Onderzoeksresultaten infosecurity.nl
Pagina 1
Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten. Het doel van het onderzoek was om te bepalen in hoeverre organisaties informatiebeveiliging en compliance als belangrijke aandachtsgebieden zien en in welke mate organisaties zichzelf beoordeelden op deze gebieden. Alle deelnemers aan de studie werd een dertiental vragen gesteld. Samengevat zijn de antwoorden weergegeven in onderstaande figuur.
Aantal respondenten
Onderzoeksresultaten 90 80 70 60 50 40 30 20 10 0
ja nee weet niet
1
2
3
4
5
6
7
Vrag
Pagina 2
8
9
10
11
12
Onderzoeksresultaten In deze sectie zullen de individuele vragen in meer detail worden uitgewerkt. 1. Heeft uw organisatie voldoende kennis van compliance? (ja / nee / weet niet) Er is niet uitgelegd wat wordt verstaan onder de term compliance. In totaal gaven 120 deelnemers een geldig antwoord op deze vraag. De resultaten zijn: ja
weet niet
nee
3. Heeft uw organisatie een compliance officer? (ja / nee / weet niet)
totaal
68
31
21
56,7%
25,8%
17,5%
120
Uit deze antwoorden kan worden geconcludeerd dat slechts de helft van de organisaties zichzelf beoordeelt als voldoende op de hoogte met van toepassing zijnde wet- en regelgeving. Een kwart van de organisaties denkt dat dit niet het geval is, en 17,5% van de respondenten gaf aan niet over voldoende kennis te beschikken om deze vraag te kunnen beantwoorden. 2. Heeft uw organisatie een security officer? (ja / nee / weet niet) Northwave is benieuwd of organisaties personen hebben aangewezen wiens voornaamste verantwoordelijkheid en takenpakket betrekking heeft op informatiebeveiliging. Ja
weet niet
nee
financiële dienstverlening (92% ja vs. 8% nee) en de overheid (62,5% ja vs. 37,5% nee). In de resterende bedrijfstakken is het beeld veel meer gespreid of zijn niet voldoende gegevens bekend om tot een oordeel te komen.
Het feit dat slechts de helft van de organisaties van zichzelf vind dat er voldoende kennis van wet- en regelgeving aanwezig is, wordt bevestigd door de antwoorden op deze vraag. ja
weet niet
nee 32
77
13
26,2%
63,1%
10,7%
48
7
55,3%
39,0%
5,7%
4. Heeft uw organisatie een actief IB beleid? (ja / nee / weet niet) Ook het antwoord op deze vraag is niet onverwacht, wanneer de resultaten op vraag 2 mede in overweging worden genomen.
123
ja
Van de 123 respondenten die een geldig antwoord gaf op deze vraag bleek ongeveer de helft van de organisaties een speciaal daartoe aangewezen security officer in dienst te hebben. De resultaten per bedrijftak tonen aan dat security officers met name binnen de
122
Slechts een kwart van de organisaties geeft te kennen dat er binnen de eigen organisatie iemand is belast met het voldoen aan wet- en regelgeving. In totaal gaven 122 mensen antwoord op de vraag.
totaal
68
totaal
weet niet
nee
totaal
78
33
10
64,5%
27,3%
8,3%
121
Ruim de helft van de organisaties is van mening dat men een actief informatiebeveiligingsbeleid voert. Opvallend is dat meer dan een kwart van de organisaties vindt dat dit niet het geval is.
