IT-security bij kleine ondernemingen 10-2013
Analyse Peter Vermeulen, Directeur Pb7 Research: “Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden gerealiseerd zijn. Hoewel men ziet dat de uitdagingen toenemen, worden de toenemende risico’s onvoldoende onderkend”
“Hoewel de meeste bedrijven aangeven de voorkeur te hebben voor een beheersbaar totaalpakket, is in de praktijk de beveiliging veelal per PC aangeschaft en georganiseerd. Het overzicht gaat daardoor verloren en het maakt het beheer onnodig complex” “In het kleinbedrijf gaat het er niet om om een topbeveiliger in dienst te hebben. Idealiter is de beveiliging op orde met als basis van een compleet, helder pakket dat ook zonder IT-kennis te beheren valt. Daarbij moet vooral ook aandacht zijn voor de veranderingen in de IT-omgeving en de risico’s die dat met zich meebrengt, zoals de inburgering van thuiswerken en de snelle opkomst van slimme mobiele apparaten”.
Het onderzoek, een web survey, is uitgevoerd onder 100 bedrijven met minimaal 1 en maximaal 10 PC’s. De respondenten zijn voornamelijk eigenaar of directeur (83%) Belangrijkste uitkomsten: • De meeste kleinzakelijke ondernemingen voelen zich weinig kwetsbaar op het gebied van IT beveiliging, maar men herkent wel degelijk een aantal uitdagingen.
• De grootste uitdagingen voor de kleinzakelijke onderneming liggen op de volgende twee gebieden: 1) Beheer: dat moet zo eenvoudig mogelijk worden gemaakt 2) De opkomst van mobiele apparatuur: de “laptop-meenaar-huis” geniet de meeste aandacht, terwijl het snel groeiende gebruik van smartphones en tablets vooralsnog wat weinig aandacht krijgt. • Kleinzakelijke ondernemingen hebben een voorkeur voor een compleet totaalpakket, eventueel aangevuld met extra oplossingen. De oplossing moet, behalve prima functioneren, vooral ook voor transactiebeveiliging en eenvoud in beheer zorgen.
De meeste kleine bedrijven voelen zich veilig Kans op schade door cybercrime? Minder dan 1% Zeven op de tien kleinzakelijke ondernemingen schatten de kans dat ze schade leiden door cybercrime in de komende 2 jaar op minder dan 5%. Omgerekend komt dat neer op één schadegeval in de 40 jaar.
38%
1 tot 5%
32%
5 tot 20%
16%
20 tot 40%
13%
40 tot 60%
1% 0%
10%
20%
30%
40%
Is de beveiliging dus op orde? We hebben onze IT beveiliging altijd op orde
53%
IT beveiliging blijft toch een beetje aanrommelen
32%
Goede security oplossingen zijn eigenlijk te duur
56%
Onze IT verantwoordelijke heeft voldoende kennis op het gebied van IT beveiliging
67%
Onze IT verantwoordelijke heeft veel kennis op het gebied van IT beveiliging
26%
54%
50%
Onze IT verantwoordelijke investeert genoeg tijd om bij te blijven
21%
57%
14%
31%
19%
17%
27% 16%
25%
17% 18%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% Eens
oneens
weet niet
Beheer en Mobiliteit Security uitdagingen voor kleinzakelijke ondernemingen
Belangrijkste uitdagingen op het gebied van beveiliging Up-to-date houden van kennis
48%
Beveiligen van thuisgebruik
30%
Het opvoeden van medewerkers
24%
Overzicht houden op alle verschillende securityoplossingen en versies die we in gebruik hebben
22%
We hebben te weinig technische kennis in eigen huis
22%
Grip krijgen op de beveiliging van mobiele apparaten en die zich op ons netwerk begeven
13%
Het kost erg veel geld om het netwerk echt goed te beveiligen
11% 0%
20%
Het is vooral moeilijk om bij te blijven bij de snel veranderende dreigingen. Verder is de impact van de “open” firewall duidelijk: het thuisgebruik wordt bijvoorbeeld veel genoemd (maar de impact van opkomende mobiele apparaten een stuk minder)
40%
60%
Uitdaging 1: In het kleinbedrijf is IT beheer geen functie, maar een taak Wie “doet” de IT?
1% 18% 22%
59%
Voornamelijk zelf We huren daar iemand voor in Een combinatie van zelf doen en inhuur Anders
De meeste kleinzakelijke ondernemingen hebben IT en daarmee ook beveiliging in eigen huis. • Wie zich een eigen systeembeheerder veroorlooft, zal merken dat het een zware aanslag op de bedrijfskosten is. • Voor de meesten geldt echter dat IT een taak is van de eigenaar of een “reguliere” medewerker. Eenvoud in beheer is dan ook van groot belang.
