld dat het risico stijgt. Toegankelijkheid wordt in dit onderzoek opgesplitst in drie delen. Data kan persoonlijk zijn en enkel te raadplegen op de toestellen waarop de data is opgeslagen. Ten tweede kan data centraal worden beheerd zoals de bedrijfsdatabanken. Ten slotte is er de netwerktoegankelijke data die door iedereen kan worden geraadpleegd zolang die partij daarvoor toegang werd verleend. Aangezien centraal beheerde data veelal ook raadpleegbaar is via toegang tot het netwerk, zal dit overlappen. Dit besluit is enerzijds louter een veronderstelling, maar wordt ook ondersteund door Comer (2009). De eventuele opmaak van een veiligheidsbeleid hangt namelijk niet af van het aantal werknemers, maar van de waarde van de informatie. De hiermee gepaarde complexiteit kan niet omvat worden door louter een opdeling te maken in het aantal werknemers. Daarom bevat dit onderzoek, en de enquête, de assumptie dat datavolume en -toegankelijkheid een rol zullen spelen bij de genomen maatregelen. Deze aanname maakt het onderzoek uniek aangezien het nog niet voorkomt in de huidige wetenschappelijke literatuur.
2.4.
Hoofdvraag en -deelvragen
2.4.1. Hoofdvraag De centrale hoofdvraag luidt: "Met welke beveiligingsmaatregelen op basis van de ISO 27K-normen beschermen KMO's en microondernemingen in Vlaanderen hun informatie?"
6
2.4.2. Deelvragen De deelvragen die met dit onderzoek zullen worden beantwoord zijn: Is er een verband tussen de bedrijfscultuur en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen? Is er een verband tussen de datavolumes en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen? Is er een verband tussen de datatoegankelijkheid en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen?
2.4.3. Hypothesen H1: Er is een significant, positief verband tussen de bedrijfscultuur en de genomen maatregelen. H2: Er is een significant, positief verband tussen het datavolume en de genomen maatregelen.. H3: Er is een significant, positief verband tussen de datatoegankelijkheid en de genomen maatregelen.
3. Literatuurstudie De volgende literatuurstudie heeft tot doel een beeld te vormen over informatiebeveiliging bij KMO's en micro-ondernemingen in Vlaanderen. De lijst van maatregelen die wordt aangelegd, vertrekt van onderdelen van de ISO 27001 en 27002 normen. Eenmaal deze onderdelen zijn gekozen, gaat de literatuurstudie verder met de bespreking van de beveiligingsvereisten die op die delen van de ISO-norm van toepassing zijn. De aanpak dient zo toegankelijk mogelijk te zijn. Doordat de focusgroep van dit onderzoek de KMO en micro-onderneming is, wordt een te technische vragenlijst op die manier vermeden. Binnen deze bedrijven zou er mogelijk geen kennis zijn om de vragen volledig en correct te beantwoorden, waardoor de stimulus om deze in te vullen wegvalt. Respons zou louter ontstaan, omdat de onderneming die richtlijnen toepast. Dit zou leiden tot een vervormd resultaat. Er wordt dus zoveel mogelijk gestreefd naar een lijst van praktische richtlijnen om enerzijds de respons te maximaliseren en anderzijds ook de onderneming zelf van een bruikbaar inzicht over zijn beveiliging te voorzien.
7
3.1.
Definitie van een KMO en een micro-onderneming
Deze studie richt zich enkel tot Vlaamse ondernemingen die voldoen aan de Europese definitie van een KMO of micro-onderneming. De definitie, vastgelegd in de aanbeveling van 6 mei 2003 deelt de ondernemingen in op basis van aantal werknemers en balanstotaal of jaarlijkse omzet (Pb. L,2003).
Categorie van bedrijf
Werknemers
Omzet
of
Balanstotaal
Middelgrote onderneming/Middenbedrijf
< 250
≤ € 50 m
≤ € 43 m
Kleine onderneming/kleinbedrijf
< 50
≤ € 10 m
≤ € 10 m
Micro-onderneming/microbedrijf
< 10
≤€2m
≤€2m
Tabel 2: Indeling van bedrijven volgens de Europese aanbeveling van 6 mei 2003 (Pb. L, 2003)
3.2.
De rol van KMO's en micro-ondernemingen in de economie
Sinds de laatste meting (2008) behoort 99,8 procent van alle Europese niet-financiële bedrijven toe aan de gebruikte definitie van een KMO. Verder zijn 92 procent van alle bedrijven in Europa micro-ondernemingen. De laatste cijfers van Eurostat tonen aan hoe belangrijk KMO's zijn voor jobcreatie.
Alle ondernemingen KMO en micro-onderneming Micro-onderneming Kleine-onderneming Middelgrote-onderneming Grote
Aantal ondernemingen
Aantal tewerkgestelden
in miljoenen (in procent) 21.0 (100) 20.9 (99,8) 19.3 (92,0) 1.4 (6,7) 0.2 (1,1) 0.0 (0,2)
135.8 (100) 90.6 (66,7) 39.3 (29,0) 27.9 (20,5) 23.4 (17,2) 45.2 (33,3)
Toegevoegde waarde in miljoen euro (in procent) 45.5 (100) 39.9 (58,6) 34.3 (21,8) 41.2 (18,6) 47.9 (18,2) 56.6 (41,4)
Tabel 3: Aantal tewerkgestelden en toegevoegde waarde volgens soort onderneming (Eurostat, 2008) Bovenstaande tabel geeft duidelijk weer waar de meerwaarde van een KMO en micro-onderneming voor een economie zich bevindt. Volgens de laatste cijfers is twee derde (66,7 procent) van de jobs te situeren bij dit soort ondernemingen. Ook in toegevoegde waarde dragen Europese KMO's meer dan de helft (58,6 procent) bij. In België is de groei in toegevoegde waarde bij KMO's in de niet-financiële sector eerder matig (< 3 procent). Ook het aantal KMO's en tewerkgestelden is in ons land gedaald (tussen -0,05 procent en -3 procent) (Muller, Gagliardi, Caliandro, Bohn,&Klitou, 2014).
8
KMO's zijn typerend voor hun dynamisme. Tussen 2001 en 2006 schommelde de aangroei in Europa tussen 1,2 procent en 1,7 procent per jaar. De volatiliteit bevindt zich bij de jaarlijkse in- en uitstroom, respectievelijk 10 procent en 8,5 procent. Deze geven blijk van continue technologische vernieuwing en meer competitiviteit. Ondernemingen die niet snel genoeg hun productiviteit op peil krijgen, moeten noodgedwongen de markt verlaten (Passerini, Tarabishy&Patten, 2012). Precies door hun dynamisme reageren ze sneller op veranderende bedrijfseisen (ISSA, 2011). Hun aanwezigheid voorziet daardoor ruimte voor innovatie. Grote bedrijven kunnen zich meer concentreren op innovatie door activiteiten uit te besteden aan die KMO's en micro-ondernemingen. Uitbesteden creëert diverse invalshoeken wat op zijn beurt leidt tot betere opportuniteiten om technologische denkpatronen te doorbreken (Thurik&Audretsch, 2001).
3.3.
Eigenschappen van informatie
Informatie omvat alles wat geschreven, gesproken, elektronisch en visueel is (Sharma&Dash, 2012). Het staat opgeslagen op computers en wordt over netwerken verzonden (BSI, 2002). Correct gebruik van informatie ondersteunt het beslissingsproces en versterkt het competitief voordeel (Posthumus, 2006). Zonder die informatie - en de data die er voor nodig is - verliest de onderneming de mogelijkheid om waarde te creëren voor klanten. Zelfs al wordt die informatie of data niet op elk moment benut, leidt het gebrek ervan tot waardeverlies (Whitman&Mattord, 2012). Binnen een onderneming zijn al deze informatiebronnen essentieel (Sharma&Dash, 2012), naast onder andere de hardware en software die errond gebruikt wordt (Humphreys&Plate, 2002). Ook het correct gebruik van die informatie en data is minstens even belangrijk om het succes van een organisatie te verzekeren (Gebels&von Solms, 2001). Een onderzoek bij Belgische KMO's legt in 1998 al vast dat dit correct gebruik van informatie een positief effect vertoont op het succes van het bedrijf (Lybaert, 1998). De mate van informatievergaring versterkt een KMO tegenover de concurrentie en biedt meer kansen op vlak van R&D. Informatie helpt deze ondernemingen met minder personeel of middelen omgaan met dezelfde beslissingen en problemen waarmee grote ondernemingen te kampen hebben (Lybaert, 1998).
3.3.1. De CIA-triad Ongeacht de drager waarop informatie is opgeslagen of de richting van het risico, behoort het aan drie essentiële karakteristieken te voldoen (Gerber&von Solms, 2001; Posthumus, 2006). Al sinds 1999 staan deze omschreven in de BS 7799-standaard, nu ISO 27001 en 27002. Een bedrijf dient de nodige inspanningen te leveren om haar informatie van integriteit, betrouwbaarheid en beschikbaarheid te voorzien (BS 7799, 1999).
9
Door deze eigenschappen in acht te houden, behoudt informatie zijn waarde voor het bedrijf en de relevante stakeholders (Posthumus&von Solms, 2004). Integriteit kan worden gedefinieerd als het behouden van de correctheid en begrijpelijkheid van informatie (ISO, 2014; Stoneburner, Goguen&Feringa, 2002). Informatie mag dus
niet worden aangepast zonder
toestemming of worden beschadigd zodanig dat de inhoud ervan wijzigt voor de gebruiker (Whitman&Mattord, 2012). Een tweede element waaraan informatie altijd moet voldoen is beschikbaarheid. Een persoon of systeem moet in staat zijn de informatie op elk gewenst moment te raadplegen in de gevraagde format (Whitman&Mattord, 2012). Uiteraard moet daar wel de nodige toestemming voor bestaan. Zoals Gerber en von Solms in 2001 verklaren, is deze beschikbaarheid van erg groot belang aangezien het de continuïteit van de processen garandeert. Wanneer informatie niet beschikbaar is op het correcte moment, kan dat leiden tot verkeerde bedrijfsbeslissingen en de organisatie, groot of klein, ernstige schade aandoen (Gerber&von Solms, 2001; Stoneburner, Goguen&Feringa, 2002). Zeker in het geval van kleine ondernemingen is beschikbaarheid belangrijk, aangezien er potentieel minder infrastructuur bestaat om op terug te vallen (Spinellis, Kokolakis & Gritzalis, 1999). Ten slotte is vertrouwelijkheid misschien het meest essentiële en meest besproken aspect van informatie. Gezien het cruciale karakter van informatie voor het succes van de organisatie kan verlies of ongewenste verspreiding leiden tot immense schade voor de onderneming (Gerber&von Solms, 2001). Daarom zijn maatregelen, zoals cryptografie, nodig om toegang te beperken tot diegene met de nodige rechten (Whitman&Mattord, 2012). De huidige versies van deze ISO-normen focussen minder op deze aspecten dan voorheen. Hoewel ze belangrijk blijven, wordt het bedrijfsperspectief meer in aanmerking genomen (Sharma&Dash, 2012). De keuze van de richtlijnen ligt nu dus meer bij het bedrijf zelf. Zo kunnen ze aangepast worden aan de specifieke bedrijfssituatie.
3.4.
Nut van informatietechnologie
Al sinds 1985 werd het duidelijk dat de technologie die deze informatie omringd voordelen zou bieden voor het ondernemingslandschap. Met behulp van die technologie kan namelijk elke stap in de waardeketen worden gemaximaliseerd (Bhatt&Grover, 2005; Posthumus, 2006). Deze maximalisatie heeft een uitwerking op zowel het product als het ermee verbonden proces. IT ontwikkelt steeds sneller waardoor ondernemingen voortdurend verbeteringen aanbrengen aan de twee elementen. Dergelijke technologie, waaronder ook ebusiness applicaties zoals EDI, SCM en geautomatiseerde dataverzamelingssystemen, helpt ook bij het managen van informatie en het nemen van beslissingen (Posthumus, 2006). 10
Het resulteert in lagere transactiekosten terwijl het de betrouwbaarheid van die informatie verhoogt (OECD, 2004; Passerini et al., 2012). Het nut van deze verbeteringen wordt in vraag gesteld. Investeringen in informatietechnologie hebben geen of weinig invloed op de productiveit als alle andere ondernemingen gelijklopend mee investeren. Meer recentelijk daarentegen werd dit verband toch teruggevonden en bestaat er een algemene consensus: investeringen in IT hebben wel degelijk het potentieel om ondernemingen een uniciteit en een competitief voordeel te bieden. Gebruik van IT steunt met andere woorden ondernemingen in hun zoektocht naar groei (Bhatt&Grover, 2005; Eloff&von Solms, 2000; OECD, 2004). Naast de uniciteit en het competitief voordeel creëert informatietechnologie nieuwe en kwaliteitsvollere data. Er ontstaan nieuwe, snellere en betere analysetechnieken voor de onderneming. Machines produceren met meer precisie, flexibiliteit en snelheid. De samenwerking met andere processen en partners kan daardoor beter worden gecoördineerd (Porter&Millar, 1985). Door de hogere competitiviteit is het des te belangrijker informatie van hoge kwaliteit toe te kunnen passen op de strategie van een bedrijf (Fulford&Doherty, 2003). Hiervoor is informatietechnologie perfect geschikt. Unieke IT en geoptimaliseerd gebruik ervan bevoordeelt namelijk de positie die een onderneming in een industriële context inneemt (Bhatt&Grover, 2005). Dit voordeel wordt door bedrijven benut in de vorm van extra bedrijfswaarde en grotere tevredenheid voor zowel de aandeelhouders en investeerders (Posthumus&von Solms, 2004). Ondernemingen zijn daarnaast veel makkelijker in staat te communiceren met alle betrokken partijen (Posthumus, 2006; Passerini et al., 2012). Zeker bij kleine ondernemingen biedt die technologie, waaronder het internet, een manier om hun geografische scope te vergroten (Keller, Powell, Horstmann, Predmore&Crawford, 2005; Gupta&Hammond, 2005). Ze kunnen sneller en beter op de markt reageren door die verbeterde communicatie. Als de markt vooruit wil, zullen deze bedrijven deze evolutie kunnen en vaak moeten volgen om hun competitieve positie te behouden (Levy, Powell&Yetton, 2001). De overtuiging bestaat echter dat deze voordelen in sterkte afnemen. De technologie wordt steeds sneller door de concurrentie overgenomen of zelfs verbeterd. Het tegenargument bepaalt dat ondanks deze imitatiestrijd er toch voordeel kan gehaald worden uit IT-investeringen. Als een bedrijf letterlijk een investering nadoet, verliest het de optimalisatie aan de bedrijfsstructuur die bij de eerste onderneming is gebeurd (Kettinger, Grover, Guha&Segars, 1994).
11
De voordelen van IT voor kleine ondernemingen, zoals KMO's, worden door Passerini et al. (2012) samengevat in vijf hoofdstukken:
Leveranciers: snellere communicatie en lagere kosten (OECD, 2004)
Productie: management van inventaris, snellere prototyping
Marketing en sales: e-commerce, online marketing en website optimalisatie
Klanten: interactie met klanten
Intern management: betere planning, betere samenwerking en integratie (Passerini et al., 2012).
3.4.1. Adoptie van IT door kleinere ondernemingen Ondanks de voordelen die IT biedt, blijft het voor kleine ondernemingen moeilijk om die IT te implementeren aan hetzelfde tempo als grote bedrijven. Voor kleine bedrijven is de IT minder geschikt of is het minder duidelijk welke meerwaarde die biedt aan de huidige bedrijfvoering, waardoor vertrouwen verminderd (OECD, 2004). Het onderzoek van Lee & Xia in 2006 voegt hier echter een kritische analyse aan toe. Enerzijds wordt aangetoond hoe kleine ondernemingen minder IT budget, minder personeel en expertise bezitten om aan IT-adoptie te doen (Thong & Yap, 1995 in Lee & Xia, 2006). Anderzijds zijn kleine ondernemingen meer flexibel door de dichtere samenwerking (Mintzberg, 1979 in Lee & Xia, 2006). De auteurs concluderen echter dat er effectief een positieve relatie bestaat tussen de grootte van de onderneming en de adoptie van IT.
3.5.
Definitie van informatiebeveiliging
Dit onderzoek maakt gebruik van de definitie voorgesteld door Anderson in 2003 als reactie op het destijds ontbreken ervan. Informatiebeveiliging is: "A well-informed sense of assurance that information risks and controls are in balance" (Anderson, 2003, p. 310). Deze definitie sluit het best aan bij het doel van dit onderzoek, aangezien andere mogelijke omschrijvingen van het begrip ofwel onvolledig of te vaag zijn. Hoewel de CIA componenten van informatie van belang zijn, kunnen ze niet als enige aspecten worden beschouwd. Definities die louter hierop zijn gebaseerd, verliezen draagkracht in het correct omkaderen van wat informatiebeveiliging inhoudt en wat het niet inhoudt (Anderson, 2003). De gebruikte definitie is gericht op het begrip 'assurance' of verzekering en de subjectiviteit dat dit begrip met zich meebrengt. Er bestaat geen schoolvoorbeeld van een beveiliging dat in elke onderneming kan worden geïmplementeerd. Het gaat erom dat de bedrijfsleider en het personeel er vertrouwen in hebben dat de genomen maatregelen in voldoende balans staan met de risico's waaronder de onderneming kan lijden (Anderson, 2003). Deze definitie biedt een kritische noot aan de vragenlijst, of elke vragenlijst rond dit onderwerp. Omdat het gaat om vertrouwen, en dus subjectiviteit, is geen enkele lijst van richtlijnen perfect of geoptimaliseerd. 12
3.6.
Redenen voor nood aan informatiebeveiliging
Het doel van informatiebeveiliging wordt door von Solms gedefinieerd als: "to ensure business continuity and minimise business damage by preventing and minimising the impact of security incidents" (1998, p. 245). Schade die het bedrijf zou oplopen door IT-incidenten wordt met behulp van informatiebeveiliging dus vermeden of geminimaliseerd (Humphreys&Plate, 2002; Saint-German, 2005; Posthumus, 2006). Het probleem hierbij is dat ondernemingen eerst gewezen moeten worden op de kost van een IT-incident voor ze beslissen kwaliteitsvolle veiligheidsmaatregelen te implementeren (Mallary, 2013). Dit fenomeen is heel ernstig. IT-incidenten hebben namelijk geen maximumgrens op de mogelijke schade die ze kunnen aanrichten (Anderson, 2003).
De nood aan informatiebeveiliging wordt daarom meerdere malen benadrukt
(Whitman&Mattord, 2012 ; Eloff&von Solms, 2000; Posthumus&von Solms, 2004; ISSA, 2011; Mennens et al., 2014; PwC, 2014). Ook voor kleine ondernemingen is de bescherming van informatie minstens even belangrijk als de informatie zelf (Wills, 1999; Sustanto, Almunawar&Tuan, 2011). Het is net die bescherming van informatie die jaar na jaar moeilijker wordt. Bedreigingen nemen alsmaar in complexiteit en efficiëntie toe (Mennens et al., 2014). Ze slagen erin elke zwakheid van elk menselijk of technisch element te misbruiken om de informatie van een onderneming in handen te krijgen (Keller et al., 2005). Volgens 'The Global State of Information Security Survey 2015' van PwC is informatiebeveiliging inderdaad meer dan ooit essentieel. De jaarlijkse bevraging van meer dan 9700 IT-kaderleden toont een toename van incidenten aan van 48 procent ten opzichte van 2013. Waar er vorig jaar 28,9 miljoen gedetecteerde incidenten waren, zijn er dit jaar 42,8 miljoen. Zoals PwC opmerkt zijn deze cijfers een te lage inschatting van het werkelijke cijfer, aangezien veel ondernemingen een incident niet merken of rapporteren (PwC, 2014; Mennens et al., 2014). Daarbij komen ook de pogingen die niet succesvol zijn, wat het totaal nog meer doet stijgen. Deze mogelijkheden worden met onderstaande figuur visueel verduidelijkt.