Pagina 3
De verdeling over de bedrijfstakken is zo goed als identiek als bij vraag 2, waarin gevraagd werd naar de aanwezigheid van een security officer. Interessant verschil is hierbij wel dat de ICT sector wel vaak vind dat een actief informatiebeveiligingsbeleid gevoerd wordt (67%), maar dat de aanwezigheid van een security officer daar niet noodzakelijkerwijs bijhoort. Hoewel slechts vier zorginstellingen deze vraag geldig hebben beantwoord geven toch drie van de vier instellingen te kennen dat zij hun informatiebeveiligingsbeleid actief voeren. 5. Is uw informatiebeleid gericht op een standaard? (ja / nee / weet niet) Het doel van deze vraag was om uit te vinden of organisaties standaarden zoals de Code voor Informatiebeveiliging implementeren binnen de eigen organisatie. ja
weet niet
nee
totaal
66
46
11
53,7%
37,4%
8,9%
6. Staat IB op de agenda van uw hoofddirectie? Northwave gelooft dat informatiebeveiliging een onderwerp is dat de steun en aandacht van het hoogste managementniveau verdient. Op de vraag of informatiebeveiliging op de agenda van de hoofddirectie van de eigen organisatie stond antwoordden de respondenten als volgt: weet niet
nee
7. Staat compliance op de agenda van de hoofddirectie? Organisaties hebben in toenemende mate te maken met dwingende wet- en regelgeving waaraan zijn moeten voldoen. De nationale en sub-nationale overheden spelen hierbij een kernrol, maar ook industriestandaarden als PCI DSS zijn niet langer ontkombaar. Northwave stelde de deelnemers aan het onderzoek de vraag of het voldoen aan weten regelgeving de benodigde managementaandacht ontving. ja
35
17
57,4%
28,7%
13,9%
Totaal
51
44
27
41,8%
36,1%
22,1%
122
In nog niet de helft van de organisaties is compliance een onderwerp dat terugkomt op de agenda’s van de hoofddirecties. Deze vraag werd door 122 mensen correct beantwoord. 8. Is IB in uw organisatie een technische functie? Informatiebeveiliging wordt vaak gezien als een technische functie. Northwave vroeg zich af in hoeverre dit nog steeds het geval is onder de beursbezoekers. Ja
weet niet
Nee
Totaal
56
45
19
46,7%
37,5%
15,8%
totaal
70
weet niet
nee
123
Opvallend is dat slechts de helft van de organisaties deze vraag met ‘ja’ heeft beantwoord. Dit wordt met name interessant wanneer men realiseert dat ruim 60% zichzelf beoordeelde als actief op het gebied van informatiebeveiliging.
ja
In slechts 57% van de gevallen werd de vraag bevestigend beantwoord. In bijna 30% van de organisaties die deze vraag correct beantwoordden ontvangt het onderwerp informatiebeveiliging niet voldoende aandacht.
122
Pagina 4
120
Verrassend genoeg geeft nog steeds slechts 37,5% van de respondenten aan dat informatiebeveiliging als méér dan een technische functie werd gezien in de organisatie. 46.7% ziet de functie wel als een technische functie, terwijl ongeveer 16% het niet weet. 9. Is IB voornamelijk gericht op beveiliging van het netwerk? In het geval dat informatiebeveiliging zich profileert als een technische functie is daarbij nog een grote variëteit aan benaderingen. Eén van die benaderingen is het benaderen van informatiebeveiliging als beveiliging van het netwerk. Northwave stelde de respondenten de vraag: is IB voornamelijk gericht op beveiliging van het netwerk? ja
weet niet
nee
totaal
48
57
16
39,7%
47,1%
13,2%
121
De vraag werd door 121 mensen beantwoord. 48 daarvan (39,7%) gaf aan dat informatiebeveiliging inderdaad met name plaatsvindt op het netwerkniveau. Iets minder dan de helft van de respondenten vind dus IB een technische functie en daarvan vind nog geen 40% dat IB voornamelijk gericht is op netwerkbeveiliging. 10. Is encryptie van informatie een prioriteit? Northwave signaleerde een toenemende belangstelling voor encryptie van gegevens. Voor een groot deel is deze belangstelling te verklaren vanuit wet- en regelgeving, maar ook recente berichten in de media over het ongewild openbaar worden van informatie, hebben hier zeker aan bijgedragen. De respondenten werd gevraagd of encryptie een prioriteit is binnen de eigen organisatie.