Beveiliging zit vaak eerder op de PC dan op het netwerk Firewalls Spamfilter Antiviruspakketten voor afzonderlijke PC’s Regelmatige back ups van gevoelige en bedrijfskritische gegevens Veilig websurfen (anti-malware)
Antivirusbeveiliging op netwerkniveau (LAN) Bewustmaking van medewerkers d.m.v. voorlichting VPN-verbindingen (virtual private network) Een IT-beleid waarin regels zijn geformuleerd voor wat wel en niet is toegestaan op onze computers / in ons… Encryptie
Er wordt weinig gebruik gemaakt van beveiliging op netwerkniveau en des te meer van losse pakketten voor PC’s. Dat maakt het beheer inefficiënt en de risico’s groter. Bovendien ontbreekt aandacht voor het gedrag van medewerkers.
Uitdaging 2: De firewall is een muur met vrij verkeer van goederen Worden bedrijfslaptop(s) privé gebruikt?
Welke vreemde en mobiele apparatuur komt er op het netwerk?
Door de organisatie verstrekte smartphones en/of tablets
37%
Privé-smartphones en/of tablets van medewerkers
45% 55%
35%
Privé-laptops van niet-medewerkers (stagiair, externe boekhouder, etc.)
16%
Privé-laptops van medewerkers Ja
Nee
55%
0%
20%
40%
60%
De ene helft beveiligt mobiele apparatuur zelf, de andere helft hoopt dat de gebruiker het doet Door de organisatie verstrekte smartphones en/of tablets Privé-smartphones en/of tablets van medewerkers Privé-laptops van niet-medewerkers (stagiair, externe boekhouder, etc.)
Privé-laptops van medewerkers
24%
17%
19%
23%
25%
16%
46%
57%
31%
25%
11%
44%
55%
3%
0%
4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% Nee
De eigenaar is verplicht om voor goede beveiliging te zorgen Wij zorgen zelf voor een goede beveiliging Weet niet
Contouren van de ideale kleinzakelijke beveiligingsoplossing
Hoe zit een kleinzakelijk beveiligingspakket er uit? Huidige kosten aan beveiliging per PC
Geïntegreerd totaalpakket of losse oplossingen? 23%
19% 17%
7%
20% 17%
26%
23%
34%
14% EUR 0-19
EUR 20-49
EUR 50-99
EUR 100-199
Zoveel mogelijk los
Een totaalpakket
EUR 200 of meer
Weet niet
Een combinatie
Geen voorkeur
Gemiddeld geeft een klein bedrijf per werkplek 50 tot 100 euro per jaar uit, waarbij men ongetwijfeld nog geen rekening houdt met de tijd die er qua beheer ingaat. Voor de meeste bedrijven geldt dat een totaalpakket, in ieder geval als basis, de voorkeur geniet.
Waar moet een kleinzakelijk totaalpakket aan voldoen? Bewezen kwaliteit 2% 19%
Online transactiebeveiliging 7% Onderhoudsvrij (automatische updates) 2%
79% 39% 46%
Eenvoudig zonder technische kennis te…4%
53%
49%
Centraal te beheren 7%
47%
53%
Installatie mogelijk op PC’s die niet met uw… 16% Monitoren van mobiele aparaten (tablets &…
54%
40% 56%
19%
56%
Lage prijs 4%
72%
Dashboard (overzicht van alle relevante… 16%
61%
28% 25% 25% 23%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Onbelangrijk
Wens
Eis
Een security-oplossing moet bovenal aantoonbaar effectief zijn, waarbij organisaties veel aandacht hebben voor transactiebeveiliging. Verder moet vooral het beheer eenvoudig zijn en weinig tijd vergen. Verder: wat niet “moet”, zou toch wel fijn zijn
Over het onderzoek Het onderzoek Het onderzoek is uitgevoerd door analistenbureau Pb7 Research. Ten behoeve van het onderzoek heeft Pb7 Research door middel van een online panel survey een representatieve steekproef gehouden onder 100 IT beslissers van Nederlandse en Belgische organisaties met 2 tot 10 PC’s in Juni 2013. De respondenten zijn voornamelijk eigenaar en/of directeur (83%). De vragenlijst is in samenspraak met de opdrachtgever samengesteld. De bevindingen en conclusies van het onderzoek zijn onafhankelijk van de opdrachtgever tot stand gekomen. Ze zijn een weergave van de visie en mening van Pb7 Research en kunnen afwijken van de meningen van de opdrachtgever.
Pb7 Research Pb7 Research is een Nederlands onderzoeksbureau dat zich gespecialiseerd heeft in ICTthema’s als sourcing, cloud en SaaS. Pb7 is gebouwd op kwaliteit van onderzoek, onafhankelijkheid in de analyse, en een constructieve dialoog met alle belanghebbenden in een markt. Pb7 is onder meer verantwoordelijk voor de Nationale EuroCloud Monitor. Pb7 Research werd begin 2012 opgericht door Peter Vermeulen (1970). Voordat hij Pb7 oprichtte, was hij werkzaam als Directeur Onderzoek & Advies, Benelux bij IDC.