Figuur 3: Eigenschappen van gerapporteerde cijfers rond incidenten (Soo Hoo, 2000) 13
3.6.1. Aanwezigheid en complexiteit van IT Het gevolg van de toegenomen aanwezigheid van IT voor opslag, verwerking en overdracht van waardevolle informatie verklaart de nood aan informatiebeveiliging (Yildirim, Akalp, Aytac&Bayram, 2011; Mennens et al., 2014). Informatie- en telecommunicatiesystemen nemen steeds meer in complexiteit toe door de hoge eisen waaraan ze worden verwacht te voldoen waaronder efficiëntie, gebruiksgemak en veiligheid. En hoewel deze technologieën verbeteringen aanbrengen, houden ze ook nieuwe veiligheidsproblemen in (Atay&Masera, 2011; Disterer, 2013). Deze problemen moeten dus duidelijk afgewogen worden tegen de voordelen, waarna gepaste beveiligingsmaatregelen genomen moeten worden. Maar om met die complexiteit om te kunnen blijven gaan, is steeds vaker een hoog kennisniveau vereist (Mennens et al., 2014) Naarmate de hoeveelheid opgeslagen data toeneemt, hetzij financieel, persoonlijk of operationeel, stijgt de kans op massaal beveiligingsfalen. Die toename in data vereist applicaties die op hun beurt dienen geïntegreerd te zijn en zo efficiënt mogelijk moeten functioneren. Daarom staan bedrijven meer onder druk deze applicaties correct van beveiliging te voorzien (Whitman&Mattord, 2012). Van ondernemingen wordt tegelijkertijd steeds vaker geëist dat ze gevoelige informatie verschaffen exact wanneer de tegenpartij het wil (Posthumus&von Solms,2004). Informatie moet steeds beter en sneller beschikbaar zijn, wil het zijn competitief voordeel behouden (ISSA, 2011). Werknemers zijn ook zelf vragende partij. Ze eisen toegang tot hun data vanop hun laptops en mobiele toestellen wanneer zij dat willen. Werknemers dienen dus voortdurende toegang te krijgen tot de informatie die hen in staat stelt productiviteit te verhogen, processen te automatiseren en kosten te besparen (Mallary, 2013). Het is daarom essentieel dat de informatie volledig, nauwkeurig en van hoge kwaliteit blijft.
3.6.2. Verlies van controle Een tweede element dat de nood aan informatiebeveiliging versterkt is het verlies van controle (von Solms, 1999). Het fenomeen waarbij steeds vaker en uitgebreider IT-systemen met elkaar worden gelinkt, creëert een scenario waarin de onderneming niet langer de veiligheid van het systeem kan garanderen. Veelal concentreert een bedrijf zich louter op de beveiliging van de eigen infrastructuur, maar vergeet daarbij dat het in verbinding staat met vaak minder beveiligde andere netwerkstructuren.
14
3.7.
Redenen voor het tekort aan informatiebeveiling bij KMO's en micro-ondernemingen
Dat de problemen zich niet enkel bij grote bedrijven afspeelt is verontrustend (ISSA, 2011). Zoals vermeldt in 3.4.1. bezitten kleinere bedrijven niet dezelfde middelen als grotere. Zowel in de vorm van kapitaal, grondstoffen als personeel zijn de fondsen van dergelijke bedrijven ook vaak ontoereikend om voldoende te investeren om hun IT-infrastructuur compleet te beveiligen (Keller, Powell, Horstmann, Predmore&Crawford, 2005). Hun structuur is eenvoudiger en ontbreekt vaak een IT-departement, training of een IT-manager (Cragg, Caldeira&Ward, 2011). Het Data Breach Investigations Report van Verizon (2011) geeft een oorzaak voor het probleem. Cybercriminelen zien in dat kleine bedrijven, ondanks hun geringere omvang, toch erg bruikbare informatie kunnen bevatten. Recentelijk kiezen ze er dus vaker voor om dit soort ondernemingen binnen te dringen. Volgens het rapport is het risico voor de indringer bij dit soort kleinere aanvallen heel wat lager. Het daaropvolgende rapport van Verizon toont een stabiel patroon aan. Van de 855 verzamelde gevallen wereldwijd, waaronder ook België, waren er 612 of 71,5 procent gericht naar bedrijven met 100 of minder werknemers. Deze aanvallen zijn talrijker, vereisen minder middelen en minder tijd gezien de lagere beveiligingskwaliteit van het doelwit (Verizon, 2013). Over de jaren heen blijft de hoofdreden voor dit soort aanvallen dezelfde. In elk van de rapporten van Verizon keert terug dat het financiële luik van cybercriminaliteit domineert. Gemiddeld is er op globaal niveau een kost van 2,7 miljoen dollar door incidenten op netwerken. Deze cijfers uit het rapport van PwC betekenen een stijging van 34 procent ten opzichte van het jaar ervoor. Voor kleine ondernemingen, bedrijven met een omzet van minder dan 100 miljoen dollar, is de gemiddelde kost 0,41 miljoen (PwC,2014). Wanneer er gesproken wordt over insiders daarentegen, zijn de intenties niet meer hoofdzakelijk gericht op financieel voordeel. Hoewel het de hoofdreden blijft, zijn evengoed nieuwsgierigheid, wraak en zelfs plezier redenen genoeg om te beslissen het bedrijf onwetmatig binnen te dringen. Bij kleine ondernemingen kan dit tot problemen leiden door de grotere focus op aanvallen van buitenaf (PwC,2014). Ook het gebrek aan beleid en procedures maakt kleine ondernemingen kwetsbaarder tegenover insiders (Gupta&Hammond, 2015). Het onderzoek van PwC besluit ook een correlatie tussen de grootte van een bedrijf en haar capaciteit om incidenten te ontdekken. Het probleem ligt bij de continue wisselwerking waaraan aanvallen en tegenmaatregelen onderworpen zijn. Wanneer aanvallen complexer worden, verhogen grote bedrijven hun inspanningen. Deze vereisen nog ingewikkeldere aanvallen, waardoor de tegenmaatregel mee evolueert. Aangezien kleine ondernemingen minder snel deze cyclus doorlopen, verschuiven indringers hun focus (PwC, 2014).
15
Kleine ondernemingen zien zich onterecht als onbelangrijk voor indringers, terwijl ze vaak dienen als contactpunt met andere, eventueel grotere bedrijven (PwC, 2014). Het laatste onderzoek van Symantec bevestigt deze trend. Bij 60 procent van de gerichte aanvallen zijn kleine en middelgrote ondernemingen het doelwit (Symantec, 2015). Deze ingesteldheid vertaalt zich naar een zorgwekkende daling in investeringen in ITbeveiliging. In vergelijking met 2013 is het geïnvesteerde bedrag voor kleine ondernemingen met 20 procent gezakt (PwC, 2014). Een bevraging van 296 Belgische bedrijven tussen november 2014 en januari 2015 besluit echter het tegengestelde. Daarin rapporteert 34 procent van de respondenten een toename in investering in IT-beveiliging (PwC, 2015). De investeringsdaling gaat ook gepaard met een gebrek aan gedocumenteerde veiligheidsbeleiden en aanstelling van voldoende getraind personeel (Keller et al., 2005; Spinellis, Kokolakis&Gritzalis, 1999). Technische kennis of managementvaardigheden zijn door dit gebrek aan personeel niet voldoende aanwezig (Gupta&Hammond, 2005). Indien wel, dan zijn ze te gespreid over de onderneming (Cragg et al., 2011). Vooral deze ervaren complexiteit van IT-beveiliging maakt het moeilijk om dergelijke beleidsdocumenten op te stellen. Ze zien niet op welke manier ze bedreigd zijn en welke gevolgen dit met zich meedraagt voor de bedrijfsvoering (Keller et al., 2005). Naast het gebrek aan voldoende getraind IT-personeel hebben kleinere bedrijven het ook moeilijk de nodige IT naar zich toe te trekken. Ontwikkelingen in nieuwe technologieën zijn voor hen een te grote financiële last (Passerini et al., 2012).
3.8.
Gevolgen van het tekort aan informatiebeveiliging
Door de beveiliging niet tijdig aan te passen aan de nieuwste bedreigingen, verliest het bedrijf de capaciteit om hieraan een kwaliteitsvol antwoord te bieden. Dit leidt initieel tot financiële verliezen. Via een analyse van de huidige beveiligingssituatie en -kwaliteit zijn volgende investeringen gerichter, doeltreffender en verlaagt het financieel risico (PwC, 2014). Toch ervaren werknemers een toename in beveiligingsmaatregelen als hindernis voor hun productiveit. De implementatie van een nieuwe maatregel zorgt namelijk voor extra tussenstappen. Deze ervaring is bij kleine ondernemingen echter minder voelbaar dan bij grote (Mallary, 2013). Omdat werknemers de onderliggende technologie niet begrijpen of kennen, is hun visie op de maatregel verstoord. Ze verzetten zich terwijl ze onvoldoende kennis over de reden van de maatregelen hebben. Des te meer zorgt dit gebrek aan technische kennis voor problemen, wanneer ook de gevolgen van het niet toepassen van de veiligheidsmaatregelen niet wordt ingezien (Mallary, 2013). Onder andere het in 2014 gepubliceerde rapport van Symantec en in 2015 gepubliceerde rapport van PwC maken duidelijk welke problemen nog verbonden zijn met een datainbreuk.
16
3.8.1. Voor de klant
Aantasting van online accounts: een indringer kan met de gestolen gegevens proberen in te breken bij andere accounts van die persoon, zoals zijn bankrekeningen (Symantec, 2014).
Diefstal van identiteit: hoofdzakelijk gericht op de gezondheidssector met ernstige financiële en wettelijke problemen tot gevolg, zoals het aanmaken van valse verzekeringsclaims (PwC, 2015).
3.8.2. Voor de onderneming
Reputatieschade: het verlies van vertrouwen, met verlies van klanten tot gevolg. Dit heeft een negatief effect op de toekomstige groei van de onderneming, waardoor het moraal van werknemers ernstig wordt aangetast (Sharma&Dash, 2012). Zeker kleine ondernemingen kunnnen het verlies van klanten niet aan (Harris&Patten, 2014). Het onderzoek bij 296 Belgische bedrijven toont aan dat reputatieschade door 40 procent van de bedrijven als ergste gevolg wordt beschouwd (PwC, 2015).
Kosten na het opstarten van een rechtszaak: klanten (of andere betrokkenen) die de onderneming in gebreke stelt waarbij gewezen wordt op het tekort aan beveiliging (PwC, 2015).
Kosten voor de detectie en remediëring van de inbreuk (Symantec, 2014). Volgens 20 procent van de respondenten in de PwC studie heeft dit de grootste impact (PwC, 2015).
Stilleggen van de bedrijfsactiviteit. 20 procent van de Belgische bevraagden ervaart dit als het grootste nadeel (PwC, 2015).
Boetes door non-compliancy (Lambo, 2006).
Verlies van competitiviteit: eenmaal gevoelige informatie terecht komt bij concurrentie, verdwijnt enig competitief voordeel dat deze informatie aan de onderneming bood (Sharma&Dash, 2012).
3.9.
Diefstal van R&D, prototypes of processen (PwC, 2014).
Risk management
Een onderneming is niet in staat adequate veiligheidsmaatregelen toe te passen als het niet weet waartegen het zich moet beschermen (Humphreys, 2008). Daarvoor zal de onderneming onder andere moeten bepalen welke systemen ze gebruikt en wat de waarde ervan is om nadelen (ut supra) te vermijden.
17
Informatiebeveiliging is dan ook meer een managementtaak dan een technische kwestie (von Solms&van Niekerk, 2013). Er moet nagedacht worden over de kost en impact van een verstoring, in plaats van louter het technische aspect te beoordelen (Whitman&Mattord, 2012; PwC, 2014). De BCSG van het B-Ccentre omschrijft dit praktisch als: "uw veiligheidsinspanningen concentreren op de bescherming van de meest waardevolle informatie (Mennens et al., 2014, p.20)". Het vastleggen van de systemen en hun waarde wordt gedaan in de zogenaamde 'security policy' of het veiligheidsbeleid. Aan de hand van dit document kan de onderneming dan de geschikte maatregelen treffen aangepast aan hun grootte (Comer, 2009). Een onderneming kan in het kader van risk management gebruik maken van de formule omschreven door Rainer, Snyder & Carr (1991); Gerber & von Solms (2001); Stoneburner et al. (2002) en Posthumus (2006): Risico = Bezitting x Bedreiging x Kwetsbaarheid waarbij een bezitting datgene van waarde is voor de onderneming om haar competitiviteit te behouden (Posthumus, 2006). Een bedreiging is vervolgens iets (negatief) dat zich kan voordoen. Een kwetsbaarheid ten slotte staat voor de kans op die bedreiging door een tekort in beveiliging van een systeem (Posthumus, 2006). Buzzard (1999) vult deze formule aan met elementen waaronder systeemgrootte, complexiteit en aantrekkelijkheid van de informatie voor de indringer. Elk informatie-element binnen een onderneming is onderhevig aan risico's vanuit drie richtingen. Allereerst zijn de toegangswegen en technologieën die betrokken zijn van groot belang. De informatie kan te raadplegen zijn vanop een netwerk zoals het internet, centraal systeem zoals een databaseserver of enkel vanop de drager van de informatie. Een volgende element is de persoon die de informatie wil raadplegen. Ten slotte zijn er de bedrijfsprocessen waarmee informatie wordt gemanipuleerd (BS 7799, 1999 in Posthumus&von Solms, 2004).
3.9.1. Omgaan met risico Zodra de onderneming heeft beslist welke bezittingen of bedreigingen er zijn, kan ze op vijf manieren met het risico omgaan (Mallery, 2013):
Negeren: beslissen om geen actie te ondernemen zonder voorafgaande analyse.
Aanvaarden: enkel wanneer het risico op een correcte manier is geïdentificeerd kan de onderneming deze beslissing nemen. Enkel dus wanneer er bepaald werd dat de mogelijke gevolgen niet evenredig zijn met de investering die ervoor moet gemaakt worden. Deze actie verschilt van negeren, omdat hier een gegronde reden voor bestaat.
Doorgeven: het gebruik van verzekeringen of een derde partij. Deze beslissing wordt vooral gemaakt als het risico niet kan worden aanvaard, maar de middelen onvoldoende zijn om zich ertegen te beschermen.
Aanpakken: beveiligingsmaatregelen treffen die het risico elimineren of tot een minimum beperken 18
3.9.2. Gebrek aan risk management bij KMO's en micro-ondernemingen Het idee van risico management ontbreekt bij veel KMO's en micro-ondernemingen door het gebrek aan populariteit. Het verstoort namelijk de activiteiten van zowel het management als de werknemers. Daarnaast blijft het voor ondernemingen moeilijk om te berekenen of de investering in beveiliging heeft opgebracht, aangezien een alomvattend model voor een dergelijke berekening ontbreekt (Dimopoulos, Furnell, Jennex&Kritharas, 2006). Deze ondernemingen hebben met andere woorden geen goed zicht op welke maatregelen er mogelijk of nodig zijn. Daarop kunnen de ISO-normen een antwoord bieden.
3.10. ISO 27001 en 27002 3.10.1. Voordelen van de ISO-normen Informatiebeveiliging is moeilijk en kan onmiskenbare kosten met zich meebrengen. Rechtvaardigen dat deze kosten moeten gemaakt worden, is voor kleine bedrijven niet evident. Veelal zal een maatregel maar zijn waarde aantonen wanneer een incident schade heeft aangebracht aan de onderneming (Katsikas, 2013). Deze schade kan veel hogere kosten met zich meebrengen dan de beveiligingsmaatregel (Kenning, 2001). Daarom worden er zowel door private als overheidsinstituten standaarden aangeboden. Ze laten toe informatiebeveiliging van het nodige kwalitatief management te voorzien en de uitgaven tot een minimum te beperken. In dit onderzoek wordt gekozen om de ISO-standaarden (27001 en 27002) te gebruiken voor hun algemeen aanvaard karakter. Dit besluit volgt uit een studie van Susanto, Almunawar & Tuan uit 2011 die de vijf belangrijkste standaarden die vandaag worden gebruikt (ITIL, Cobit, PCIDSS, BS7799 en ISO 27001 et seq) vergelijkt. Het is de ISO-standaard die in het meeste landen (163) wordt toegepast. De redenen hiertoe zijn de eenvoud voor implementatie en de herkenning door stakeholders. Ook de focus van de ISO-standaard op het managementaspect van informatiebeveiliging maakt hem meer geschikt dan de andere. ITIL en COBIT zijn te gericht op de relatie met project management en IT-governance. PCIDSS is te sterk verbonden met bedrijfstransacties (Susanto, Almunawar&Tuan, 2011). Onderstaande figuur biedt een visueel zicht op deze conclusie.
19
Figuur 4: Positie van standaarden met betrekking tot informatiebeveiliging (Susanto, et al., 2011)
Figuur 5: Framework voor IS management (Eloff & von Solms, 2000) Zoals figuur 5 aantoont, biedden de standaarden in hun eerdere vorm al een compleet framework aan om een kwaliteitsvol ISMS te bouwen door te concentreren op zowel het technisch gedeelte als de processen. Dit ISMS versterkt de toekomstperspectieven van het bedrijf (Humphreys, 2011). Het framework biedt de nodige structuur om de processen rond informatiebeveiliging kwaliteitsvol te managen, rekening houdende met opleiding, technologie en het menselijke aspect (Yildirim et al., 2011). Het aangeboden framework is ook niet
20
afhankelijk van bepaalde technologieën of verkopers, waardoor ondernemingen de vrijheid behouden de richtlijnen op de meest geschikte manier toe te passen (Sharma&Dash, 2012; Siponen&Willison, 2009). Ze komen voort uit een organisatie (ISO) die wereldwijd wordt erkend om zijn kwaliteit (Eloff&von Solms, 2000). Het is precies die kwaliteit waardoor ondernemingen zich kunnen vrijwaren van negatieve wettelijke en financiële gevolgen (Disterer, 2013; Lambo, 2006). Het steeds toenemend gebruik en herkenning van de ISO-normen leidt er zelfs toe dat ze als "common language of organizations around the world" worden bestempeld (Humphreys, 2011, p. 11) . Deze definitie houdt in dat de standaarden niet gebonden zijn aan geografische, sectoriële of productgrenzen en de meest omvattende verzameling van richtlijnen uitmaken (Calder&Watkins, 2008). Deze richtlijnen focussen zich niet zomaar op de technologie om informatie te beveiligen. Ze gaan bovenal over mensen en de manier waarop die technologie gebruikt wordt (Kenning, 2001). Zowel bedrijven als overheden kunnen met behulp van de standaarden duidelijk omlijnde en kost-efficiënte beveiligingsmaatregelen implementeren (Gossels&Mackey, 2007). Deze efficiëntie leidt tot betere samenwerking en een positiever imago (Kenning, 2001), waardoor vertrouwen bij de klant en de handelspartners toeneemt (Disterer, 2013; Saint-Germain, 2005). Beveiligingsmaatregelen voor kleine ondernemingen moeten snel, eenvoudig en goedkoop kunnen worden geïmplementeerd en behouden (ISSA, 2011). En ondanks de potentieel afschrikkende omvang van de ISO-standaarden, zijn ze daarvoor toch geschikt (Disterer, 2013). Net om die eigenschappen te behalen, werden de standaarden ontwikkeld met het oog op flexibiliteit (Humphreys, 2008). Barlet & Fomin (2008) merken wel op dat de standaarden in hun huidige vorm niet overal optimaal zijn aangepast. Zeker voor kleine ondernemingen kan de complexiteit, kost en aanpasbaarheid een hindernis zijn om te standaard toe te passen. De voordelen die de standaarden bieden zijn daarentegen groter, waardoor het gebruik ervan verantwoord blijft. De uitgebreide lijst van richtlijnen kan door de onderneming gescreend worden op relevantie waarna enkel de nodige overblijven. Als een onderneming dus besluit dat haar specifieke situatie andere focuspunten vereist, kan het enkel die richtlijnen naleven.
3.10.2. Aandachtspunten bij de ISO-normen Het hoofddoel van de ISO-normen voor bedrijven is de communicatie naar de buitenwereld toe dat ze voldoen aan een internationaal erkende beveiligingsstandaard. De externe certificering bewijst aan alle stakeholders dat de onderneming een hoog beveiligingsniveau hanteert (Sharma&Nash, 2012).
Vooral kleine
ondernemingen hechten hier te veel waarde aan. Het verwachte resultaat weegt echter bij veel KMO's en micro-ondernemingen niet op tegen de gedane investeringen, wat erg doorweegt op de beoordeling ervan (Barlette&Fomin, 2008).
21
Het is de mate waarin veiligheidsincidenten worden geweerd, die de kwaliteit van de ISO-norm bepaalt. Een investering in een dergelijke ISO-norm zonder zichtbaar resultaat wordt als overbodig beschouwd (Sharma&Dash, 2012). De ISO-normen omvatten daarnaast welke stappen een onderneming moet zetten om haar informatie te beveiligen. Waar de ISO-normen moeten bijgestaan worden, is hoe deze stappen moeten genomen worden. Hoewel ISO 27002 een concretere invulling is van de norm die eraan voorafgaat, blijft de focus resultaatsgericht in plaats van procesgericht (Whitman&Mattord, 2012). Sinds de aanpassingen in 2013 is hier echter meer aandacht aan besteedt (ISO, 2014).
3.11. ISO 27001 Dit onderzoek concentreert zich op specifieke onderdelen van de ISO-standaarden. Daarbij primeert het praktische karakter van de vragenlijst gezien het doelpubliek. Hierbij is dus gezond verstand en pragmatiek essentieel (Mennens et al., 2014).
