Het midden- en kleinbedrijf in Nederland heeft nog steeds een grote achterstand op het gebied van ICT- en informatiebeveiliging. Dat blijkt uit een onderzoek dat uitgevoerd werd door Crypsys Data Security.
Het onderzoek, dat werd uitgevoerd onder 200 MKB-bedrijven met meer dan tien pcs, heeft betrekking op diverse dagelijkse beveiligingsvraagstukken, uiteenlopend van beveiligingsrichtlijnen tot de fysieke beveiliging van apparatuur. Uit het onderzoek blijkt dat 22 procent van de ondervraagden een richtlijn voor informatiebeveiliging heeft. Als er al een, vaak beknopte, richtlijn is, wordt dit in tweederde van de gevallen niet officieel gesteund door het management.
Volgens de onderzoekers wordt bovendien het aspect dat eventuele restricties bij het gebruik van IT-voorzieningen door personeel weinig waard zijn als ingehuurd personeel of leveranciers daarnaast ongestoord hun gang kunnen gaan, regelmatig over het hoofd gezien: 59 procent van de ondervraagden geeft aan niet contractueel te hebben vastgelegd hoe derden toegang kunnen krijgen tot de IT voorzieningen. De meeste bedrijven geven aan dat het gebruik van illegale software verboden is. Toch is er in 45 procent van de gevallen geen controle of sanctiebeleid geformuleerd omtrent software-installaties. In 23 procent van de gevallen werd zelfs toegegeven dat er doelbewust gebruik wordt gemaakt van illegale software.
Hoewel het MKB steeds vaker gebruik maakt van internet, wordt er nog weinig aandacht besteed aan de beveiliging van de informatie. Nagenoeg alle ondervraagden beschikken over internet en e-mail. Meer dan de helft daarvan doet echter niets aan de beveiliging in de vorm van bijvoorbeeld virusprotectie of firewalls.
Een klein percentage (11 procent) van de ondervraagden heeft haar informatie geclassificeerd op vertrouwelijkheid en als zodanig gekenmerkt. In alle andere gevallen wordt het aan de medewerkers zelf overgelaten om dit in te schatten. Risico hiervan is dat verkeerde of verschillende inschattingen gemaakt worden en dat vertrouwelijke informatie (on)opzettelijk het bedrijf verlaat. Zonder officiële classificatie kan het management geen stappen ondernemen tegen overtredende medewerkers.
Ook op het gebied van fysieke beveiliging blijft er in het MKB nog veel te wensen over. Hoewel 79 procent van de ondervraagden de stroomvoorziening beveiligd heeft met een Uninterrupted Power Supply (UPS), voert slechts een derde regelmatig de voorgeschreven testen uit. Negen van de tien bedrijven gebruikt back-up systemen om de bedrijfsinformatie veilig te stellen, maar bij 39 procent daarvan wordt niet of onvoldoende gecontroleerd of de back-up gelukt en compleet is. De benodigde tapes blijven jaren in gebruik en worden vaak te laat vervangen, pas nadat een storing aangetoond is. Bij een update van een besturingsysteem gaat 41 procent van de ondervraagden er zonder meer vanuit dat dit geen gevolgen heeft voor de beveiliging. Controle en toetsing aan het beveiligingsbeleid blijven dan ook achterwege. Zelden wordt er bij stil gestaan dat bijvoorbeeld een omgeving na een update onstabiel kan worden.