Bedrijven beschikken steeds vaker over allerlei beveiligingsmiddelen maar vergeten te investeren in bewustzijnstrainingen voor medewerkers. Dat blijkt uit onderzoek door beveiligingsspecialist Pinewood onder bezoekers van InfoSecurity 2008.
Door het niet investeren in bewustzijnstrainingen voor medewerkers lopen bedrijven het risico dat het (logische en fysieke) beveiligingsbeleid niet goed uitgevoerd wordt, stelt Pinewood.
Van de deelnemers aan een onderzoek, bezoekers van InfoSecurity 2008, gaf 70 procent aan dat hun organisatie beschikt over een security beleidsplan. Hiermee worden in theorie beveiligingsdoelstellingen en -maatregelen duidelijk in kaart gebracht. Liefst 97 procent beschikt over een firewall of beveiligde VPN-verbinding, 94 procent heeft antivirussoftware geïnstalleerd, 79 procent heeft fysieke toegangscontrole zoals toegangspasjes, 67 procent versleutelt data of disks en 65 procent van de respondenten geeft aan de toegangscontrole tot computersystemen te regelen met tokens of public key infrastructures (pki’s). Slechts eenderde van de bedrijven heeft geïnvesteerd in beveiligingsbewustzijn van medewerkers.
Hans Doornbosch, directeur Pinewood: "De uitkomsten van dit onderzoek sluiten aan bij onze bevindingen bij klanten. Bij veel bedrijven ontbreekt concreet beveiligingsbeleid en bewustzijn daarvan, terwijl bedrijven wel allerlei technische maatregelen implementeren. Dit is natuurlijk een schijnveiligheid. De oorzaak van security problemen is veel vaker menselijk gedrag dan falende techniek. Netwerk- en databeveiliging vragen allereerst om kennis van de materie, vervolgens implementatie van juiste middelen en tenslotte awareness van hoe om te gaan met deze kennis en middelen. Alleen dan zijn bedrijven goed beveiligd tegen aanvallen van buitenaf."