3.11.1. Structuur ISO 27001 is de grondlegger van de ISO 27K standaarden die erop volgen. Elk biedt een aspect van informatiebeveiliging en hoe bedrijven hierin kunnen slagen (Disterer,2013). Deze standaard legt eisen vast die een onderneming in staat stelt een ISMS te implementeren, bijhouden en continu verbeteren. Zo kan de confidentialiteit, integriteit en beschikbaarheid van alle informatie blijven behouden. Een onderneming kan met behulp van de standaard voldoen aan de definitie van Anderson (ut supra). Ook behoort hiertoe de mogelijkheid om de genomen maatregelen te evalueren rekening houdende met de structuur en behoeften van de organisatie (ISO/IEC, 2014). De volgende figuur geeft een overzicht van de domeinen zoals bepaald in de ISO 27001 standaard. Elk van deze hoofstukken keert terug in de ISO 27002 standaard waarin telkens concrete richtlijnen worden aangeboden.
22
Hoofdstuk Domein
Onderdelen
5 Informatiebeveiligingsbeleid
Aansturing door de directie van de informatiebeveiliging
6 Organiseren van informatiebeveiliging
Interne organisatie Mobiele apparatuur en telewerken
7 Veilig personeel
Voorafgaand aan het dienstverband Tijdens het dienstverband Beëindiging en wijziging van het dienstverband
8 Beheer van bedrijfsmiddelen
Verantwoordelijkheid voor bedrijfsmiddelen Informatieclassificatie Behandelen van media
9 Toegangsbeveiliging
Bedrijfseisen voor toegangsbeveiliging Beheer van toegangsrechten van gebruikers Gebruikersverantwoordelijkheden Toegangsbeveiliging van systeem en toepassing
10 Cryptografie
Crytografische beheersmaatregelen
Fysieke beveiliging en beveiliging van 11 de omgeving
Beveiligde gebieden Apparatuur
12 Beveiligen van bedrijfsactiveiten
Bedieningsprocedures en verantwoordelijkheden Beschermen tegen malware Back-up Verslaglegging en monitoren Beheersing van operationele software Beheer van technische kwetsbaarheden Overwegingen betreffende audits van informatiesystemen
13 Communicatiebeveiliging
Beheer van netwerkbeveiliging Informatietransport
Beveiligingseisen voor informatiesystemen Acquisitie, ontwikkeling en onderhoud Beveiliging in ontwikkelings- en ondersteunende processen Testgegevens 14 van informatiesystemen 15 Leveranciersrelaties
Informatiebeveiliging in leveranciersrelaties Beheer van dienstverlening van leveranciers
Beheer van 16 informatiebeveiligingsincidenten
Beheer van informatiebeveiligingsincidenten en -verbeteringen
Informatiebeveiligingsaspecten van 17 bedrijfscontinuïteitsbeheer
Informatiebeveiligingscontinuïteit Redundante componenten
18 Naleving
Naleving van wettelijke en contractuele eisen Informatiebeveiligingsbeoordelingen
Tabel 4: Annex A ISO 27001 (ISO, 2014)
3.11.2. Wijzigingen: ISO 27001:2005 naar 27001:2014 De wijzigingen aan de ISO-norm werden onvermijdelijk. De digitale omgeving waarin ondernemingen aan bedrijfsvoering doen, is over de voorbije acht jaar drastisch en onherroepelijk veranderd. Deze veranderingen leiden tot nieuwe, meer geavanceerde bedreigingen die erop uit zijn data in handen te krijgen. Niet enkel neemt de complexiteit van de aanval toe, ook de hoeveelheid gestolen data is gestegen (PwC, 2014). Deze twee aspecten verplichtten ISO om hun standaard te herzien en deze opnieuw aan te kunnen bieden als efficiënt schild voor ondernemingen in hun strijd tegen indringers (BSI,2013; ISO/IEC, 2014).
23
ISO 27001 is sinds de laatste aanpassing niet meer gestructureerd rond de PDCA-aanpak. De focus is echter verschoven naar de prestatie van de ISMS en het permanente karakter van de evaluatie. De nadruk wordt gelegd op het feit dat verbetering voortdurend moet worden nagestreefd (BSI, 2013; ISO/IEC, 2014). De consequentie is dat ondernemingen een beter geschikte manier kunnen gebruiken naargelang het groeipatroon en structuur van de organisatie. Empirisch is gebleken dat bedrijven de standaard vaker gebruiken als beoordeling om hun beveiliging te verbeteren. Die verbeteringen bevoordelen handel met andere ondernemingen aangezien het wederzijds vertrouwen toeneemt (Buzzard, 1999). De certificeringsmogelijkheid speelt daar een minder cruciale rol (Gossels&Mackey, 2007). Ondernemingen gebruiken de standaard als verzameling richtlijnen gericht op de bedrijfsactiviteiten. Daarom is voor dit onderzoek ISO 27002 belangrijker dan ISO 27001 aangezien die laatste vooral op certificering is gericht (Gossels&Mackey, 2007).
3.12. ISO 27002 Dit onderzoekt richt zich op specifieke onderdelen van de standaard. Ten eerste is het onmogelijk elk aspect en elke richtlijn te controleren. Daarvoor zou de enquête veel te uitgebreid worden, wat helemaal niet geschikt is voor de doelgroep. Gezien het lager aantal werknemers en het frequent gebrek aan specifiek IT-opgeleid personeel, hebben KMO's en micro-ondernemingen minder tijd of kennis om een dergelijk omvangrijke vragenlijst in te vullen. Daarnaast zijn er maatregelen die helemaal niet relevant zijn voor dit soort kleinere bedrijven. Er wordt een set van richtlijnen bepaald die zoveel mogelijk op elkaar inwerken (ISO, 2014). Ten slotte zorgt een focus op bepaalde gedeelten van de standaard voor een gedetailleerder beeld op net die onderdelen. Het is door bepaalde hoofdstukken te filteren uit de standaard, dat de enquête zo praktisch mogelijk kan worden gehouden en daarmee handelbaar voor de respondenten. De keuze werd gemaakt om de bedrijven te bevragen over onderstaande elementen:
24
Hoofdstuk
Domein
Onderdelen
Richtlijnen
6 Organiseren van informatiebeveiliging
Mobiele apparatuur en telewerken
7 Veilig personeel
Voorafgaand aan het dienstverband Tijdens het dienstverband
8 Beheer van bedrijfsmiddelen
Verantwoordelijkheid voor bedrijfsmiddelen Informatieclassificatie Behandelen van media
9 Toegangsbeveiliging
Bedrijfseisen voor toegangsbeveiliging Beheer van toegangsrechten van gebruikers Gebruikersverantwoordelijkheden Toegangsbeveiliging van systeem en toepassing
10 Cryptografie
Crytografische beheersmaatregelen
25
Registratie van mobiele apparatuur Beperking van installeren van software Patches Cryptografische technieken Bescherming tegen malware Op afstand onbruikbaar maken, wissen Back-ups Eisen voor softwareversies Toegangsbeveiligingsmaatregelen Scheiding van privé- en zakelijk gebruik Verantwoordelijkheden van de medewerker Instruëren over informatiebeveiligingsrollen en -verantwoordelijkheden Schendingen of procedures met betrekking tot informatiebeveiliging kunnen melden Opleiding en training met betrekking tot informatiebeveiliging Aanvaardbaar gebruik van bedrijfsmiddelen Teruggegeven van bedrijfsmiddelen Classificatie van informatie Inhoud verwijderen als herbruikbare media de organisatie verlaat Goedkeuring verkrijgen om media te verwijderen Opslag in een beveiligde omgeving Cryptografie Registratie van verwijderbare media Informatiebeveiligingsniveaus en -classificatie Scheiding van rollen Periodiek beoordelen van toegangsrechten Intrekken van toegangsrechten Blacklist Whitelist Unieke gebruikersidentificaties Periodiek identificeren en verwijderen van overbodige accounts Controle van verleend toegangsniveau Vertrouwelijk omgaan met authenticatie-informatie Geen registratie van authenticatie-informatie Wijzigen van default wachtwoorden Wachtwoorden niet enkel woorden, cijfers of letters Wachtwoorden lang genoeg Menu's verschaffen voor toegang tot systeemfuncties Geen zichtbare wachtwoorden Vereist beschermingsniveau bepalen op basis van een risicobeoordeling Gebruik van versleuteling op alle bedrijfsmiddelen
12 Beveiligen van bedrijfsactiveiten
Bedieningsprocedures en verantwoordelijkheden Beschermen tegen malware Back-up Verslaglegging en monitoren Beheersing van operationele software Beheer van technische kwetsbaarheden Overwegingen betreffende audits van informatiesystemen
13 Communicatiebeveiliging
Beheer van netwerkbeveiliging Informatietransport
Ongeautoriseerde software verbieden Website blacklist Website whitelist Anti-virus Anti-malware Voldoende frequente en omvangrijke back-ups Beveiliging van back-ups Cryptografie van back-ups Back-ups niet bewaren op bedrijfsterreinen Technologie voor de beveiliging van netwerkdiensten, zoals authenticatie, codering en beheersmaatregelen Procedures voor het gebruik van netwerkdiensten Anti-malware Verantwoordelijkheden van personeel vb. Kettingbrieven, onbevoegde inkopen Cryptografische technieken
Tabel 5: Richtlijnen op basis van Annex A en ISO 27002 (ISO, 2014)
26
4. Methodologie De literatuurstudie leidt tot de vragenlijst die wordt voorgelegd aan de respondenten. Het theoretisch kader dat daarvoor wordt gebruikt ontstaat met behulp van de ISO 27K-standaarden. Verschillende persoonlijke en overheidsinstanties zoals de OECD en Unizo verplaatsen hun focus meer naar de informatiebeveiligingsproblematiek van onze hedendaagse technologische maatschappij. Het is dus noodzakelijk een conclusie te kunnen trekken over een grote verzameling ondernemingen. Hiervoor is een enquête de best passende ondervragingsmethode. Kiezen voor een vragenlijst bevat positieve en negatieve punten. De oorzaak van de negatieve punten ligt vooral bij de evenwichtsoefening die moet gemaakt worden tussen het verzamelen van genoeg respons en de kwaliteit van de resultaten. Aangezien informatiebeveiliging een onderwerp is waarmee alle KMO's en micro-ondernemingen gebaat zijn, wil dit onderzoek een besluit kunnen trekken over al die bedrijven in Vlaanderen. Werken met case-studies, hoewel erg interessant, is hier dus niet aan de orde. Volgens de laatste cijfers van Unizo waren er in 2012 571.839 KMO's actief. Een enquête is dus de eenvoudigste en doeltreffendste manier om deze omvangrijke populatie te bereiken.
4.1.
Voordelen van de gekozen ondervragingstechniek
4.1.1. Voor de onderzoeker Ten eerste moeten bedrijven niet persoonlijk worden benaderd, noch telefonisch noch fysiek. Dit levert een tijdsbesparing op. Het beschikbare tijdskader is een reden waarom case-studies al aan het begin van het onderzoek van de lijst met mogelijkheden werd geschrapt. Naast de tijdsbesparing is het potentiële bereik van een vragenlijst veel groter. Aangezien de enquête online wordt verstuurd, zijn hier geen fysieke grenzen aan verbonden. Enkel zo kunnen ondernemingen over heel Vlaanderen worden gecontacteerd. Een derde voordeel is de verwerking van de gegevens. De gebruikte internettoepassing laat toe de online ingevulde vragenlijst onmiddellijk te exporteren naar een eenvoudig in te lezen en te analyseren format. Ten slotte is een online vragenlijst volledig kosteloos. Zowel voor de verzameling als het bereiken van respondenten hoeft er zo niets te worden uitgegeven. 27
4.1.2. Voor de bevraagden Ten eerste krijgt de bevraagde een tijdskader waarin hij of zij gevraagd wordt de enquête te vervolledigen. Zeker in bepaalde sectoren waar het momenteel druk is, zoals de tuinsector, biedt de extra tijd de mogelijkheid aan de onderneming om de enquête op een later tijdstip in te vullen. Onrechtstreeks biedt dit ook een voordeel voor de onderzoeker. Omdat ondervraagden de vrijheid krijgen de vragenlijst in te vullen wanneer het hen past, wordt meer respons verwacht. Vervolgens neemt een vragenlijst minder tijd in beslag dan een uitgebreide persoonlijke bevraging of interview. Opnieuw is dit het meest geschikt gezien het drukke tijdsschema van veel ondernemingen. Uiteraard is het dan wel van groot belang de vragenlijst zelf niet te lang te maken. In het specifieke geval van informatiebeveiling blijkt dit problematisch. Het is namelijk essentieel een allesomvattende vragenlijst op te stellen. Enkel zo kan een correct beeld worden geschapen over de beveiliging van het bedrijf. Dat de enquête via het internet wordt aangeboden is ook positief. Vooral aangezien het overgrote deel van de vragen ja/nee-vragen zijn, wordt er van de onderneming enkel verwacht bolletjes aan te klikken, opnieuw om de tijd voor de ondervraagde tot een minimum te beperken. Ook biedt een online enquête meer de mogelijkheid anoniem te werk te gaan. Zoals ook in de begeleidende mail vermeld, wordt enkel de naam van het bedrijf gevraagd ter controle van de gegevens. Daarnaast is er geen enkele vorm van identificatie vereist. Dit zou ondernemingen sneller moeten aanzetten mee te werken aan het onderzoek.
4.2.
Nadelen van de ondervragingstechniek
Er ontbreekt potentieel belangrijke context bij bepaalde antwoorden. Een online vragenlijst moet beperkt worden in tijd en laat dus weinig ruimte voor nuances. Ook door het gebrek aan persoonlijk contact kunnen antwoorden niet van extra uitleg worden voorzien. Ondernemingen krijgen erg veel bevragingen toegestuurd. Het is dus mogelijk dat hun beleid bepaalt dat aan geen enkele enquête wordt meegewerkt om eerlijk en consequent te blijven. Daarnaast is tijdsgebrek een reden waarom het aantal toegestuurde bevragingen in het nadeel speelt van dit onderzoek. In het geval dat ze toch ingaan op de vraag, zijn ze mogelijk niet bereid hier lang tijd aan te besteden. Maar omdat de enquête volledig dient te zijn om een correct beeld te kunnen vormen, duurt deze toch gemiddeld vijftien minuten. Dit kan ondernemingen afschrikken of demotiveren. Het is de bedoeling dat elke werknemer de vragenlijst kan vervolledigen. Zo kan worden bepaald of de toegepaste regels door de volledige onderneming zijn verspreid en begrepen. Als enkel de eventuele 28
IT-verantwoordelijke weet heeft van de regels, valt het nut ervan te betwijfelen. Toch kan er worden verwacht dat bepaalde respondenten de vragenlijst nog als te complex zullen ervaren of de informatie niet bezitten. De kwaliteit van het gebruikte e-mailadres kan niet gecontroleerd worden. Vooral door de omvang van de lijst is het onmogelijk info@-adressen te vermijden. De vragenlijst kan dus terecht komen bij een personeelslid dat niet is aangewezen voor IT-gerelateerde zaken. Gezien de gevoeligheid van het onderwerp is de keuze voor een enquête potentieel problematisch. Na contact met Unizo blijken bedrijven vaker het invullen van dergelijke vragenlijsten beleidsmatig te verbieden. Hoewel dit enkel kan toegejuichd worden vanuit het standpunt van het onderzoeksdoel, zal dit niet in het voordeel van de respons spelen. Deze problematiek wordt ook opgemerkt door Kotulic en Clark (2004). Na hun onderzoek werd er besloten dat het massaal versturen van vragenlijsten een lage respons tot gevolg heeft als die vragenlijst gevoelige informatie bevraagt. Er is een sterke vertrouwensband of overtuiging nodig vooraleer een onderneming beslist dergelijke informatie te verschaffen (Kotulic&Clark, 2004). Toch gebruikt dit onderzoek wel deze bevragingstechniek. Er wordt weliswaar een lage procentuele respons verwacht, maar door de grootte van de contactlijst zal deze in absolute cijfers hoger zijn. Een volgend nadeel is dat erg kleine ondernemingen (minder dan 10 werknemers) hun inbreng als niet relevant beschouwen. Er wordt verwacht dat dergelijke ondernemingen denken geen deel uit te maken van de doelgroep, hoewel dat zeker het geval is. Daarnaast is de contactpersoon mogelijk niet beschikbaar op het ogenblik dat hij of zij de enquête ontvangt. Het e-mailadres is mogelijk niet meer in gebruik. Dit wordt zo veel mogelijk opgevangen door het nieuwe e-mailadres, als dat wordt verschaft, opnieuw in de maillijst te importeren. Er is een kans dat de onderneming intussen niet meer bestaat. Uiteraard zal hieruit geen respons kunnen worden verzameld. Een laatste nadeel bij deze ondervragingstechniek is dat er geen manier is om er zeker van te zijn dat de gegevens naar waarheid zijn ingevuld. Behalve de naam van het bedrijf bevat de enquête geen identificatiegegevens. In het slechtste geval dus kan een bedrijf de gegevens vervalsen.
29
4.2.1. Oplossing van de nadelen Volgende acties zijn genomen om de nadelen van de bevragingstechniek zoveel mogelijk te minimaliseren. Ondernemingen hebben het te druk: De vragen worden tot een absoluut minimum beperk. Door vooral te werken met vragen waar het antwoord enkel moet worden aangeklikt, wordt een toename in de respons verwacht. Beide elementen worden in de verstuurde mail benadrukt. Aantonen wat de maximale duurtijd van de enquête is, zet meer ondernemingen aan toch de vragenlijst in te vullen. De kwaliteit van het e-mailadres kan niet gegarandeerd worden: De enquête is zo eenvoudig en praktisch mogelijk gemaakt. Moeilijke termen zijn uitvoerig uitgelegd en elke vraag is duidelijk omschreven. Elke werknemer zou dus moeten in staat zijn de enquête in te vullen. Om de mogelijkheid toch op te vangen dat de enquête terecht komt bij een niet-IT-opgeleid personeelslid, worden bij elke vraag de antwoordkeuzes 'Weet niet' en/of 'Niet van toepassing' toegevoegd. De vragen zijn te complex: Waar mogelijk wordt jargon vermeden. Als dit niet mogelijk is, bevat de vraag een inleidend gedeelte waar de termen op een duidelijke manier worden uitgelegd. De vragenlijst werd hiervoor meermaals getest bij personen zonder enige IT-kennis en toch als geschikt ervaren. Daarnaast bevat elke vraag de mogelijkheid 'Weet niet' of 'Niet van toepassing'. Zo hoeft een respondent geen valse informatie te verschaffen. De inhoud is te confidentieel: Dit nadeel kan niet worden geminimaliseerd. Het gaat uiteraard om informatie die veel ondernemingen niet zullen willen vrijgeven. Om ze toch te overtuigen dat de gegevens strikt persoonlijk zijn, wordt de mail verstuurd vanuit het eigen e-mailadres van de onderzoeker. Dit verhoogt het vertrouwen en de authenticiteit van het onderzoek. Ook bevat de mail een apart gedeelte waar gewezen wordt op de strikt confidentiële verwerking van de gegevens. Er wordt daarnaast gebruik gemaakt van de ingebouwde beveiliging van de internetapplicatie waarmee de enquête werd opgesteld. Enkel diegenen die een mail ontvangen, kunnen deelnemen. Ten slotte zijn er de keuzemogelijkheden 'Weet niet' en 'Niet van toepassing'. Deze kunnen ingevuld worden wanneer een respondent niet wenst te antwoorden op de vraag. Een kleine onderneming vindt zich niet relevant voor het onderzoek: In de uitnodigingsmail wordt gewezen op het belang van het onderzoek voor ondernemingen van alle groottes.
30
De contactpersoon is niet beschikbaar: De gebruikte bevragingssoftware laat toe gecontacteerde partijen een herinnering te versturen na een vastgelegd aantal dagen. Personen die initieel niet beschikbaar waren, worden opnieuw gevraagd deel te nemen. Gegevens zijn niet naar waarheid ingevuld: De gebruikte software bevat de mogelijkheid het IP-adres van elke voltooide enquête te bewaren voor controleredenen. Deze optie wordt echter doelbewust niet gebruikt om de anonimiteit te maximaliseren. Er wordt gerekend op de professionaliteit van de bedrijven en hun belang bij de resultaten om geen verkeerde data te verschaffen. Daarnaast wordt er op de correcte manier omgegaan met enige extreme resultaten. De verstuurde mail benadrukt vooral het belang van het onderzoek voor het bedrijf. Hij wijst erop hoe vragenlijst de onderneming kan helpen bij de remediëring van de beveiligingsstatus. Daarnaast bevat de uitnodiging het persoonlijk belang van de onderzoeker en hoe het bedrijf hierin een rol speelt. Tenslotte worden bedrijven gestimuleerd om mee te werken door een samenvatting van de resultaten aan te bieden bij afloop van het onderzoek.
4.3.