ja
weet niet
Nee
totaal
60
53
10
48,8%
43,1%
8,1%
123
Slechts de helft van de organisaties reageerde hierop positief. Verrassender is echter het relatief hoge percentage van respondenten dat aangaf dat encryptie expliciet geen prioriteit is (43%). 11. Benadert uw organisatie compliance en IB in samenhang? Northwave gelooft in een integrale aanpak van informatiebeveiliging. Onderdeel van deze aanpak is dat informatiebeveiliging gezien dient te worden als een integraal onderdeel van het integriteitsbeleid binnen een organisatie dat mede wordt ondersteund door technologie. Wij legden onze respondenten de vraag voor: benadert uw organisatie het voldoen aan wet- en regelgeving in samenhang met haar informatiebeveiligingsbeleid? ja
weet niet
nee
totaal
53
38
28
44,5%
31,9%
23,5%
119
Het was een plezierige verrassing om te constateren dat 44,5% van de organisaties IB en compliance inderdaad vanuit hetzelfde perspectief benadert. Opvallend is ook het relatief hoge percentage van “ik weet het niet” antwoorden. 12. Heeft uw organisatie te maken met beveiligingsincidenten? Om in te schatten hoe effectief informatiebeveiliging is stelden wij twee vragen. De eerste vraag was zuiver indicatief: heeft u te maken met beveiligingsincidenten.
Pagina 5
ja
weet niet
nee
totaal
68
36
17
56,2%
29,8%
14,0%
121
Het antwoord op deze vraag is dat ruim 56% van de organisaties wist dat men te maken heeft met incidenten. Wanneer dit wordt uitgezet tegen het feit dat 57% van de organisaties informatiebeveiliging op de agenda van de hoofddirectie heeft staan, en dat 55% van de organisaties een security officer heeft, leidt dat tot speculaties. Hoewel het op basis van deze geaggregeerde gegevens niet kan worden aangetoond is het toch interessant om nader onderzoek te doen naar de vraag: hebben organisaties met een actief informatiebeveiligingsbeleid en een speciaal daarvoor aangewezen persoon te maken met meer incidenten of hebben zij er gewoon beter inzicht in?
De tweede vraag met betrekking tot de effectiviteit van informatiebeveiliging was een kwantitatieve. Wij vroegen de deelnemers aan het onderzoek een cijfer te geven aan de eigen organisatie, op een schaal van 1-10, waarbij 1 het laagste en 10 het hoogste cijfer is. Voldoend Onvoldoende e
Weet niet
totaal
24
92
19
17,8%
68,1%
14,1%
135
Ruim 68% van de organisaties gaf zichzelf een voldoende. Dit sluit aan bij de constatering dat het gemiddelde van de zelfbeoordelingen een redelijk positief beeld liet zien: Gemiddelde beoordeling: Standaardafwijking:
6,7 1,5303
13. Met welk cijfer waardeert u de effectiviteit van informatiebeveiliging in uw organisatie? (tussen 1 en 10)
Wanneer deze berekening wordt gemaakt op grond van de bedrijfstak waarin de respondent werkzaam is zie deze er als volgt uit: Branche
Gemiddelde Standaardafwijking Aantal
* Zorg
5,0
1,15
4
* Onderwijs
6,0
1,41
6
* Overige
6,4
1,71
26
* Gemeenten
6,5
1,00
4
* Overheid
6,7
1,66
16
* ICT
6,9
1,53
33
* Financiele instelling
7,6
0,81
11
* Kennisorganisatie/consultancy
7,8
0,71
8
Uit dit overzicht blijkt dat kennis- en consultingorganisaties zichzelf consequent het hoogste beoordelen (gem. 7,8 met een standaardafw. van 0,71) en dat de laagste zelfbeoordeling terug te vinden is in de zorg. De grootste spreiding van antwoorden was terug te vinden in de categorie “overige”, nauw gevolgd door “Overheid”
Pagina 6