Verkrijgen van contactgegevens
Dit onderzoek richt zich tot alle KMO's en micro-ondernemingen in Vlaanderen. Concreet alle bedrijven die voldoen aan de Europese definitie en gevestigd zijn in één van deze vijf gewesten: West-Vlaanderen, Oost-Vlaanderen, Vlaams-Brabant, Antwerpen en Limburg. Omdat de assumptie in dit onderzoek compleet nieuw is, bestaan er geen lijsten die bedrijven volgens datavolume en -toegankelijkheid classificeert. Daaruit volgt dat er eerst aan de hand van het aantal werknemers en de jaaromzet dient te worden geselecteerd. Pas daarna kan de datahoeveelheid en -toegankelijkheid worden bevraagd. Om deze bedrijven te identificeren werd eerst een uitvoerige opzoeking gedaan op het internet. Daaruit werd snel het open data bestand gevonden dat wordt aangeboden door de Kruispuntbank van Ondernemingen. Dit document bleek, ondanks zijn omvang, niet bruikbaar. Er waren namelijk geen gegevens bij opgenomen over het aantal werknemers. Verder contact met de Kruispuntbank van Ondernemingen leverde niets op. Dergelijke gegevens worden daar niet verzameld. Vervolgens werden verschillende instanties gecontacteerd om toch een maillijst te verkrijgen. Bij het begin van deze zoekactie was al duidelijk dat dergelijke persoonsgegevens erg moeilijk te verkrijgen zouden zijn. Dit werd bevestigd aangezien geen van de gecontacteerde instanties de gegevens wilde doorgeven. Bij contact met de Kruispuntbank van de Sociale Zekerheid werd aangegeven welke ondernemingen verantwoordelijk zijn voor de verzameling van de data van de Kruispuntbank zelf. Hierop werd elk van deze 31
ondernemingen gebeld met de vraag een lijst van adressen te verkrijgen. Zoals ut supra waren ook deze bedrijven niet bereid zomaar dergelijke data te verspreiden. De data kon aangeschaft worden, maar de prijs bleek ver boven het budget te liggen. Uiteindelijk werd contact opgenomen met de bibliotheek Queteletfonds, de centrale bibliotheek van FOD Economie. Daar was wel onmiddellijk een lijst van bedrijven beschikbaar. Een gedeelte van deze lijst, volgens de contactpersoon 10 à 11 procent, gaf een e-mailadres op. Deze publicatie in een openbaar document brengt impliciet de toestemming van de bedrijven met zich mee om gecontacteerd te mogen worden. De contactpersoon paste onmiddellijk volgende filter toe op de beschikbare lijst. Deze bevat enkel ondernemingen die:
Een e-mailadres hadden verschaft tijdens het opstellen van de lijst;
Minder dan 250 werknemers hebben;
Een balanstotaal van minder dan 43 miljoen euro hebben of
Een omzet van minder dan 50 miljoen hebben.
Deze lijst bestond uit 35.539 adressen waarvan, na uitfilteren van duplicaten, 34.179 adressen overbleven. Wanneer de lijst is opgesteld is niet bekend. Er kan dus worden verwacht dat e-mailadressen niet meer zullen bestaan. Er is ook een mogelijkheid dat de onderneming niet meer actief is of niet meer tot de definitie van een KMO behoort, maar dit wordt door filters in de vragenlijst geëlimineerd. Een laatste probleem is de filter zelf. De aangeboden adressen bevatten nog bedrijven die niet tot de Vlaamse doelgroep behoren, zoals Brusselse of Waalse ondernemingen. Deze worden manueel uit de lijst verwijderd.
4.4.
Contacteren van de respondenten
Er worden twee contactrondes ingesteld. De eerste ronde bestaat uit 7 dagen waarbij elke dag 5000 mails worden verstuurd. Eenmaal elke respondent is gecontacteerd, start de tweede ronde waarbij een herinnering wordt verstuurd. Elke respondent krijgt dus precies 7 dagen later een herinnering. Op die manier kunnen personen die tijdens de eerste ronde afwezig waren of het te druk hadden toch nog de enquête invullen. De software filtert automatisch de e-mailadressen die niet langer in gebruik zijn of e-mailadressen van respondenten die gebruik maken van de bijgevoegde uitschrijfdienst. Elke andere respondent die niet wenst deel te nemen, werd manueel verwijderd. Na de eerste ronde is het aantal verstuurde mails 33.801. Hiervan zijn er 24.850 succesvol aangekomen. Enkel naar deze adressen werd een herinnering verstuurd. Er is geen manier om te bepalen of een gestuurde mail resulteert in een ingevulde enquête. Daarom bevat de herinnering beide scenario's. Indien de respondent de
32
enquête al invulde, wordt hij bedankt. In het andere geval wordt hij gevraagd alsnog mee te werken aan het onderzoek.
4.5.
Betrouwbaarheid en validiteit van de verzamelde resultaten
4.5.1. Validiteit Het doel van dit onderzoek is te achterhalen of en welke maatregelen KMO's en micro-ondernemingen in Vlaanderen nemen om hun informatie van de nodige bescherming te voorzien. De vragen kaderen binnen de ISO 27K-normen en zijn gefocust rond zeven hoofdstukken. Er wordt dus gemeten wat moet worden gemeten. Er is een kans op het Hawthorne-effect, vooral wanneer naar incidenten gevraagd wordt. Ondernemingen zijn argwanend wanneer ze uitgenodigd worden dergelijke gevoelige informatie te verschaffen. Het kan dus dat die gegevens moedwillig niet zijn ingevuld. Een tweede element dat kan raken aan de validiteit van dit onderzoek is sociale wenselijkheid. Hoewel elke vraag zo neutraal mogelijk wordt gesteld, kan een respondent het 'correcte' antwoord invullen terwijl het bedrijf dit toch niet toepast.
4.5.2. Betrouwbaarheid De populatie voor dit onderzoek is het geheel aan Vlaamse bedrijven die voldoen aan de Europese definitie van een KMO of micro-onderneming. Volgens de laatste cijfers van Unizo zijn dat er 571.839 (Unizo, 2014). Na afloop van de twee bevragingsrondes zijn 24.850 succesvolle mails verstuurd of 4,35 procent. Het onderzoek sluit af met 284 vervolledigde enquêtes of 1,14 procent ten opzichte van het aantal succesvol aangekomen mails. Enige terughoudendheid over de representativiteit van de resultaten is dus op zijn plaats.
4.6.
Enquête
4.6.1. Verplichte elementen De vragenlijst bevat twee identificatiegegevens, waarvan één verplicht is in te vullen. De naam van het bedrijf is noodzakelijk ter controle wanneer getwijfeld wordt over de juistheid van de gegevens. Dit wordt ook gecommuniceerd naar de respondent. Als incentive wordt een samenvatting van de resultaten aangeboden. Het e-mailadres is al gekend, aangezien het in de lijst staat, maar wordt apart gevraagd zou de respondent de samenvatting wensen te ontvangen. Vanaf dan zijn alle vragen verplicht in te vullen behalve het e-mailadres en de provincie. Het e-mailadres hoeft uiteraard niet verschaft te worden als de respondent geen samenvatting wenst te krijgen. Ook de provincie is
33
niet noodzakelijk, aangezien dit onderzoek hier geen onderscheid in maakt aangezien er geen literatuur gevonden werd die op de relevantie ervan wijst. Alle vragen verplicht maken is niet de meest optimale keuze. De combinatie met het aantal vragen speelt dit in het nadeel van het onderzoek. Toch is elke vraag relevant en dient er een antwoord op gegeven te worden. Daarom biedt elke vraag de 'Weet niet' en 'Niet van toepassing'-mogelijkheden, zodanig dat een respondent die niet op de vraag wil antwoorden, dat niet hoeft te doen.
4.6.2. Inhoud van de enquête De vragenlijst is opgebouwd in twee delen, die op hun beurt zijn opgesplitst.
Bedrijfsorganisatie o
Identificatie van de onderneming
o
Aantal werknemers
o
Datavolume- en toegankelijkheid
Informatiebeveiliging en beleid o
Bedrijfscultuur
o
Beleidsmaatregelen
Mobiele apparatuur en telewerken
Verwijderbare media
Toegangsbeveiliging
Cryptografie
Netwerkbeveiliging
Back-ups
Awareness
Deze opdeling geeft de respondent de nodige consistentie en helpt de tijd te minimaliseren. Telkens van vraagsoort afwisselen zou bevraagden kunnen doen afhaken. Elk hoofdstuk bij de beleidsmaatregelen bevat wel een incidentenelement. Enerzijds wordt het onderzoek daardoor van meer data voorzien en anderzijds zorgt het ervoor dat de bevraagde alle vragen grondig blijft lezen.
34
Bedrijfsorganisatie Identificatie van de onderneming Het eerste gedeelte van de enquête zorgt voor de nodige context en identificatie van de onderneming. Hierin wordt gevraagd naar:
de naam van het bedrijf
de bedrijfsvorm
de sector
de provincie
en het e-mailadres van de contactpersoon.
Van deze gegevens zijn enkel de provincie en het e-mailadres niet verplicht. Een onderneming die geen samenvatting wenst te ontvangen, hoeft zo geen extra persoonlijke informatie vrij te geven. Aantal werknemers Vervolgens wordt er gevraagd naar het totaal aantal werknemers. Hoewel op de gebruikte lijst al een filter werd toegepast, kan het aantal intussen zijn gewijzigd. Deze vraag bevat een maximum van 250, volgens de Europese definitie. Bevraagden worden verzocht de enquête te beëindigen als blijkt dat het aantal hierboven ligt. Daarna volgen de vragen:
Wat is het aantal werknemers dat voor bedrijfsdoeleinden gebruik maakt van een o
vaste bedrijfscomputer;
o
bedrijfslaptop;
o
bedrijfstablet;
o
bedrijfssmartphone;
o
PDA van het bedrijf;
o
eigen computer;
o
eigen laptop;
o
eigen tablet;
o
eigen smartphone;
o
eigen PDA;
o
andere?
35
Wat is het aantal werknemers met toegang tot het internet?
Wat is het aantal werknemers dat dient als aanspreekpunt voor IT-gerelateerde problemen of incidenten?
Elk van deze vragen is relevant om te bepalen in welke mate IT verweven zit in de bedrijfsactiviteit. Vooral toegang tot het internet is een doorslaggevende factor om de beveiliging in vraag te stellen. Datavolume- en toegankelijkheid Ten slotte bevraagt dit gedeelte hoeveel data er in het bedrijf circuleert en op welke manieren die toegankelijk is. Dit is een focuspunt in het onderzoek en is dus verplicht in te vullen. Via een inleidende tekst wordt er wel gewezen dat deze cijfers moeilijk te bepalen kunnen zijn. In dat geval wordt gevraagd naar een indicatie. Concreet wordt gevraagd naar:
Het totaal datavolume (in GB) o
Van de bedrijfsdatabanken
o
Van andere bedrijfsdata
Van alle data (in GB) die beschikbaar is in het bedrijf, hoeveel daarvan is: o
Persoonlijke data
o
Centraal beheerde data
o
Netwerk toegankelijke data
Informatiebeveiliging en beleid Bedrijfscultuur Dit onderdeel toetst hoe de onderneming staat tegenover uitspraken in verband met haar bedrijfsvoering en de relatie met het gebruik van IT. Deze vragen kaderen de bedrijfscultuur van de onderneming ten opzichte van IT. Hierbij komen volgende uitspraken aan bod: Bij aantasting van de data zou het bedrijf niet meer kunnen functioneren. Optimalisatie van IT is voor het bedrijf een hoofdzaak. Voortdurende optimalisatie van IT en IT-beveiliging is voor het bedrijf te duur (in geld of tijd). IT-beveiliging is enkel een zaak voor de verantwoordelijke(n) van dat departement. De bedrijfscultuur laat toe te communiceren over IT-incidenten op een constructieve manier. Iedereen in het bedrijf is betrokken en draagt een verantwoordelijkheid bij de beveiliging van informatie. Internet is noodzakelijk voor de bedrijfsvoering. Alle informatie wordt geclassificeerd volgens confidentialiteit, integriteit en beschikbaarheid en daarna geschikt beveiligd.
Tabel 6: Stellingen over bedrijfsvoering in relatie met het gebruik van IT 36
De respondent krijgt bij de uitspraken telkens een 5-punts Likertschaal met als mogelijke antwoorden "Helemaal niet eens, niet eens, neutraal, eens, helemaal eens". Beleidsmaatregelen De volgende onderdelen zijn telkens identiek opgebouwd. Eerst wordt er gevraagd of er een beleid in de onderneming aanwezig is. Daarna volgt een lijst met praktische richtlijnen en de vraag of de onderneming ze toepast. Ten slotte volgt de vraag of er zich al een incident voordeed en of de onderneming hierop reageerde. Mobiele apparatuur en telewerken Het gedeelte over mobiele apparaten en telewerken wordt enkel geactiveerd als er werknemers zijn die er gebruik van maken. Dit is via PHP-code tussen de vragen mogelijk gemaakt. Er wordt besloten dat wanneer een onderneming geen mobiele apparaten (laptops, smartphones, tablets of PDA's) gebruikt, er logischerwijze geen maatregelen rond genomen kunnen worden. In dat geval gaat de enquête automatisch over naar het gedeelte over verwijderbare media. Zoals bij alle onderdelen wordt eerst de ja/nee-vraag gesteld of er een beleid aanwezig is. Ongeacht het antwoord activeert de volgende vraag. Een onderneming heeft potentieel geen gedocumenteerd beleid, maar kan wel actief maatregelen treffen. Dit is van toepassing op alle volgende hoofdstukken. Daarna volgt onderstaande lijst van beveiligingsmaatregelen, waarvoor de respondent telkens de keuzes 'Ja', 'Nee' of 'Weet niet' krijgt. Omdat de respondent voordien al aangaf of er mobiele apparaten in het bedrijf gebruikt worden, is 'Niet van toepassing' hier geen mogelijk antwoord.
37
Elk mobiel apparaat wordt geregistreerd. Het operating system van de mobiele apparatuur wordt strikt bepaald. Wachtwoorden worden versleuteld opgeslagen op het mobiele apparaat. Het gebruikte wachtwoord is verplicht verschillend voor elk ander apparaat, inclusief niet-mobiele apparaten. "Jailbreaking" van mobiele apparaten wordt strikt verboden. Alle mobiele apparaten worden op "jailbreaking" gecontroleerd. Gebruikers krijgen installatierechten (ongeacht de omvang van deze rechten). Voor alle mobiele apparaten bestaat een blacklist die welbepaalde software (zoals apps) verbiedt. Voor alle mobiele apparaten bestaat een whitelist die enkel welbepaalde software (of apps) toelaat. Op elk mobiel apparaat is antimalware geïnstalleerd. Op elk mobiel apparaat is (waar mogelijk) antivirus geïnstalleerd. Persoonlijke en bedrijfsdata worden op elk mobiel apparaat van elkaar gescheiden. Alle data op het mobiele apparaat kan en wordt op afstand verwijderd na een aantal (10 à 15) mislukte inlogpogingen. Elk mobiel apparaat sluit zich automatisch na een periode (2 à 5 minuten) zonder gebruik waarna opnieuw inloggen vereist is. Gebruikers kunnen data op het mobiel apparaat gemakkelijk overdragen naar computers in het bedrijf. Verlies van mobiele apparatuur door de gebruiker moet altijd worden gerapporteerd. Alle mobiele apparaten worden minstens elke maand op updates gecontroleerd. Bij alle mobiele apparaten wordt minstens elke maand elke beschikbare update geïnstalleerd. Mobiele apparaten mogen enkel verbonden worden met computers waarover het bedrijf de controle uitvoert. Alle mobiele apparaten worden op onregelmatige tijdstippen gecontroleerd op naleving de regels
Tabel 7: Richtlijnen bij het hoofdstuk 'Mobiele apparatuur en telewerken' Vervolgens wordt er gevraagd of er zich al een incident voordeed rond het onderwerp. Antwoordt de respondent 'Ja', dan volgt de vraag voor een korte omschrijving van het incident. Daarna wordt gevraagd of er actie werd ondernomen om het incident in de toekomst te vermijden. 'Ja' leidt naar de open vraag: 'Welke actie?'. 'Nee' leidt naar de open vraag: 'Waarom niet?' Antwoordde de respondent 'Nee' op de initiële vraag, dan wordt dit stuk overgeslaan. Deze vragen keren in elk van de volgende hoofdstukken terug.
38
Verwijderbare media Omdat er eerder geen vraag gesteld wordt over het gebruik van verwijderbare media, komt hier wel de antwoordkeuze 'Niet van toepassing' aan bod bij de lijst met maatregelen. Antwoordt de respondent 'Ja' op het opslaan van back-ups op verwijderbare media, dan activeren drie bijhorende vragen. Bij 'Nee' worden die overgeslaan. Enkel door het bedrijf verschafte verwijderbare media kan en mag worden gebruikt. Inhoud van een herbruikbaar medium wordt verwijderd, wanneer het niet meer gebruikt wordt en dus de onderneming verlaat. Goedkeuring is nodig alvorens verwijderbare media het bedrijf mag verlaten. Verwijdering van herbruikbare media uit het bedrijf wordt geregistreerd. Alle media wordt opgeslagen in een beveiligde omgeving. Op alle verwijderbare media wordt cryptografie toegepast. Belangrijke informatie wordt op meerdere verwijderbare dragers opgeslagen. Enkel wanneer nodig laten computers toe verwijderbare media te gebruiken. In alle andere gevallen zijn USBpoorten geblokkeerd of niet actief. Gebruik van verwijderbare media wordt gemonitord op het betreffende toestel. Back-ups worden onder andere opgeslagen op verwijderbare media. De verwijderbare media wordt geregisteerd. De verwijderbare media wordt op werking en kwaliteit gecontroleerd. De verwijderbare media wordt opgeslagen in een extra beveiligde omgeving.
Tabel 8: Richtlijnen bij het hoofdstuk 'Verwijderbare media' Zoals ut supra wordt daarna getoetst naar vroegere incidenten en of er al dan niet actie tegen ondernomen werd.
39
Toegangsbeveiliging Gezien de specifiek hoge gevoeligheid van maatregelen rond toegangsbeveiliging, is de antwoordkeuze 'Niet van toepassing' toegevoegd aan de vraag of er een beleid voor is. Daarna volgt opnieuw een lijst met ja/nee-vragen, met telkens de optie 'Weet niet' en 'Niet van toepassing'. Wordt een log bijgehouden van alle wachtwoorden, activeren twee extra vragen. Gebruikers krijgen elk een toegangsniveau toegewezen naargelang hun nodige toegang tot informatie. Via aangepaste menu's wordt de toegang tot systeemfuncties in lijn gebracht met het toegangsniveau van een gebruiker. Output van informatie is beperkt/aangepast aan het toegangsniveau van elke gebruiker. Elke toewijzing en intrekking van een toegansniveau wordt geregistreerd De correctheid van de toegangsniveau's wordt regelmatig gecontroleerd. Elke gebruiker krijgt een login met wachtwoord. Default wachtwoorden worden verplicht vervangen bij het eerste gebruik. Wachtwoorden zijn in fysieke vorm aanwezig in het bedrijf (papier, post-it,...). Wachtwoorden zijn zichtbaar tijdens het invullen. Toegang wordt onmogelijk gemaakt na een aantal (5 of minder) mislukte inlogpogingen. Een melding geeft aan waar de fout zich bevindt bij een mislukte inlogpoging. Verschillende applicaties vereisen verschillende wachtwoorden. Alle wachtwoorden op systeemniveau (vb. Administrator account) worden minstens elk kwartaal veranderd. Alle wachtwoorden op gebruikersniveau worden minstens elke vier maanden veranderd. Alle wachtwoorden worden geregeld en onverwacht op naleving van de regels gecontroleerd. Elk wachtwoord bestaat uit minstens acht tekens. Elk wachtwoord bevat minstens één hoofdletter. Elk wachtwoord bevat minstens één cijfer. Elk wachtwoord bevat minstens één speciaal teken. Van alle wachtwoorden wordt een log bijgehouden. Het bedrijf maakt gebruik van PIN's als authenticatiemiddel. Het bedrijf maakt gebruik van smarts cards als authenticatiemiddel. Het bedrijf maakt gebruik van irisscans als authenticatiemiddel. Het bedrijf maakt gebruik van stemherkenning als authenticatiemiddel. Deze log is van encryptie voorzien. Deze log wordt gebruikt om hergebruik van vorige wachtwoorden onmogelijk te maken.
Tabel 9: Richtlijnen bij het hoofdstuk 'Toegangsbeveiliging' Zoals bij vorige hoofdstukken wordt hierna gevraagd of zich al incidenten voordeden en of hierop actie volgde.
40
Cryptografie Gelijklopend met de andere hoofdstukken wordt gevraagd naar het beleid, de maatregelen en ten slotte enige incidenten. Opnieuw krijgt de respondent de keuzemogelijkheden 'Nee', 'Ja', 'Weet niet' en 'Niet van toepassing'.
Via risicobeoordeling van alle informatie wordt telkens de nodige sterkte, kwaliteit en het type cryptografie bepaald. Cryptografie op : Laptops van het bedrijf Computers van het bedrijf Tablets van het bedrijf Smartphones van het bedrijf PDA's van het bedrijf Verwijderbare media van het bedrijf Laptops van het personeel Tablets van het personeel Smartphones van het personeel PDA's van het personeel Verwijderbare media van het personeel Bedrijfswebsite Databanken Back-ups Data in virtuele opslag (de 'cloud')
Tabel 10: Richtlijnen bij het hoofdstuk 'Cryptografie'
41
Netwerkbeveiliging De opbouw van dit hoofdstuk is identiek aan alle andere: beleid, richtlijnen en incidenten. Eerst wordt gevraagd of er een draadloos netwerk aanwezig is en of het van beveiliging is voorzien. Daarna volgt de lijst met richtlijnen. Kunnen gebruikers hun e-mailadres voor andere dan bedrijfsdoeleinden gebruiken, activeert een volgende vraag over de scheiding van communicatie. Antivirus op elke vaste computer Antivirus op elke draagbare computer (incl. Tablets en smartphones indien van toepassing) Antivirus op netwerkniveau Antimalware op elke vaste computer Antimalware op elke draagbare computer (incl. Tablets, smartphones, PDA's etc indien van toepassing) Er is een firewall aangewezig op elke vaste en draagbare computer. Er is een firewall aanwezig op netwerkniveau (bij elke communicatie met een extern netwerk). VPN-verbinding IPS (Intrusion Prevention System) IDS (Intrusion Detection System) DMZ (Demilitarized Zone) Updates van alle bovenstaande worden regelmatig (minstens elke twee weken) handmatig op updates gecontroleerd. Updates van alle bovenstaande worden automatisch geïnstalleerd. Het bedrijf voert regelmatig algehele scans uit tegen virussen en malware op alle computers, draagbaar en niet. Spamfilter voor elk gebruikt mailsysteem Gebruikers kunnen hun e-mail account voor andere dan bedrijfsdoeleinden gebruiken. Gebruikers zijn verplicht berichten te encrypten. Gebruikers kunnen geen kettingbrieven versturen. (ja = niet mogelijk) Gebruikers kunnen geen spam versturen. (ja = niet mogelijk) Gebruikers kunnen geen illegale transacties uitvoeren. (ja = niet mogelijk) Gebruikers kunnen geen bestanden van het type .exe, .com, .pif ,.vbs, etc.. versturen. (ja = niet mogelijk) Alle gemailde bestanden worden gescand vooraleer ze kunnen worden geopend. Gebruikers hebben installatierechten. Enkel bepaalde specifieke websites kunnen worden geraadpleegd (whitelist). Alle websites kunnen worden geraadpleegd, behalve diegene vermeld in de lijst (blacklist). Gebruik van captcha's (vb. Bij registratie op de website) Persoonlijke communicatie wordt in het mailsysteem gescheiden van bedrijfscommunicatie.
Tabel 11: Richtlijnen bij het hoofdstuk 'Netwerkbeveiliging'
42
Back-ups De opbouw is identiek als die van de andere onderdelen. Bij back-ups komen de ut infra richlijnen aan bod. Data van alle gebruikers wordt regelmatig geback-upped Systeemdata wordt regelmatig geback-upped Register wordt regelmatig geback-upped Bestandsserver wordt regelmatig geback-upped Mailserver wordt regelmatig geback-upped Webserver wordt regelmatig geback-upped Software wordt regelmatig geback-upped Databases worden regelmatig geback-upped Back-ups in fysieke vorm worden bewaard in het bedrijfsgebouw. Alle dragers van back-ups worden regelmatig (minstens maandelijks) op werking getest. Alle dragers van back-ups worden regelmatig (vb. elke zes maanden) vervangen. Back-ups zijn beschermd tegen elke vorm van beschadiging waaronder brand, waterschade, vandalisme,.. Back-ups zijn beschermd tegen diefstal. Back-ups zijn beschermd tegen kopiëren of vervalsen.
Tabel 12: Richtlijnen bij het hoofdstuk 'Back-ups' Awareness Het laatste hoofdstuk bevraagt of er communicatie gebeurt over de onderdelen die eraan voorafgegaan zijn. De respondent krijgt hier enkel 'Ja', 'Nee' of 'Niet van toepassing'. 'Weet niet' is hier een onmogelijk antwoord. Als de respondent hier geen antwoord op kan geven, betekent dat logischerwijze dat er geen communicatie plaatsvindt. Daarna volgt de vraag of er een externe partij wordt ingeschakeld om controles uit te voeren. Ten slotte keert de vraag terug of IT volgens de respondent voldoende beveiligd is. Dit is opnieuw een 5-punts Likertschaal met keuzes 'Helemaal niet eens', 'Niet eens', 'Neutraal', 'Eens' en 'Helemaal eens'. Hiermee wordt de evolutie geregistreerd van de visie van de respondent. Het gebruik van mobiele apparatuur en daarbij horende risico's Het gebruik van verwijderbare media en daarbij horende risico's Het gebruik van een netwerk en daarbij horende risico's Het gebruik van back-ups en daarbij horende risico's Het gebruik van cryptografie en daarbij horende risico's Social engineering Wie het aanspreekpunt is voor IT-gerelateerde incidenten Individuele verantwoordelijkheden met betrekking tot het gebruik van IT
Tabel 13: Richtlijnen bij het hoofdstuk 'Awareness'
43
5. Bespreking van de resultaten 5.1.
Doorgevoerde wijzigingen aan de dataset
Van de 284 complete enquêtes worden er 275 gebruikt voor analyse. Initieel bevatte deze lijst ook 9 bedrijven gevestigd in Brussel door een fout in de filteropdracht. Deze zijn dus verwijderd. Er werd geen literatuur gevonden die een bruikbare manier aanbiedt om de efficiëntie van een bepaalde beveiligingsmaatregel bij de analyse te betrekken. Daarom kan er enkel gewerkt worden met het aantal genomen maatregelen om te besluiten over de beveiligingsstatus van een bedrijf. Aan de verzamelde data zijn daarom negen variabelen toegevoegd:
een variabele die de resultaten optelt van elke vraag 'Is er een beleid voor ... ?' Hierop kan een onderneming dus maximaal vijf scoren;
een variabele per hoofdstuk waarbij alle beleidsmaatregelen (zie 4.6.2.) zijn samengevoegd. De maxima zijn hier afhankelijk van het aantal voorgestelde richtlijnen;
een variabele die alle maatregelen van alle hoofdstukken verzamelt;
een variabele die de twee soorten datavolume samentelt;
een variabele die de drie soorten datatoegankelijkheidsvolume samentelt.
5.2.
Winsorizen van uitschieters bij totaal datavolume en -toegankelijkheid
Het totaal datavolume en datatoegankelijkheidsvolume bevatten outliers die de besluitvorming beïnvloeden. Er wordt gekozen voor de winsorizingtechniek om deze te corrigeren. Bij een steekproef van deze omvang, is het essentieel zo weinig mogelijk data te verliezen. Daarnaast wordt de steekproef erdoor representatiever. Alle waarden die lager liggen dan het 5 procent percentiel en hoger dan het 95 procent percentiel worden aangepast naar de waarde op dat percentiel. Daarvoor zijn eerst de waarden van 0 GB uit de steekproef verwijderd. Dit wordt geïnterpreteerd als het bewust niet willen invullen van de resultaten en is dus niet representatief. Het effect van deze techniek is te vinden in bijlage 1.
5.3.
Indeling van de respondenten volgens sector
Een eerste indeling geeft aan in welke sectoren de respondenten actief zijn. Deze lijst van sectoren is opgebouwd met behulp van de activiteitennomenclatuur van 2008 aangeboden door de Algemene Directie Statistiek en Economische Informatie van Fod Economie. De lijst werd ingeperkt om de respondenten niet te overladen met keuzemogelijkheden. 44
Hoewel de lijst in totaal nog steeds uit 17 sectoren bestaat, bevindt 35,7 procent zich in de niet-specifieke categorieën 'Overige diensten aan ondernemingen en particulieren' en 'Andere'. Het gevolg is dat er voor een derde van de resultaten niet precies kan worden bepaald wat de activiteit van de onderneming is. Er kan wel worden verwacht dat de conclusie aanleunt bij minstens één van de andere sectoren, gezien de diversiteit. Toch heeft dit een invloed op de kwaliteit van de besluitvorming. Maar omdat de focus van het onderzoek niet bij de sectoren ligt, is deze invloed echter gering. De overige respondenten (64,3 procent of 177 bedrijven) zijn gesitueerd in de telecom en ICT-sector, groot- en kleinhandel en overige industriële sectoren.
5.4.
Indeling van de respondenten volgens aantal werknemers
Doordat op de gebruikte maillijst onmiddellijk een filter werd toegepast, bevinden alle bedrijven zich zeker binnen de vooropgelegde grenzen zoals bepaald door de definities van de EU. Van de 275 geldige antwoorden zijn 165 bedrijven (60 procent) een micro-onderneming. Deze bestaan dus uit minder dan tien werknemers. De overige 110 ondernemingen (40 procent) zijn KMO's, met respectievelijk 83 kleine en 27 middelgrote ondernemingen. Dat 60 procent van de respondenten tot de categorie micro-onderneming behoort, kan verklaard worden door de hogere persoonlijke betrokkenheid van de contactpersoon. Een werknemer die deel uitmaakt van een bedrijf met 250 werknemers ziet mogelijk niet rechtstreeks het belang in van het onderzoek. Bestaat de onderneming echter bijvoorbeeld maar uit vijf werknemers, is de betrokkenheid bij de gezondheid van de onderneming veel hoger. Hierdoor is de contactpersoon sneller geneigd mee te werken aan de studie. Een tweede verklaring kan gevonden worden bij de meer rechtstreekse communicatie tussen de personeelsleden bij een micro-onderneming. In een bedrijf met vijf werknemers, hoeft de ontvanger van de enquête vaak de ruimte niet te verlaten om een collega te spreken. Eenmaal het aantal werknemers begint toe te nemen, stijgt ook de kans op een zeker vorm van bureaucratie of hiërarchie. Dit zit niet vervat in de enquête zelf en kan dus niet volledig empirisch bevestig worden voor deze steekproef . Daarnaast kan een reden zijn dat vanaf een bepaalde omvang, het bedrijf een beleid heeft ingevoerd dat het verspreiden van dergelijke gegevens verbiedt. Dit zal nog moeten blijken uit de onderzoeksvragen.
45
5.5.
Verband tussen het aantal werknemers en het totaal datavolume
In dit onderdeel wordt er onderzocht of er een verband bestaat tussen het aantal werknemers en het datavolume. Zo ja, wordt besloten dat er een gegronde reden bestaat om de assumptie van dit onderzoek te maken. Aangezien het hier gaat om twee schaalvariabelen, is gekozen voor Pearson correlatie. Er wordt beslist dat naarmate een onderneming meer werknemers in dienst heeft, er meer data aanwezig is. Het resultaat van de test is namelijk significant en positief (r=0,270;p<0,001;bijlage 2). Dit besluit ondersteunt de assumptie dat er mogelijk een onterecht causaal verband gelegd wordt tussen aantal werknemers en de beveiligingsstatus van een onderneming. Beide variabelen, aantal werknemers en totaal datavolume, staan namelijk met elkaar in verband.
5.6.
Verband tussen het aantal werknemers en de datatoegankelijkheid
In dezelfde lijn als ut supra moet worden onderzocht of datatoegankelijkheid in verband staat met het aantal werknemers. Hiervoor zijn de drie elementen samengeteld: persoonlijke data, netwerktoegankelijke data en centraal beheerde data (BS 7799, 1999 in Posthumus&von Solms, 2004). De gebruikte analyse is de Pearson correlatietest. Bij datatoegankelijkheid is er een duidelijk significant, positief verband (r=0,232;p=0,001;bijlage 2). Dit versterkt de assumptie dat er een link kan bestaan tussen data en de beveiligingsstatus van het bedrijf. Wanneer het meer werknemers in dienst heeft, is meer data toegankelijk. Het verschil in correlatie met totaal datavolume en totaal aantal werknemers komt omdat datavolume volgens toegankelijkheid overlapping kan bevatten.
46
5.7.
Gebruik van IT bij respondenten volgens soort onderneming
Soort onderneming (aantal WN)
Micro-onderneming (< 10) Kleine onderneming (< 50)
Vaste bedrijfscomputer Bedrijfslaptop Bedrijfstablet
Bedrijfssmartphone
PDA van het bedrijf
Minimum - Maximum
0 - 25
0 - 30
0-6
0 - 18
0 - 18
Gemiddelde - Mediaan
2,79 - 2
2,13 - 1
1,33 - 1
1,30 - 1
0,84 - 0
Minimum - Maximum
0 - 40
0 - 40
0 - 15
0 - 20
0-5
Gemiddelde - Mediaan
10,19 - 7
7,22 - 4
2,85 - 2
6,2 - 5
0,40 - 0
5 - 600 48,56 - 25
1 - 155 24,81 - 10
0 - 50 4,57 - 2
0 - 100 14,46 - 10
0-1 0,11 - 0
Minimum - Maximum Middelgrote onderneming (< 250) Gemiddelde - Mediaan
Tabel 14: Gebruik van bedrijfs-IT bij respondenten volgens soort onderneming en soort IT
Soort onderneming (aantal WN)
Micro- onderneming (< 10) Kleine onderneming (< 50) Middelgrote onderneming (< 250)
Eigen
Eigen computer
Eigen laptop
Eigen tablet
Eigen smartphone
Minimum - Maximum
0-2
0-3
0-4
0 - 14
0-1
Gemiddelde - mediaan
0,59 - 0
0,57 - 0
0,49 - 0
1,24 - 0
0,06 - 0
Minimum - Maximum
0 - 10
0 - 14
0-5
0 - 22
0-2
Gemiddelde - mediaan
1,44 - 0
1,73 - 0
0,86 - 0
4,64 - 2
0,16 - 0
Minimum - Maximum
0 - 10
0-3
0 - 50
0 - 165
0
Gemiddelde - mediaan
1,20 - 0
0,82 - 0
7,89 - 0
17 - 3,50
0
Tabel 15: Gebruik van eigen IT bij respondenten volgens soort onderneming en soort IT
47
PDA
Bovenstaande tabellen omschrijven de kerncijfers van het gebruik van IT bij de respondenten. Hierbij is een opdeling gemaakt volgens de soort onderneming en de soort IT. Er is een duidelijk verloop te herkennen tussen de grootte van de onderneming, in dit geval aan de hand van het aantal werknemers, en de aanwezigheid van IT. Maxima en gemiddeldes stijgen naarmate het aantal werknemers toeneemt. Zo ook bij draagbare toestellen verschaft door de onderneming (tabel 11). Dezelfde conclusie wordt gemaakt in de 'Barometer van de informatiemaatschappij' (FOD Economie, 2014). Opmerkelijk is het gebruik van PDA's. In elke categorie ontbreken die volledig, een enkele respondent uitgezonderd. Vervolgens tonen de gemiddeldes aan dat ondanks het aantal werknemers het gebruik van IT laag ligt in de drie categorieën. Dit kan worden verklaard door de sector waarin deze ondernemingen actief zijn. Zoals eerder vermeld bevindt 37,5 procent zich in niet-specifiek bepaalde sectoren. Samen met de niet-IT gerichte sectoren zoals productie van voeding of recreatie kan daardoor het gebruik van IT verklaard worden. De resultaten geven ook een duidelijk beeld van de vereiste mobiliteit in de bedrijfswereld. Bij tabel 12 is te zien hoe, één situatie uitgezonderd, de maxima steeds hoger liggen gaande van eigen computer tot eigen smartphone. Het zijn vooral persoonlijke smartphones die ook voor bedrijfsdoeleinden worden gebruikt. Deze conclusie komt overeen met wat Mallery omschrijft als een stijging van "access to data from anywhere they work, on a variety of devices" (Mallery, 2013, p. 4).
5.8.
Aanstelling van een personeelslid voor IT-gerelateerde incidenten
Een onderneming heeft er alle belang bij minstens één werknemer aan te stellen als centraal contactpunt om de afhandeling van IT-gerelateerde incidenten te stroomlijnen. Zelfs bij kleinere ondernemingen moet er een duidelijk vastgelegde contactfunctie toegewezen zijn aan een personeelslid, al is het maar deeltijds (Mennens et al., 2014). Een gebrek aan deze praktijk vertraagt de reactiesnelheid op incidenten en raakt aan de effectiviteit van de ingezette infrastructuur (ISO, 2014). De resultaten tonen aan dat 12,69 procent van de 268 ingevulde responsen niet één werknemer als verantwoordelijke aanduidt. Dit ligt lager dan wat PwC besluit. Daar weet 20 procent niet wie moet worden aangesproken over IT-gerelateerde kwesties (PwC, 2015). De meerderheid (87,31 procent) doet het wel en stelt minstens één persoon aan. Iets meer dan de helft (58,21 procent) houdt het precies bij één. Dit zijn opnieuw hoofdzakelijk micro-ondernemingen (64,10 procent van die 58,21 procent). Toch liggen de gemiddelde waarden tussen micro-ondernemingen en kleine en middelgrote ondernemingen niet ver uit elkaar, met respectievelijke waarden van 1,14 en 1,90. Grotere ondernemingen stellen dus in meer gevallen meer dan één werknemer aan voor IT-gerelateerde incidenten dan micro-ondernemingen.
48
Procent van respondenten
5.8.1. Controle van beveiligingsstatus
65,0 60,0 55,0 50,0 45,0 40,0 35,0 30,0 25,0 20,0 15,0 10,0 5,0 0,0
59,64 51,27
48,73 40,36
Nee
Zelf of intern Extern
Ja
Figuur 6: Verdeling tussen interne of externe controle van de beveiligingsstatus Bovenstaande figuur toont aan hoe ondernemingen minder gebruik maken van een externe partij om de beveiliging te controleren. Dit besluit vindt vooral zijn oorzaak bij micro-ondernemingen. 111 van de 165 (40,36 procent van de volledige steekproef) houdt de controle intern. Nochtans kan een managed vorm van beveiliging dezelfde kwaliteiten bieden als die van een grote onderneming die zelf in haar beveiliging voorziet. Een daarvoor aangestelde onderneming bezit namelijk de nodige infrastructuur en expertise waar een kleine onderneming geen budget of kennis voor heeft (PwC, 2014).
49
5.9.
Bedrijfscultuur bij KMO's en micro-ondernemingen
IT is voldoende beveiligd in het bedrijf. 2,18
8,00
8,00
Internet is noodzakelijk voor de bedrijfsvoering.
5,45
Stelling
Alle informatie wordt geclassificeerd volgens confidentialiteit, integriteit en beschikbaarheid en daarna geschikt beveiligd.
Iedereen bij het bedrijf is betrokken en draagt een verantwoordelijkheid bij de beveiliging van informatie. De bedrijfscultuur laat toe te communiceren over IT-incidenten op een constructieve manier. IT-beveiliging is enkel een zaak voor de verantwoordelijke(n) van dat departement. Voortdurende optimalisatie van IT en IT-beveiliging is voor het bedrijf te duur (in geld of tijd).
23,64
44,00
20,00
28,36
0%
15,27
30,91
20%
Helemaal niet eens
18,55
13,82
Niet eens
40%
27,64 24,73
50% Neutraal
28,36
60%
70%
80%
Eens
Helemaal eens
Figuur 7: Standpunt van KMO's en micro-ondernemingen tegenover stellingen rond gebruik van IT en IT-beveiliging
50
5,82 2,55 16,00
38,55
30%
4,00
30,55
22,18 22,18
10%
28,73
36,73
16,36
9,82
3,27
23,27
43,64
21,09
8,36
13,09
45,09
19,64
5,45
6,55
65,09
17,09
2,91
Bij aantasting van de data zou het bedrijf niet meer kunnen functioneren.
27,27
27,64
11,64
Optimalisatie van IT is 3,27 voor het bedrijf een hoofdzaak.
15,64
90% Weet niet
100%
Deze samenvattende tabel geeft per stelling aan hoe een bedrijf staat tegenover het gebruik van IT en IT-beveiliging. Om de leesbaarheid te optimaliseren, zijn datalabels met waarden onder 2 procent niet toegevoegd. Deze worden indien van toepassing extra vermeld in de conclusies ut infra. Aan de hand van de resultaten zijn volgende conclusies gemaakt:
Internet is voor bijna alle respondenten (92,73 procent) van groot tot heel groot belang. Toch is er enige verdeeldheid over het belang van data. 32 procent wordt niet of helemaal niet beïnvloed door een aantasting, terwijl 53,09 procent zegt van wel (1,09 procent gaf geen antwoord). Dit ligt iets dan de bevindingen van PwC. Daar gaf 48 procent aan dat data van kritiek belang is voor de bedrijfsvoering (PwC, 2015).