Indrukken Er is een redelijke mate van consistentie te zien bij de beantwoording van vragen over het hebben van voldoende kennis van wet- en regelgeving (57%), de aanstelling van een speciale Security officer (55%) en het aantal organisaties dat aangeeft dat ze te maken heeft met beveiligingsincidenten (56%). Met enig optimisme zou kunnen worden geconcludeerd dat die organisaties die geïnvesteerd hebben in een speciale beveiligingsfunctionaris ook daadwerkelijk in staat blijken om beveiligingsincidenten als zodanig te onderkennen. Dit zou ook een verklaring kunnen zijn voor de positieve score van ruim 68% op de vraag of de organisatie over een effectief beveiligingsbeleid beschikt. Dat zou dus betekenen dat bij ongeveer 32% van de organisaties nog ruimte voor verbetering is. Uit de onderzoeksresultaten blijkt echter ook dat met name de financiële dienstverlening en de (nationale) overheid specifiek aandacht aan informatiebeveiliging besteden door middel van een actief informatiebeveiligingsbeleid en/of door een daartoe specifiek persoon binnen de organisatie verantwoordelijk te stellen. In alle andere bedrijfstakken is geen eenduidig beeld te herkennen. De onderzoeksresultaten tonen ook dat de financiële dienstverleners, ICTbedrijven en kennis- en consultancyorganisaties zijn ook de enigen die zichzelf bovengemiddeld beoordelen. De categorieën waarin mensen werkzaam waren die antwoord hebben gegeven op de gestelde vragen die een minder dan gemiddeld effectief beveiligingsbeleid voeren zijn: Branche
Gemiddelde Std.Afw. Aantal
* Zorg
5,0
1,15
4
* Onderwijs
6,0
1,41
6
* Overige
6,4
1,71
26
* Gemeenten
6,5
1
4
Met name de zorg, met een gemiddelde van 5,0 en bijna de kleinste standaardafwijking valt hierbij op. Wel moet genoemd worden dat slechts vier zorginstellingen antwoord hebben gegeven op deze vraag. Van de vier organisaties in de zorg die de vraag beantwoordden, geven drie te kennen dat zij een actief informatiebeveiligingsbeleid voeren. Dit staat in contrast tot het lage gemiddelde cijfer dat de branche zichzelf geeft. Wanneer gevraagd werd naar het aantal beveiligingsincidenten waar respondenten mee te maken hadden gaven slechts twee zorginstellingen antwoord. Echter, beide instellingen gaven aan inderdaad met incidenten te maken te hebben. Deze resultaten sluiten aan bij een eerder onderzoek dat door Northwave is gepubliceerd en waaruit ook bleek dat informatiebeveiliging in de zorg onder de maat is.
Pagina 7
Northwave Northwave is een onafhankelijke expertiseorganisatie die organisaties ondersteunt bij het beschermen van informatie en het voldoen aan regelgeving, zoals PCI DSS of SOX. Wij leveren kwalitatief hoogwaardige diensten op het gebied van ontwerp, beoordeling en implementatie(begeleiding) van strategieën en architecturen voor informatiebeveiliging en compliance. Northwave gelooft in een gestructureerde aanpak van de problematiek en zoekt oplossing die gedreven worden vanuit bedrijfsdoelstellingen. De continuïteit van uw bedrijfsvoering, de exclusiviteit van uw bedrijfsinformatie en de correctheid en volledigheid van data en informatiesystemen in uw organisatie dienen te worden gewaarborgd door middel van een integrale aanpak van informatiebeveiliging. Al deze aspecten worden beïnvloed door dwingende wet- en regelgeving vanuit overheden of door middel van industriestandaarden, door aanvallen van buiten uw organisatie en van bedreigingen die al dan niet moedwillig van binnen uw organisatie voortkomen. Northwave gelooft in een gedegen aanpak van informatiebeveiliging die het risico van bedreigingen op een gestructureerde, modelgedreven manier beheersmaar maakt. Wij benaderen informatiebeveiliging vanuit de doelstellingen van uw organisatie, in plaats van vanuit de technologie. Door onze aanpak, die zowel organisatorische als technische aspecten mee in overweging neemt, zijn wij een geschikte partner om u te assisteren bij het ontwerpen en beoordelen van strategieën voor informatiebeveiliging en van informatiearchitecturen. Tevens kunnen wij u assisteren bij de implementatie van zulke strategieën of oplossingen.
Northwave BV Postbus 1054 3430 BB Nieuwegein Telefoon: +31 30 600-4727 Email:
[email protected] Web: http://www.northwave.nl
Pagina 8