72,37 procent van de respondenten ziet het belang in van communicatie rond IT-beveiliging en hanteert een open bedrijfscultuur. Dat blijkt ook in de toewijzing van verantwoordelijkheid: 68,36 procent is het minstens eens dat iedereen betrokken moet zijn bij het IT-verhaal. Dit is in lijn met de aanbeveling uit het rapport van 2013 van PwC en de BCSG. Hetzelfde besluit volgt in de controlevraag waarin getoetst wordt of enkel een verantwoordelijke zich met IT moet bezighouden. Meer dan de helft (57,82 procent) gaat namelijk niet akkoord.
Meer bedrijven (40,36 procent) doen wel aan risicoclassificatie dan niet (28 procent). Ze gebruiken de CIA-triad als manier om IT-beveiliging te organiseren.
Meer dan de helft van de respondenten (59,64 procent) is overtuigd dat de IT-beveiliging van een voldoende niveau is.
5.10. Verband tussen het totaal aantal genomen maatregelen en de stelling of IT voldoende beveiligd is (voor invullen van de vragenlijst) De vraag is of een respondent een correct beeld heeft van de beveiliging van het bedrijf nog voor hij de rest van de vragenlijst invult. Hiervoor wordt de Spearman correlatie berekend tussen het totaal aantal genomen maatregelen en de stelling of IT voldoende beveiligd is. Interessant is dat respondenten effectief hun beveiliging a priori correct beoordelen (rho = 0,370; p<0,001); bijlage 2). Er is een duidelijk significant, positief verband tussen het aantal genomen maatregelen en de mate waarin een respondent akkoord gaat dat de beveiliging voldoende is. Past een onderneming bijvoorbeeld veel maatregelen toe, dan vulde de respondent vaker 'helemaal eens' in. Dit kan te wijten zijn aan de waargenomen open bedrijfscultuur waar communicatie centraal staat.
51
5.11.
Verband tussen het totaal aantal genomen maatregelen en de stelling of IT voldoende beveiligd is (na invullen van de vragenlijst)
Een Spearman correlatietest met dezelfde vraag nadat de enquête werd ingevuld toont aan dat respondenten
Procent van respondenten
hun beveiliging beter inschatten (rho=0,495;p<0.001;bijlage 2).
50,0 45,0 40,0 35,0 30,0 25,0 20,0 15,0 10,0 5,0 0,0
Voor het invullen van de vragenlijst Na het invullen van de vragenlijst
Helemaal niet eens
Niet eens
Neutraal
Eens
Helemaal eens
Figuur 8: Mate van instemming met stelling over de IT-beveiligingsstatus van de onderneming Figuur 7 toont een verschuiving aan bij respondenten nadat de vragenlijst is ingevuld. Door op vragen negatief te moeten antwoorden, beseffen respondenten dat de huidige beveiligingsstatus nog niet geoptimaliseerd is. Meer respondenten kiezen voor 'neutraal' of 'niet eens' dan voor de richtlijnen aan bod kwamen.
5.12.
Verband tussen betrokkenheid en communicatie over verantwoordelijkheden
Bijna 70 procent gaat minstens akkoord dat iedereen betrokken is bij IT-beveiliging in hun bedrijf en dat de verantwoordelijkheid gedeeld is. Er mag dus verwacht worden dat deze verantwoordelijkheden gecommuniceerd worden. Daarom wordt er via Spearman correlatie getoetst of de stelling een verband vertoont met de beleidsmaatregel "Training of inlichting over de individuele verantwoordelijkheden met betrekking tot het gebruik van IT" bij het hoofdstuk Awareness. Er is inderdaad een significant, positief verband tussen de stelling en de beleidsmaatregel (rho=0,217;p=0,001; bijlage 2). Respondenten die eens of helemaal eens zijn met de stelling, maken vaker deel uit van een bedrijf dat over die verantwoordelijkheden communiceert.
52
5.13. Overzicht van incidenten volgens hoofdstuk Bij elk hoofdstuk van de ISO-norm is gevraagd naar enige incidenten. Onderstaande tabel geeft de aantallen per hoofdstuk weer.
Mobiele apparatuur en telewerken Verwijderbare media Aantal gerapporteerde incidenten
Meest voorkomende soort incident (aantal)
12
Diefstal of inbraak (5)
Toegangs-beveiliging 3
Cryptografie 9
Virus (1) Corrupte back-up (1) Toegang door onbevoegde (5) Diefstal drive (1)
Netwerkbeveiliging
Back-ups 0
10
13
Corrupte back-up of Virus of spam (6) verlies van data (8)
Tabel 16: Aantal gerapporteerde incidenten en meest voorkomende soort per hoofdstuk In elk geval wordt op de vervolgvraag of er actie ondernomen werd positief geantwoord. Ondernemingen die het slachtoffer zijn geweest van incidenten, hebben deze dus quasi onmiddellijk effectief verholpen. De resultaten bij mobiele apparatuur en telewerken zijn gelijkaardig aan die van Verizon. Het rapport van 2014 verklaart dat diefstal een van de meest voorkomende gevaren zijn ongeacht de grootte of soort onderneming (Verizon, 2014). Het is mogelijk dat er effectief zo weinig incidenten plaatsvonden bij deze steekproef, maar ook de gevoeligheid van de vragen kan aan de basis liggen voor deze lage respons. Er is een kans dat respondenten bewust niet antwoorden op deze vragen. Gezien de te lage aantallen wordt er besloten dat er geen verdere analyse mogelijk is met deze gegevens. Deze worden dus niet verder gebruikt voor dit onderzoek.
5.14. Beantwoorden van de hoofdvraag In dit onderdeel wordt de hoofdvraag behandeld. Daarom wordt deze eerst hernomen: "Met welke beveiligingsmaatregelen op basis van de ISO 27K-normen beschermen KMO's en microondernemingen in Vlaanderen hun informatie?" De hoofdvraag wordt opgedeeld in zeven stukken, een per bevraagd hoofdstuk uit de ISO-norm. Aan de hand van een samenvattende tabel per hoofdstuk worden bepaalde trends of opvallende resultaten besproken.
53
5.14.1. Mobiele apparatuur en telewerken Meer dan de helft (57,5 procent) van de geregistreerde antwoorden geeft aan dat er geen beleid bestaat voor mobiele apparatuur en telewerken. Dit leunt heel sterk aan bij de bevindingen van PwC. Daar is er bij 53 procent geen dergelijk beleid. Verlies van een mobiel apparaat betekent een groot risico voor enige bedrijfsgevoelige data die ermee te raadplegen is (Symantec, 2015). Respondenten gaan hiermee ruimschoots akkoord. De resultaten van deze richtlijn sluiten aan bij de richtlijn over verplichte registratie van mobiele apparatuur (64,20 procent). Verder verklaart meer dan de helft (51,50 procent) van de respondenten dat jailbreaking verboden wordt, terwijl slecht 23,50 procent hier effectief controle op uitvoert. Over het algemeen is er een tekort aan controle bij mobiele apparaten. Slechts 40,10 procent gaat na of de regels gerespecteerd worden. Zeker gezien de evolutie van mobiele apparatuur is de aanwezigheid van anti-malware aan de lage kant (46,80 procent). Dit staat in ernstig contrast met de meer dan één miljoen met malware geïnfecteerde apps. (Symantec, 2015). Daarnaast werd ook verwacht dat minstens één van beide, ofwel een whitelist ofwel een blacklist zou gebruikt worden. Resultaten spreken deze uitspraak tegen met percentages van 8 en 7,90 procent. Een werknemer is bij veel ondernemingen duidelijk vrij te installeren wat hij wil. Er zijn duidelijk nog hiaten in de beveiliging van ondernemingen in verband met mobiele apparatuur. Dit verhoogt het risico op het onvrijwillig verspreiden van bedrijfsinformatie (Mennens et al., 2014) en moet dus strenger worden vastgelegd.
54
Richtlijn
Percentage naleving
Rapporteren van verlies Anti-virus Registratie van alle mobiele apparaten Geen installatierechten Jailbreaking verboden Versleutelde wachtwoorden Automatisch sluiten Enkel verbonden met bedrijfscomputers Anti-malware Scheiding van persoonlijke en bedrijfsdata Controle op updates Controle op naleving regels Strikt bepaald operating systeem Verschillend wachtwoord voor elk ander apparaat Overdragen van data Controle op jailbreaking Verwijderen van data op afstand Whitelist Blacklist
87,30 66,40 64,20 57,80 51,50 50,50 50,20 48,80 46,80 42,90 42,80 40,10 38,90 35,50 30,10 23,50 19,00 8,00 7,90
Tabel 17: Naleving van de richtlijnen bij het hoofdstuk 'Mobiele apparatuur en telewerken'
5.14.2. Verwijderbare media Verwijderbare media komt duidelijk het vaakst (70,20 procent) voor als drager van back-ups. Controle van de werking en kwaliteit van deze dragers is eerder laag (59,90 procent) gezien dit gebruik. Bijna vier op de tien respondenten doet het niet. Naast back-ups wordt ook andere informatie bij veel respondenten (69,50 procent) op meerdere dragers opgeslagen. Dit is problematisch in combinatie met hoeveel van de verwijderbare media in een beveiligde omgeving wordt bewaard (48,60 procent). Slechts 17,40 procent monitort wat er gebeurt met verwijderbare media. Toch laat het overgrote deel (91,10 procent) verwijderbare media toe op verschillende apparaten.
55
Richtlijn
Percentage naleving
Back-ups op verwijderbare media Belangrijke informatie op meerdere dragers Controle op werking en kwaliteit van media voor back-ups Verwijderen van data bij stopzetting gebruik Opslaan van media in beveiligde omgeving Opslag in extra beveiligde omgeving bij back-ups Enkel door het bedrijf verschafte media Goedkeuring nodig bij verlaten van bedrijf Registratie van media voor back-ups Registratie van verwijdering Monitoren van het gebruik Cryptografie op alle verwijderbare media Selectief toelaten van verwijderbare media op apparaten
70,20 69,50 59,90 54,50 48,60 48,20 38,80 37,40 36,80 19,80 17,40 9,00 8,90
Tabel 18: Naleving van de richtlijnen bij het hoofdstuk 'Verwijderbare media'
5.14.3. Toegangsbeveiliging Wachtwoorden zijn een eerste lijn van beveiligingsmaatregelen. De resultaten tonen aan dat ondernemingen hier ruimschoots gebruik van maken (91,40 procent). Zoals de tabel verduidelijkt, zijn ook de richtlijnen voor die wachtwoorden meestal aanwezig. Problemen doen zich voor bij het verplicht wijzigen van default wachtwoorden (58,30 procent). Ondernemingen die dit niet aanpassen, kunnen eenvoudig binnengedrongen worden. Daarnaast wijzigt maar een klein deel van de steekproef periodiek (elke zes maanden (Spinellis et al., 1999)) wachtwoorden op systeem- en gebruikersniveau (Sharma&Dash, 2012). 73,80 procent van de geregistreerde respondenten verdeelt werknemers in volgens toegangsniveau.
De
maatregelen, ook vermeld in de BCSG (Mennens et al., 2014), wordt dus meestal toegepast. Slecht 37,50 procent registreert veranderingen van deze niveau's. Hierdoor vergroot het risico dat een werknemer ongezien een ander toegangsniveau verkrijgt waarmee hij gevoelige informatie kan inkijken. Volgens het rapport van Symantec zijn werknemers met dergelijke rechten vaker de reden voor inbreuken dan externe hackers (Symantec, 2015). Ten slotte is controle een struikelpunt. Maar 18,60 procent voert controles uit op het naleven van de regels.
56
Richtlijn
Percentage naleving
Wachtwoorden Wachtwoorden niet zichtbaar tijdens invullen Gebruik van wachtwoorden Login met wachtwoord Wachtwoorden niet fysiek aanwezig Geen foutmelding bij mislukte inlogpoging Verschillende wachtwoorden voor verschillende applicaties Minstens één cijfer Minstens acht tekens Blokkering toegang na aantal pogingen Verplicht wijzigen van default wachtwoorden Minstens één hoofdletter Hergebruik van wachtwoorden onmogelijk via log Encryptie van logs Logs van wachtwoorden Minstens één speciaal teken Periodiek wijzigen van alle wachtwoorden (systeemniveau) Periodiek wijzigen van alle wachtwoorden (gebruikersniveau) Toegangsniveau's Gebruik van toegangsniveau's Systeemfuncties aangepast aan toegangsniveau Output aangepast aan toegangsniveau's Controle van de correctheid van toegangsniveau's Registratie van wijzing van toegangsniveau's Andere Controle op naleving van de regels PIN Smart card Irisscan Stemherkenning
95,00 91,40 81,50 68,90 67,80 65,20 63,30 61,70 58,90 58,30 54,10 34,80 30,90 30,70 30,20 21,60 20,90 73,80 56,50 55,00 42,90 37,50 18,60 13,50 8,70 0,00 0,00
Tabel 19: Naleving van de richtlijnen bij het hoofstuk 'Toegangsbeveiliging'
5.14.4. Cryptografie Cryptografie is een weinig gebruikte en gekende techniek bij deze steekproef. De toepassing van de richtlijnen bij dit onderdeel bevindt zich telkens onder de 30 procent. Dat zelfs back-ups maar bij 29,10 procent van de respondenten versleuteld zijn, is problematisch. Daarenboven is de kennis van het bestaan van deze maatregelen erg beperkt. 37,45 procent en meer van de respondenten gaf geen analyseerbaar antwoord op de toepassing van de richtlijnen. Volgens die respondenten is de richtlijn niet van toepassing, of weten ze niet of die actief is in de onderneming. Zeker in het geval van mobiele apparatuur kan encryptie vermijden dat gevoelige data wordt verspreid (Verizon, 2014). Specifiek bij diefstal (zie incidenten ut supra) helpt encryptie om het bedrijf van verlies van data te vrijwaren.
57
Versleuteling van data wordt steeds essentiëler. Enkel concentreren op technologie wordt stilaan ontoereikend (Mennens et al., 2014).
Richtlijn Risicobeoordeling van alle informatie Cryptografie op Back-ups Databanken Data 'in de cloud' Bedrijfswebsite Cryptografie op Laptops Computers Smartphones Tablets Verwijderbare media PDA's
Geen geldige inbreng (% van totale steekproef) 45,09
Naleving van de richtlijn(%) 7,3
29,1 37,45 26,9 41,82 29,2 50,18 20,3 42,55 van het bedrijf van het personeel van het bedrijf van het personeel 18,5 10,1 38,91 53,09 18 0 33,45 0,00 15,5 6,6 41,45 53,09 12,9 6,2 46,54 55,63 12,3 3,6 40,72 54,90 5 4,8 56,00 59,64
Tabel 20: Naleving van de richtlijnen bij het hoofdstuk 'Cryptografie'
5.14.5. Netwerkbeveiliging Vooral de eigenschappen van een netwerk vergroten het belang van deze richtlijnen. Eens IT met elkaar, en met het internet, verbonden wordt, is er een drastische wijziging op het vlak van beveiliging (ISSA, 2011). De resultaten zijn positief aangezien bijna alle respondenten met een eigen draadloos netwerk zorgen voor een geschikte beveiliging (94,70 procent). Ook de nood aan anti-virus, anti-malware en firewalls wordt grotendeels ingevuld (Sharma&Dash, 2012). 92,20 procent voorziet ook beveiliging tegen spam voor hun mailsystemen. Het probleem is echter dat maar 23,40 procent van de geldige responsen het e-mailadres puur voor bedrijfsredenen reserveert. In dezelfde lijn zorgt maar 31,10 procent ervoor dat een werknemer geen spam kan versturen. Van de overige 76,60 procent, dat e-mailadressen niet beperkt, zorgt amper 17,10 procent ervoor dat communicatie effectief gescheiden blijft. Bij de 'Andere' veiligheidsmaatregelen is VPN het meest gebruikt (77,80 procent). Positieve respons bij maatregelen zoals IDS en IPS ligt procentueel al laag, maar daarnaast weten respondenten vaak het bestaan er niet van.
Aantal respondenten zonder inbreng VPN IPS IDS DMZ
86 156 158 150
Tabel 21: Aantal respondenten zonder inbreng bij het hoofdstuk 'Netwerkbeveiliging' 58
Richtlijn Percentage naleving Algemeen 94,70 Draadloos netwerk van beveiliging voorzien Updates worden automatisch geïnstalleerd 82,30 Eigen draadloos netwerk 81,10 Regelmatig uitvoeren van algemene scans 69,50 Gebruikers hebben geen installatierechten 53,80 Updates worden gecontroleerd 47,20 E-mail 92,20 Spamfilter voor alle mailsystemen Scan van alle gemailde bestanden 76,10 54,90 Onmogelijk illegale transacties uit te voeren Onmogelijk .exe, .com, etc..te versturen 50,70 Onmogelijk kettingbrieven te versturen 40,90 Onmogelijk spam te versturen 31,10 E-mailaccount enkel voor bedrijfsdoeleinden 23,40 Scheiding persoonlijke en bedrijfscommunicatie 17,10 Verplicht encrypten van berichten 3,00 Anti-virus; anti-malware; firewall 95,40 Anti-virus op elke vaste computer Firewall op netwerkniveau 91,80 Anti-virus op elke draagbare computer 84,90 Anti-virus op netwerkniveau 84,70 Anti-malware op elke vaste computer 83,10 Firewall op elke vaste computer 79,30 Anti-malware op elke draagbare computer 66,20 Andere 77,80 VPN Website blacklist 55,90 IDS 38,50 IPS 37,80 DMZ 32,80 Captcha's 18,00 Website whitelist 12,30 Tabel 22: Naleving van de richtlijnen bij het hoofdstuk 'Netwerkbeveiling' In overeenstemming met de aanbeveling uit de BCSG zorgt 82,30 procent voor automatische updates. De controle op die updates is echter minder aanwezig met 47,20 procent. Toch is het noodzakelijk hier een overzicht van te behouden om duidelijk te zien welke systemen of onderdelen de meeste aandacht vereisen op een gegeven moment (Mennens et al., 2014).
59
5.14.6. Verband tussen het aantal werknemers met toegang tot het internet en de maatregelen voor netwerkbeveiliging Er wordt verwacht dat naarmate meer werknemers toegang krijgen tot IT, de genomen maatregelen voor netwerkbeveiliging toenemen. Deze uitspraak wordt onderzocht aan de hand van een Pearson correlatietest. Hierbij wordt eerst een variabele gecreëerd die het totaal aantal werknemers met toegang tot het internet bepaalt. Met een significant, eerder sterk posifitief resultaat (r=0,253;p<0,001;bijlage 2) kan deze uitspraak worden bevestigd. Bedrijven die meer werknemers hebben met toegang tot het internet, maken meer inspanning om hun netwerk van beveiliging te voorzien.
5.14.7. Back-ups Ondernemingen in de steekproef zien duidelijk het belang van back-ups in. Wanneer de infrastructuur wordt aangetast, minimaliseert een back-up de tijdspanne waarin er geen activiteit kan plaatsvinden. Het belang van back-ups staat in groot contrast met de beveiligingsmaatregelen die ermee gepaard gaan. Beschermingsmaatregelen zijn met een maximum van 50,80 procent sterk ondervertegenwoordigd. Deze opmerking kwam al aan bod bij de hoofdstukken 'Verwijderbare Media' en 'Cryptografie'. Ook daar wordt een tekort aan beveiliging vastgesteld. Nochtans worden een back-up als de grootste zwakheid voor insiders beschouwd als die niet voldoende worden beveiligd (Mennens et al., 2014).
Back-ups van Databases Systeemdata Bestandsserver Mailserver Data van alle gebruikers Register Webserver Software Bescherming van dragers
94,20 92,40 90,30 85,90 85,30 81,90 81,50 79,00
Tegen diefstal Regelmatige controle op werking en kwaliteit Tegen schade (brand, waterschade, vandalisme) Tegen kopiëren of vervalsen Back-ups in fysiek vorm aanwezig Regelmatige vervanging van alle dragers
50,80 49,80 45,00 41,50 41,10 27,50
Tabel 23: Naleving van de richtlijnen bij het hoofdstuk 'Back-ups' 60
5.14.8. Awareness Training en inlichting over IT-aanspreekpunt Individuele IT-verantwoordelijkheden Social engineering
67,00 49,80 14,90
Gebruik en risico's van Netwerk Mobiele apparatuur Back-ups Verwijderbare media Cryptografie
36,80 28,80 27,10 25,10 10,70
Tabel 24: Naleving van de richtlijnen bij het hoofdstuk 'Awareness' Er bestaat een discrepantie tussen het gerapporteerd niveau van communicatie (figuur 5) en de training en inlichting bij dit onderdeel. Met een maximum van 36,80 procent in verband met communicatie over gebruik en risico's van IT, is er een opmerkelijk verschil. Zeker het resultaat over social engineering verdient aandacht. Social engineering is een techniek waarbij een indringer via sluwe sociale interacties gevoelige informatie tracht te verkrijgen van een werknemers (Whitman&Mattord, 2008). In de steekproef praat slechts 14,90 procent erover. Social engineering wordt nochtans door de BCSG als een belangrijke dreiging beschouwd. In vergelijking met de bevraging door PwC is er wel meer communicatie over mobiele apparatuur: 28,80 procent ten opzichte van 19 procent (PwC, 2015). Er moet dus duidelijk meer aandacht besteed worden aan de bewustmaking van het belang van informatiebeveiliging (Humprheys, 2008). Dit wordt bevestigd door de bevraging van PwC bij Belgische ondernemingen. Daar gaf 47 procent aan dat awareness de ernstigste tekortkoming vertoonde (PwC, 2015). Nochtans hoeft een awarenessbeleid niet duur of ingewikkeld te zijn (Whitman&Mattord, 2012).
5.15. Deelvragen 5.15.1.
Is er een verband tussen de bedrijfscultuur en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen?
Bedrijfscultuur wordt in dit onderzoek bepaald aan de hand van de acht stellingen (ut supra). Onder andere het standpunt over communicatie, verantwoordelijkheden en het belang van data vormen een beeld over hoe de onderneming staat tegenover IT en het gebruik ervan.
61
Opvallend is hoe de Spearman correlatietest aantoont hoe het belang van data en het belang van internet geen verband vertonen met het aantal genomen maatregelen. Alle andere stellingen vertonen wel een significant verband. Hierdoor kan worden besloten dat:
naarmate optimalisatie van IT belangrijker wordt, dit een toename vertoont in het aantal genomen maatregelen (rho=0,310;p<0,001)
er effectief meer maatregelen actief zijn naarmate deze draagbaarder worden geacht voor het budget (in geld en tijd) (rho= -0,328;p<0,001)
een toename in gedeelde verantwoordelijkheid blijk geeft van meer genomen maatregelen (rho= -0,201;p=0,01 en rho=0,314;p<0,001)
een open communicatie over IT-incidenten een positief verband vertoont met het aantal genomen maatregelen (rho=0,292;p<0,001)
naarmate ondernemingen de CIA-triad gebruiken er effectief meer maatregelen genomen worden (rho=0,382;p<0,001).
Hiermee wordt H1 voor zes van de acht stelling bevestigd. Er is bewust gekozen om de stellingen niet te herleiden tot één variabele om tot een algemeen besluit te komen. Het is voor dit onderzoek belangrijk de onderliggende redenen en verbanden te blijven zien. Bedrijfscultuur is daarnaast een te divers en omvangrijk aspect om te veralgemenen.
5.15.2. Is er een verband tussen de datavolumes en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen? De assumptie in dit onderzoek is dat een groter datavolume staat voor meer beveiligingsmaatregelen. Er wordt verondersteld dat een onderneming zich bewust is van de potentieel grotere impact dat een hoger datavolume met zich kan meebrengen. Er wordt dan verwacht dat het bedrijf meer inspanningen levert om die risico's te verminderen. Aan de hand van Pearson correlatietest wordt deze veronderstelling onderzocht. De gebruikte variabelen zijn het totaal datavolume en de som van alle elementen. De berekening toont een heel significant, eerder sterk positief verband aan (r=0,326;p<0,001) waardoor H2 bevestigd wordt. Naarmate het totaal datavolume stijgt, verhoogt ook het aantal genomen maatregelen. Zowel de significantie als het effect zijn sterker dan wanneer dezelfde analyse gemaakt wordt tussen het totaal aantal werknemers en de genomen maatregelen (r=0,199;p=0,001). Het aantal werknemers toont dus een minder sterk verband met de genomen maatregelen dat het totaal datavolume.
62
Daarnaast is via dezelfde correlatietest onderzocht met welke specifieke hoofdstukken het totaal datavolume een verband vertoont. Opmerkelijk is hoe één hoofdstuk, verwijderbare media, geen significant verband vertoont met datavolume (r=0,111;p=0,113). Bedrijven implementeren dus niet noodzakelijk meer maatregelen om het gebruik en misbruik van verwijderbare media tegen te gaan, naarmate de hoeveelheid data toeneemt. Alle andere hoofdstukken daarentegen vertonen wel een significant, positief verband. Bij elk van die onderdelen geldt dus wel de uitspraak dat meer datavolume gelijk staat aan meer maatregelen. H2 wordt dus bevestigd (ut supra), uitgezonderd voor het hoofdstuk 'Verwijderbare Media'.
5.15.3. Is er een verband tussen de datatoegankelijkheid en de genomen maatregelen bij KMO's en micro-ondernemingen in Vlaanderen? Toegankelijkheid van data wordt onderverdeeld in drie mogelijkheden: persoonlijke data; centraal beheerde data en netwerktoegankelijke data. Zoals het totaal datavolume worden hier de drie elementen samengenomen. Daarmee wordt duidelijk hoeveel data het bedrijf aan risico's blootlegt en vanuit welke richting. Om te bepalen of datatoegankelijkheid een verband vertoont met de genomen maatregelen, wordt de Pearson correlatietest uitgevoerd. H3 wordt duidelijk bevestigd (r=0,319;p<0,001;bijlage 2). Bedrijven nemen meer maatregelen als er meer data toegankelijk is. Ze zien dus de noodzaak in van meer informatiebeveiliging wanneer die vergroot.
6. A posteriori evaluatie van het onderzoek Verschillende factoren speelden een rol die het uiteindelijke resultaat hebben beïnvloed. De enquête aanbieden via het internet bood een eenvoudigere verwerking voor zowel het onderzoek als de respondenten. Voorts waren de vragen hoofdzakelijk ja/nee-vragen. Deze maatregelen beperkten de nodige tijd tot een minimum voor zowel de ondervraagden als de onderzoeker. Een probleem bij deze werkwijze is de onpersoonlijkheid die door de potentiële respondenten kon worden ervaren. Veel van deze kleinere ondernemingen krijgen regelmatig dergelijke aanvragen en kunnen of willen hier niet langer op reageren. Bepaalde ondernemingen reageerden zelfs persoonlijk om duidelijk te maken dat dergelijke enquêtes, gezien de gevoeligheid van de vragen, niet mag worden ingevuld volgens hun veiligheidsbeleid. Hoewel dit enkel kan worden toegejuicht, kwam dit de steekproefgrootte niet ten goede. Om een voldoende grote steekproef te kunnen nemen, werd eerst een maillijst opgehaald. Dit was geen makkelijke taak. Verscheidene organisaties weigerden dergelijke gegevens te verdelen. Het proces om de maillijst te verkrijgen nam op zich heel weinig tijd in beslag. De juiste contactpersoon vinden duurde meerdere weken. 63
De vragenlijst diende zo praktisch mogelijk te zijn. Ondanks de keuze om vooral ja/nee-vragen te gebruiken, was de vragenlijst omvangrijk. Gezien het aantal onvolledig ingevulde enquêtes, zijn veel respondenten vroegtijdig gestopt. 1520 gecontacteerden startten met de vragenlijst. 284 vulden hem volledig in. Een vragenlijst aanbieden aan verschillende soorten onderneming is inherent niet optimaal. Er bestaat geen 'one size fits all' die voor elk bedrijf het meest geschikt is (Posthumus&vonSolms, 2004). Sommige elementen krijgen dus een lage respons, omdat de maatregel voor sommige ondernemingen, zoals de micro-ondernemingen, minder van toepassing is. Ten slotte kon door het laag responscijfer in verband met incidenten hier geen verdere analyse worden op uitgevoerd. Dit raakt aan de volledigheid van dit onderzoek.
7. Conclusie Het zijn niet langer louter grote ondernemingen die inspanningen moeten leveren om hun bedrijfsinformatie veilig te houden. Het is duidelijk dat indringers hun focus verleggen naar kleinere ondernemingen om misbruik te maken van hun lagere kennis en budgetten (. Intussen gaat de maatschappelijke gewaarwording wel de goede kant uit en wordt er vanuit de media, bedrijfswereld en wetenschap meer aandacht aan besteedt. Vooral kleinere ondernemingen, zoals KMO's en micro-ondernemingen, hebben nood aan een praktische lijst van richtlijnen die hen in staat stelt informatie van de nodige beveiliging te voorzien. Zoals dit onderzoek heeft aangetoond, zijn verschillende elementen nog voor verbetering vatbaar. Hoewel de pure basiselementen veelal actief zijn geïmplementeerd, ontbreken nog die noodzakelijke maatregelen om voldoende weerstand te kunnen bieden aan een steeds toenemend complexe cybercrimewereld. Dit is in lijn met de bevindingen van PwC (2015) en Verizon (2014) waarbij ook gewezen wordt op de moeilijkheden die kleinere ondernemingen ervaren. Op basis van de ISO 27001 en 27002 normen zijn zeven hoofstukken bevraagd bij Vlaamse KMO's en micro-ondernemingen. De lijst met eenvoudig te implementeren richtlijnen vormt zo een beeld van de beveiligingsstatus van de onderneming voor die onderdelen. Gezien de eerder lage steekproefgrootte is de generaliseerbaarheid van de ut infra conclusies echter niet optimaal. De volgende implicaties voor ondernemingen zijn opgesteld aan de hand van de resultaten. Ten eerste is het duidelijk dat deze ondernemingen nog onvoldoende zijn aangepast aan de mobiele evolutie. Ze nemen te weinig maatregelen om hun mobiele apparatuur en de informatie die erbij betrokken is te beschermen. Hoewel PwC (2015) een toename opmerkt bij Belgische bedrijven bij dit onderdeel in vergelijking met vorig jaar, tonen die cijfers ook een tekort aan.
64
Het gebruik van verwijderbare media is daarnaast bij een groot deel van de steekproef niet volledig veilig gemaakt. Toegangbeveiligingsmaatregelen zijn meer aanwezig, maar mankeren de nodige controle op naleving van die maatregelen. De bevraagde ondernemingen zijn dan wel meer vertrouwd met maatregelen om hun netwerk te beveiligen. Elementen zoals anti-virus, anti-malware, firewalls en spamfilters worden grotendeels toegepast. Echter is hier opnieuw controle een struikelpunt, dit keer op updates. Vervolgens zijn back-ups een algemeen aanvaarde praktijk, maar de beveiliging ervan is bij de steekproef veelal ontoereikend. Ten slotte dient er aandacht te worden besteedt aan cryptografie. Het versleutelen van IT-elementen in het bedrijf is nog te weinig aanwezig. Toch is cryptografie een onmisbaar element om informatie uit de handen van onbevoegden te houden. Er wordt daarnaast vastgesteld dat communicatie over IT-gebruik en -beveiliging en het delen van verantwoordelijkheden een positief verband vertonen met de beveiligingsstatus van een onderneming. Dit impliceert dat een onderneming er goed aan doet over die elementen te praten met alle werknemers. Andere elementen van de bedrijfscultuur die positief in relatie staan met de genomen maatregelen zijn belang van optimalisatie van IT en het budget. Verassend is dat deze relatie niet te vinden bij het belang van data of het internet. Ten slotte is duidelijk geworden dat datavolume en -toegankelijkheid effectief een significant verband vertonen met de beveiligingsstatus van een KMO of micro-onderneming. Naarmate er meer data in de onderneming aanwezig is, of naarmate die meer data vanuit verschillende richtingen te raadplegen is, stijgt het aantal genomen maatregelen. Enkel in het geval van verwijderbare media, is die relatie niet terug te vinden. Uiteindelijk betekenen deze resultaten een bevestiging van de initieel gemaakt assumptie.
8. Aanbevelingen voor verder onderzoek Er is nood aan een uniform model om de effectiviteit van beveilingsmaatregelen te bepalen. Dit onderzoek maakt gebruik van het aantal ingevoerde maatregelen om een besluit te trekken over de kwaliteit, maar neemt daarbij te weinig in aanmerking wat de precieze impact van die maatregelen is. Door de gevoeligheid van het onderwerp blijft het voor toekomstig onderzoek moeilijk een voldoende grote steekproef te verzamelen als er gebruik gemaakt wordt van een vragenlijst. Daarom wordt voorgesteld dit onderzoek opnieuw af te nemen bij een selectere groep respondenten. Een derde mogelijkheid voor verder onderzoek is dieper ingaan op de beveiligingsstatus van microondernemingen. Deze groep organisaties wordt weinig vermeld in de literatuur, ondanks hun rol in de economie. Gegevens uit dit onderzoek tonen ook aan dat er nood is aan meer gewaarwording bij deze groep.
65
Aan de hand van de bevinding dat datavolume een verband vertoont met de beveiligingsstatus van een onderneming, kan een diepgaander onderzoek worden opgesteld. Deze conclusie kan worden doorgetrokken naar specifieke sectoren of kan gericht getoetst worden bij ondernemingen met meer dan 250 werknemers. De focus van dit onderzoek lag bij zeven hoofdstukken van de ISO 27K-normen. De redenen hiervoor zijn eerder al vermeld. Een laatste mogelijkheid voor verder onderzoek bevindt zich dus bij de hoofdstukken die niet aan bod gekomen zijn.
66
Referentielijst Anderson, J. (2003). Why we need a new definition of information security. Computers&security, 22(4), 3083013. Barlette, Y.,&Fomin, V. (2008). Exploring the suitability of IS management standards for SME's. Proceedings of the 41st Hawaii International Conference on System Sciences. Belga/tw. (2011). Hackers viseren steeds vaker kmo's. Geraadpleegd op 2 december 2014, via http://www.demorgen.be/technologie/hackers-viseren-steeds-vaker-kmo-s-a1262203/ Bhaskar, R.,&Kapoor, B. (2013). Information technology security management. In Vacca, J. (Ed.), Computer and Information Security Handbook (pp. 449-458). Waltham: Elsevier. Bhatt, D.,&Grover, V. (2005). Types of information technology capabilities and their role in competitive advantage: an empirical study. Journal of Management Information Systems, 22(2), 253-277. Bird, K. (2013). New version of ISO/IEC 27001 to better tackle IT security risks. Geraadpleegd op 4 december 2014, via http://www.iso.org/iso/news.htm?refid=Ref1767 Bn, M. (2015). Un site du gouvernement wallon piraté par des hackers tunisiens. Geraadpleegd op 25 april 2015, via http://www.lesoir.be/847882/article/economie/vie-du-net/2015-04-10/un-site-du-gouvernementwallon-pirate-par-des-hackers-tunisiens BSI.
(2013).
Moving
from
ISO/IEC
27001:2005
to
ISO/IEC
27001:2013.
Geraadpleegd
via
http://www.bsigroup.com/LocalFiles/en-GB/iso-iec-27001/resources/BSI-ISO27001-transition-guide-UK-ENpdf.pdf Caballero, A. (2013). Information security essentials for IT managers: protecting mission-critital systems. In Vacca, J. (Ed.), Computer and Information Security Handbook (pp. 379-407). Waltham: Elsevier. Calders, A.,&Watkins, S. (2008). IT Governance A manager's guide to data security and ISO 27001/ISO 27002 (4th ed.). London: Kogan Page. CERT.
(2015).
Meldingen
2010-2014
Cijfers
over
meldingen
https://www.cert.be/files/CERTbe_Statsoverview2010-2014-NL.pdf.
IX
aan
CERT.be.
Geraadpleegd
via
Codenomicon. (2014). The Heartbleed Bug. Geraadpleegd op 25 november 2014, via heartbleed.com Comer, D.E. (2009). Computer networks and internets (5th ed.). New Jersey: Pearson Education, Inc. Cragg, P., Caldeira, M.,&Ward, J. (2011). Organizational information systems competences in small and medium-sized enterprises. Information & Management, 48, 353-363. De Ruiter, Z. (2014). What does the heartbleed bug mean for your SME? Geraadpleegd op 26 november 2014, via
http://www.smeweb.com/index.php/technology/news/4472-what-does-the-heartbleed-computer-bug-
mean-for-your-sme Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for Information Security Management. Journal of Information Security , 4, 92-100. Eloff, M.,&von Solms, S. (2000). Information Security Management: A Hierarchical Framework for Various Approaches. Computers & Security , 19, 243-256. Epstein, Z. (2013). Credit cards stolen in massive Target breach now being sold on black market. Geraadpleegd op 25 november 2014, via http://bgr.com/2013/12/20/stolen-target-credit-cards-for-sale/ European
Commission.
(2015).
User
guide
to
the
SME
definition.
Geraadpleegd
via
http://ec.europa.eu/growth/smes/business-friendly-environment/sme-definition/index_en.htm Europees Parlement. (2006). Directive 2006/24/EC of the European Parliament and of the council of 15 march 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC. Geraadpleegd via http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:EN:PDF FOD Economie. (2008). NACE-BEL 2008 Economische activiteitennomenclatuur met toelichtingen. Brussel: Versonnen. Geraadpleegd via http://statbel.fgov.be/nl/binaries/NL-NACEBEL%202008%20met%20toelichtingen_tcm325-65642.pdf FOD Economie. (2014). Barometer van de informatiemaatschappij(2014). Brussel: Afdeling Telecommunicatie en Informatiemaatschappij van de Algemene Directie Economische Reglementering. Geraadpleegd via http://statbel.fgov.be/nl/binaries/Barometer_van_de_informatiemaatschappij_2014_tcm325-254860.pdf FOD Economie. (2014). Computerapparatuur van bedrijven per regio en grootteklasse voor 2014. Geraadpleegd via http://statbel.fgov.be/nl/statistieken/cijfers/economie/ondernemingen/ict/ X
Fulford, H.,&Doherty, N.F. (2003). The application of information security policies in large UK-based organizations: an exploratory investigation. Information Management & Computer Security, 1(3), 106 - 114 Gerber, M.,&von Solms, R. (2001). From risk analysis to security requirements. Computers & Security, 20, 577584. Gossels, J.,&Mackey, R. (2007). ISO 2700X: A cornerstone of true security. ISSA Journal, 33-35. Gupta, A.,&Hammond, R. (2005). Information systems security issues and decisions for small businesses. Information Management & Computer Security, 13(4), 297-310. Harris, M.,&Patten, K. (2014). Mobile device security considerations for small- and medium-sized enterprise business mobility. Information Management & Computer Security, 22(1), 97-114. Hordijk, L. (2014). Belgische medische controledienst gehackt. Geraadpleegd op 26 november 2014, via http://fd.nl/economie-politiek/902781/belgische-medische-controledienst-gehackt Humphreys, E. (2008). Information security management standards: compliance, governance and risk management. Information security technical report, 13, 247-255. Humphreys, E. (2011). Information security management system standards. Datenschutz und DatensicherheitDuD, 35(1), 7-11. ISO/IEC. (2014). ISO/IEC 27001 Information technology - Security techniques - Information security management systems - requirements. Switzerland: ISO/IEC. ISO/IEC. (2014). ISO/IEC 27002 Information technology - Security techniques - Information security management systems - requirements. Switzerland: ISO/IEC. ISSA-UK. (2011). Information Security for Small and Medium Sized Enterprises. Geraadpleegd via https://issa.org.pl/18-issa-uk-draft-standard-on-information-security-for-smes/file ITU.(2014). ICT facts and figures (The world in 2014). Geraadpleegd via http://www.itu.int/en/ITUD/Statistics/Documents/facts/ICTFactsFigures2014-e.pdf Katsikas, S. (2013). Risk management. In Vacca, J. (Ed.), Computer and Information Security Handbook (pp. 905927). Waltham: Elsevier.
XI
Keller, S., Powell, A., Horstmann, B., Predmore, C.,&Crawford, M. (2005). Information security threats and practices in small businesses. Information Systems Management, 22(2), 7-19 Kenning, M. (2001). Security management standard - ISO 17799/BS 7799. BT Technol J, 19(3), 132-136. Kettinger, W., Grover, V., Guha, S.,&Segars, A. (1994). Strategic information systems revisited: a study in sustainability and performance. MIS Quarterly, 18(1), 31-58. Kouns, J., &Minoli, D. (2011). Information technology risk management in enterprise environments. New Jersey: John Wiley&Sons, Inc. Kutolic, A.,&Clark, J. (2004). Why there aren't more information security research studies. Information & Management, 41, 597-607. Lambo, T. (2006). ISO/IEC 27001: The future of infosec certification. ISSA Journal, 44-45. Lee, G.,& Xia, W. (2006) Organizational size and IT innovation adoption: A meta-analysis. Information & Management, 43, 975-985. Levy, M., Powell, P.,&Yetton, P. (2001). SMEs: aligning IS and the strategic context. Journal of Information Technology, 16, 133-144. Lybaert, N. (1998). The information use in a SME: its importance and some elements of influence. Small Business Economics, 10, 171-191. Mallery, J. (2013). Building a secure organization. In Vacca, J. (Ed.), Computer and Information Security Handbook (pp. 3-24). Waltham: Elsevier. Mennens, A., Smeulders, C., Dammekens, A., Darville,C., Vael,M., Dekyvere,K.,...,&Cross, R. (2014). Belgian Cyber Security Guide. Brussels: ICC Belgium. Muller, P., Gagliardi, D., Caliandro, C., Bohn, N.,&Klitou, D. (2014). Annual Report on European SMEs 2013/2014. OECD. (2004). ICT, E-Business and SMEs. OECD Digital Economy Papers. No. 88. OECD Publishing, Paris. Passerini, K., Patten, K.,&El Tarabishy, A. (2012). Information Technology for Small Business. New York: Springer. XII
Perlroth, N.,&Gelles, D. (2014). Russian hackers amass over a billion internet passwords. Geraadpleegd op 25 november 2014, via http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-thana-billion-stolen-internet-credentials.html?_r=0 Porter, M.E. and Millar, V.E. "How Information Gives You Competitive Advantage. Harvard Business Review 63(4), 149-160. Posthumus, S. (2006). Corporate Information Risk: An Information Security Goverance Framework (Doctoraatsverhandeling, Nelson Mandela Metropolitan University, Port Elizabeth, Zuid-Afrika) Posthumus, S.,&von Solms, R. (2004). A framework for the governance of information security. Computers & Security, 23, 638-646. PwC. (2014). Managing cyber risks in an interconnected world Key findings from the Global State of Information Security Survey 2015. Geraadpleegd via http://www.pwc.com/gx/en/consulting-services/information-securitysurvey/assets/the-global-state-of-information-security-survey-2015.pdf PwC. (2014). US cybercrime: Rising risks, reduced readiness Key findings from the 2014 US State of Cybercrime Survey. Geraadpleegd via http://www.pwc.com/en_US/us/increasing-iteffectiveness/publications/assets/2014us-state-of-cybercrime.pdf PwC. (2015). Information Security Breaches survey 2015. Geraadpleegd via http://www.pwc.be/en/publications/2015/information-security-2015.jhtml Rainer, R., Snyder, C.,& Carr, H. (1991) Risk Analysis for Information Technology. Journal of Management Information Systems, 8(1), 129-147 Robertson, J. ,&Riley, M. (2014). JPMorgan hack said to span months via multiple flaws. Geraadpleegd op 27 maart 2015, via http://www.bloomberg.com/news/articles/2014-08-29/jpmorgan-hack-said-to-span-monthsvia-multiple-flaws RTBF. (2015) Les sites de Rossel (Le Soir, Sudinfo...) victimes d'une attaque informatique. Geraadpleegd op 25 april 2015, via http://www.rtbf.be/info/medias/detail_les-sites-de-rossel-le-soir-sudpresse-victimes-d-uneattaque-informatique?id=8954670 Saint-Germain, R. (2005). Information security management best practice based on ISO/IEC 17799. The Information Management Journal, 39(4), 60-66.
XIII
Sharma, N.,&Dash, P. (2012). Effectiveness of ISO 27001, as an information security management system: an analytical study of financial aspects. Far East Journal of Psychology and Business, 9(3), 42-55. Silver-Greenberg, J., Goldstein, M.,& Perlroth, N. (2014). JPMorgan chase hacking affects 76 million households. Geraadpleegd op 4 april 2015, via http://dealbook.nytimes.com/2014/10/02/jpmorgan-discovers-furthercyber-security-issues/?_r=0 Siponen, M.,& Willison, R. (2009). Information security management standards: problems and solutions. Information & Management, 46, 267-270. Soo Hoo, K. (2000) How much is enough? A risk-management approach to computer security. Stanford: Stanford University. Spinellis, D., Kokolakis, S.,&Gritzalis, S. (1999). Security requirements, risks and recommendations for small enterprise and home-office environments. Information management & Computer Security, 7(3), 121-128. Stoneburner, G., Goguen, A.,& Feringa, A. (2002) Risk Management Guide for Information Technology Systems. Geraadpleegd via http://www.security-science.com/pdf/risk-management-guide-for-information-technologysystems.pdf Sustanto, H., Almunawar, M. ,&Tuan, Y. (2011). Information Security Management System Standards: A Comparative Study of the Big Five. International Journal of Electrical & Computer Sciences, 11(5), 23-29. Symantec. (2014). Regin: Top-tier espionage tool enables stealthy surveillance. Geraadpleegd op 30 november 2014,
via
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-
surveillance Symantec. (2015) Internet Security Threat Report. Geraadpleegd via http://www.symantec.com/security_response/publications/threatreport.jsp Tukey, J.,&McLaughlin, D. (1963). Less vulnerable confidence and significance procedures for location based on a single sample; Trimming/Winsorization 1. Sankhya, 25, 331–352. van den Hoven, J. (1999), Information resource management: stewards of data. Information Systems Management, 16(1), 88-90. Van de Velden, W.,&Bové, L. (2014). Spionnen hacken ook Economische Zaken. Geraadpleegd op 26 november 2014, via http://www.tijd.be/detail.art?a=9501704&n=3136&highlight=hack&ckc=1
XIV
Van Heurck, C. (2013) Aantal cyberincidenten is verdubbeld in 2014. Geraadpleegd op 29 maart 2015, via https://www.cert.be/nl/docs/persbericht-aantal-cyberincidenten-verdubbeld-2014 Verizon.
(2011).
2011
Data
breach
investigations
report.
Geraadpleegd
via
http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf Verizon.
(2012).
2012
Data
breach
investigations
report.
Geraadpleegd
via
http://www.verizonenterprise.com/resources/reports/rp_Rapport_d_enquete_2012_Sur_Les_Compromission s_De_Donnees_fr_xg.pdf Verizon.
(2013).
2013
Data
breach
investigations
report.
Geraadpleegd
via
http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf von Solms, R. (1998). Information Security Management (3): the Code of Practice for Information Security Management (BS 7799). Information Management & Computer Security, 6(5), 224-225. von Solms, R. (1999). Information security management: why standards are important. Information Management&Computer Security, 7(1), 55-58. Von Solms, R.,& van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102. Wallace, G. (2013). Target credit card hack: What you need to know. Geraadpleegd op 25 november 2014, via http://money.cnn.com/2013/12/22/news/companies/target-credit-card-hack/ Wheeler, D.A. (2014). Preventing Heartbleed. Computer, 47(8), 80-83. Whitman, M.,&Mattord, H. (2012) Principles of Information Security (4th ed.). Course Technology, Cengage Learning. WHO (2005). Intellectual property: protection and enforcement. Geraadpleegd op 28 maart 2015, via https://www.wto.org/english/thewto_e/whatis_e/tif_e/agrm7_e.htm Yildirim, E., Akalp, G., Aytac, S.,&Bayram, N. (2011). Factors influencing information security management in small- and medium-sized enterprises: A case study from Turkey. International Journal of Information Management, 31, 360-365.
XV
Bijlagen Bijlage
1:
Winsorizing
van
totaal
datavolume
en
totaal
datatoegankelijkheidsvolume Volgens Tukey en McLaughlin (1963) is het onterecht te streven naar een normaalverdeling als de empirie dit niet aantoont. De winsorizingtechniek verplaatst het gemiddelde naar een representatiever niveau zonder data te verliezen.
1.2. Totaal datavolume Waarde 5 procent percentiel
Waarde 95 procent percentiel
2
7000
Tabel 25: Percentielwaarden bij variabele: 'Totaal datavolume' Descriptive Statistics Minimum Maximum
N Totaal_datavolume
214
Valid N (listwise)
214
1,00
Mean
Std. Deviation
64000,00 1683,1075
6266,16247
Tabel 26: Descriptives 'Totaal datavolume' voor winsorizing Descriptive Statistics N
Minimum
Totaal_datavolume
214
Valid N (listwise)
214
Maximum
2,00
7000,00
Mean
Std. Deviation
959,2430 1875,06107
Tabel 27: Descriptives 'Totaal datavolume' na winsorizing
1.3. Totaal datatoegankelijkheidsvolume Waarde 5 procent percentiel
Waarde 95 procent percentiel
3
10250
Tabel 28: Percentielwaarden bij variabele: 'Totaal datatoegankelijkheidsvolume' Descriptive Statistics N
Minimum
Totaal_datatoegankelijkheidsvolume
210
Valid N (listwise)
210
Maximum 1,00
Mean
33010,00 1623,8129 4142,48771
Tabel 29: Descriptives 'Totaal datatoegankelijkheidsvolume' voor winsorizing
72
Std. Deviation
Descriptive Statistics N
Minimum
Totaal_datatoegankelijkheidsvolume
210
Valid N (listwise)
210
Maximum
3,00
Mean
Std. Deviation
10250,00 1274,0414 2587,14003
Tabel 30: Descriptives 'Totaal datatoegankelijkheidsvolume' na winsorizing
Bijlage 2: SPSS output Correlations Totaal aantal werknemers: [01]
Totaal_datavolume
Totaal_datavolume
Pearson Correlation Sig. (2-tailed)
,000
N
Totaal aantal werknemers: [01]
,270**
1
Pearson Correlation Sig. (2-tailed)
214
214
**
1
,270
,000
N
214
275
**. Correlation is significant at the 0.01 level (2-tailed).
Tabel 31: Verband tussen 'Totaal datavolume' en 'Totaal aantal werknemers' Correlations Totaal aantal werknemers: [01] Totaal aantal werknemers: [01]
Pearson Correlation Sig. (2-tailed)
,232**
1
,001
N Totaal_datatoegankelijkheidsvolume
Totaal_datatoegankelijkheids volume
Pearson Correlation Sig. (2-tailed)
275
210
**
1
,232
,001
N
210
210
**. Correlation is significant at the 0.01 level (2-tailed).
Tabel 32: Verband tussen 'Totaal datatoegankelijkheidsvolume' en 'Totaal aantal werknemers' Correlations In welke mate gaat u akkoord met onderstaande uitspraken: IT is voldoende beveiligd in het bedrijf. AlleElementenSamen Spearman's rho
In welke mate gaat u akkoord met onderstaande uitspraken: IT is voldoende beveiligd in het bedrijf.
Correlation Coefficient
AlleElementenSamen
Correlation Coefficient
1,000
Sig. (2-tailed) N Sig. (2-tailed) N
,370** ,000
257
257
,370** ,000
1,000
257
275
**. Correlation is significant at the 0.01 level (2-tailed).
Tabel 33: Verband tussen stelling 'IT is voldoende beveiligd in het bedrijf' (voor) en 'Alle Elementen Samen'
73
Correlations AlleElementenSamen
Correlation Coefficient
Awareness(3): IT is voldoende beveiligd in het bedrijf. 1,00
,459**
.
0,000
Sig. (2-tailed) AlleElementenSamen
Awareness(3): IT is voldoende Spearman's rho beveiligd in het bedrijf.
N
275
275
Correlation Coefficient
,459**
1,00
Sig. (2-tailed)
0,000
.
275
275
N
**. Correlation is significant at the 0.01 level (2-tailed).
Tabel 34: Verband tussen stelling 'IT is voldoende beveiligd in het bedrijf' (na) en 'Alle elementen samen'
Correlations In welke mate gaat u akkoord met onderstaande uitspraken: Iedereen in het bedrijf is betrokken en draagt een verantwoordelijkheid bij de beveiliging van informatie. In welke mate gaat u akkoord met onderstaande uitspraken: Iedereen in Correlation Coefficient het bedrijf is betrokken en draagt een Sig. (2-tailed) verantwoordelijkheid bij de beveiliging N van informatie, Correlation Coefficient Awareness: Individuele Sig. (2-tailed) verantwoordelijkheden met betrekking N Spearman's rho tot het gebruik van IT
Awareness: Individuele verantwoordelijkheden met betrekking tot het gebruik van IT
1,00
,217**
.
0,001
272
224
,217**
1,00
0,001
.
224
225
**. Correlation is significant at the 0.01 level (2-tailed).
Tabel 35: Verband tussen stelling 'Iedereen is betrokken en draagt een verantwoordelijkheid bij de beveiliging van informatie' en 'Individuele verantwoordelijkheden met betrekking tot het gebruik van IT' Correlations Totaal aantal werknemers met toegang tot het internet Totaal aantal werknemers Pearson Correlation met toegang tot het Sig. (2-tailed) internet N ElementenNB Pearson Correlation
Elementen NB 1
263
Sig. (2-tailed) N **. Correlation is significant at the 0.01 level (2-tailed).
,253** ,000 262
,253** ,000 262 1 274
Tabel 36: Verband tussen 'Totaal aanta l werknemers met toegang tot het internet' en 'Elementen NB'
74
Correlations Bij aantasting van de data zou het bedrijf niet meer kunnen functioneren.
Correlation Coefficient Sig. (2-tailed) Spearman's rho AlleElementenSamen N
Optimalisatie van IT is voor het bedrijf een hoofdzaak.
Voortdurende IT-beveiliging is enkel een optimalisatie van IT en zaak voor de IT-beveiliging is voor het verantwoordelijke(n) van dat bedrijf te duur (in geld en departement. tijd).
De bedrijfscultuur laat Iedereen in het bedrijf is AlleElement toe te communiceren betrokken en draagt een enSamen over IT-incidenten op verantwoordelijkheid bij de een constructieve beveiliging van informatie. manier.
-0,014
0,31
-0,328
-0,201
0,292
0,314
0,819
0,000
0,000
0,001
0,000
0,000
1,00 .
272
275
273
268
264
272
275
De bedrijfscultuur laat toe te Iedereen in het bedrijf is Internet is noodzakelijk Alle informatie wordt Internet is noodzakelijk Alle informatie wordt AlleElement communiceren over ITbetrokken en draagt een voor de bedrijfsvoering. geclassificeerd volgens voor de bedrijfsvoering. geclassificeerd volgens enSamen incidenten op een constructieve verantwoordelijkheid bij confidentialiteit, integriteit en confidentialiteit, integriteit manier. de beveiliging van beschikbaarheid en daarna en beschikbaarheid en informatie. geschikt beveiligd. daarna geschikt beveiligd. Correlation Coefficient
0,292
0,314
0,021
0,382
0,021
0,382
Sig. (2-tailed)
0,000
0,000
0,728
0,000
0,728
0,000
.
264
272
274
266
274
266
275
Spearman's rho AlleElementenSamen N **. Correlation is significant at the 0.01 level (2-tailed).
Tabel 37: Verbanden tussen stellingen over bedrijfsvoering en gebruik van IT en 'Alle Elementen Samen'
Correlations AlleElementenSamen AlleElementenSamen
Pearson Correlation Sig. (2-tailed)
1
,326** ,000
N Totaal_datavolume
Totaal_datavolume
Pearson Correlation Sig. (2-tailed)
275
214
**
1
,326
,000
N
214
**. Correlation is significant at the 0.01 level (2-tailed).
Tabel 38: Verband tussen 'Totaal Datavolume' en 'Alle Elementen Samen'
75
214
1,00
Correlations Elementen Elementen Mobiele Verwijderbare Apparatuur Media Totaal_datavolume Pearson Correlation Sig. (2tailed) N
Elementen Toegangsbeveiliging
Elementen Elementen Netwerk- Elementen Elementen Cryptografie beveiliging Back-ups Awareness
0,185*
,111
0,303**
0,324**
0,259**
0,175**
0,268**
,010
,113
,000
,000
,000
,010
,000
192
206
213
178
214
214
191
*. Correlation significant at the 0.05 level (2-tailed) **. Correlation significant at the 0.01 level (2-tailed)
Tabel 39: Verband tussen 'Totaal Datavolume' en alle elementen per hoofdstuk Correlations AlleElementen Totaal_datatoegan Samen kelijkheidsvolume Pearson Correlation
1
Sig. (2-tailed) AlleElementenSamen
N Pearson Correlation
Sig. (2-tailed) Totaal_datatoegankelijkhei N dsvolume **. Correlation is significant at the 0.01 level (2-tailed).
,319** 0
275
210
**
1
,319
0 210
210
Tabel 40: Verband tussen 'Totaal datatoegankelijkheidsvolume' en 'Alle Elementen Samen'
76
Bijlage 3. De ISO-standaarden 3.1. Geschiedenis van de ISO-standaarden 27001 en 27002 Doordat beide ISO-standaarden zijn ontstaan uit BS 7799 is het relevant de evolutie hiervan te bespreken. Zo wordt het duidelijk hoe de standaarden hun huidige vorm hebben verkregen.
3.1.1. 1980 - 1995 : BS 7799 De start van de intussen wijdverspreide standaarden gaat helemaal terug tot 1980. De oorsprong van de BS 7799 standaard vindt deels zijn inspiratie bij het eerder ontwikkelde interne beleidsdocument van Royal Dutch/Shell Group. Dat wordt beschouwd als de eerste uitgebreide beschrijving van richtlijnen rond informatiebeveiliging en management (Kouns&Minoli, 2010). De regels rond informatiebeveiliging daarin omschreven vormden een initeel beeld voor wat uiteindelijk zou uitgroeien tot een internationale standaard. Een tweede element dat bijdraagt tot de creatie van de BS 7799 komt voort uit het CCSC. Het Commercial Computer Security Center van het toenmalig Engelse Department of Trade and Industry (DTI) krijgt twee centrale taken toebedeeld. Ten eerste staat het in voor de creatie van richtlijnen voor de evaluatie van beveiliging. Deze zijn bedoeld om producenten van beveiligingsproducten te helpen in hun kwaliteitscontroles. Daarnaast ontwerpt het CCSC de eerste "Users Code of Practice", een gids waarin richtlijnen rond informatiebeveiliging worden opgesomd voor gebruikers. Later, in 1995, ontstaat hieruit de BS 7799, waarbij BS staat voor British Standard. Dit instituut zet zich in voor de standaardisering van bedrijfsvoering en tracht zo kwaliteit en veiligheid bij bedrijven te optimaliseren (BSI, 2014).
3.1.2 1995-2000 : BS 7799-1 en BS 7799-2 In de periode van 1995 tot 2000 wordt door het BSI een deel toegevoegd aan de BS 7799 om aan de volledigheid van de standaard bij te dragen. Het eerste stuk bevat een 'code of practice' om informatiebeveiliging te kunnen managen. De inhoud van dit eerste onderdeel bestaat uit een lijst met controles om informatiebeveiliging te kunnen optimaliseren (Humphreys, 2008). Het doel van deze controles is om ervoor te zorgen dat het informatiesysteem correct wordt ontwikkeld en geïmplementeerd (Eloff&von Solms, 2000).
3.1.3. Structuur van de BS 7799 Het eerst deel van de BS 7799 is opgedeeld in tien onderdelen, telt 36 vereisten en 127 individuele controlemaatregelen. Deze initiële verzameling richtlijnen kan voor onderneming als steun dienen om informatie van bescherming te voorzien (Saint-Germain, 2005).
77
Figuur 9: Inhoud van BS 7799-1 (ISO 17799) (Saint-Germain, 2005) Het tweede gedeelte komt er als reactie op de bestaande tekortkomingen van de toenmalige standaard. Het doel van de BS 7799 is om bedrijven officieel te certificeren zolang ze zich aan de code of practice houden. Daarvoor ontbreken nog de specifieke vereisten waaraan een ISMS (Information Security management system) moet voldoen. Deze eisen spreken over zowel documentatie, implementatie en totstandkoming van het systeem (Eloff&von Solms,2000). Dit onderzoek is vooral gericht op de plan, do en check fase. Er wordt getoetst naar het implementatieniveau van richtlijnen die zich in die fases vormen. Nadat met behulp van de verzamelde resultaten een conclusie is gevormd, zullen de betrokken KMO's en micro-ondernemingen zelf in staat zijn de act fase te doorlopen.
3.1.4. 2000 - 2014 : ISO 17799, ISO 27K
Figuur 10: wijzigingen in ISO 27001 en 27002 (Disterer, 2013)
78
In 2000 gaat ISO, de Internationale Organisatie voor Standaardisatie, akkoord met de vraag om de BS 7799 norm om te vormen naar een internationale standaard genaamd ISO 17799. Hierin zit het eerste gedeelte van de Britse Standaard vervat. Ook het tweede gedeelte, dat kort erna werd omgevormd, brengt ISO onder in een internationale versie genaamd ISO 27001:2005. Beide handelen over domeinen gericht op management, organisatie, wetgeving, operaties en technologie (Saint-Germain, 2005). Datzelfde jaar ondergaat de ISO 17799 een grondige aanpassing ten gevolge van diezelfde internationalisering. De standaard wordt beter afstemd op ISO 27001 zodanig dat ze makkelijker samen te gebruiken zijn (Calder&Watkins, 2008). Uiteindelijk wordt in 2007 ISO 17799 hernummert naar 27002. De aanpassing verhoogt het overzicht en biedt aan de gebruiker onmiddellijk de kans om met beide standaarden rekening te houden bij de documentatie, implementatie en totstandkoming van zijn ISMS (Calder&Watkins, 2008). Vanaf dan stelt ISO de documenten met regelmaat bij om deze up-to-date te houden met de steeds sneller ontwikkelende technologische omgeving. Daarbij let de organisatie vooral op de gelijkstelling met andere standaarden. Concreet ondergaan de ISO 27001 en 27002 elke vijf jaar een revisie. Dit gebeurt in lijn met alle andere standaarden van de organisatie. Deze periodieke revisies garanderen dat de standaarden aan de meest recente bedrijfseisen voldoen (Humphreys, 2011).
79
