Uit onderzoek, uitgevoerd door Crypsys Data Security, blijkt dat het midden- en kleinbedrijf in Nederland nog steeds een grote achterstand heeft op het gebied van ICT- en informatiebeveiliging.
Het onderzoek is gedaan onder 200 MKB-bedrijven met meer dan tien pc’s en had betrekking op diverse dagelijkse beveiligingsvraagstukken. Uit het onderzoek blijkt dat slechts 22 procent van de ondervraagden een richtlijn voor informatiebeveiliging heeft. Als er al een (beknopte) richtlijn is, wordt dit in tweederde van de gevallen niet officieel gesteund door het management.
Eventuele restricties bij het gebruik van IT-voorzieningen door personeel zijn weinig waard als ingehuurd personeel of leveranciers daarnaast ongestoord hun gang kunnen gaan. Dit aspect wordt geregeld over het hoofd gezien: meer dan de helft (59 procent) van de ondervraagden geeft aan niet contractueel te hebben vastgelegd hoe derden toegang kunnen krijgen tot de IT-voorzieningen.
Internetgebruik
Hoewel het MKB steeds vaker gebruik maakt van internet, wordt er nog weinig aandacht besteed aan de beveiliging van de informatie. Van de ondervraagden beschikt 96 procent over internet en e-mail. Meer dan de helft daarvan doet echter niets aan beveiliging in de vorm van bijvoorbeeld virusprotectie of firewalls. Het zal aan de resellers zijn deze bedrijven duidelijk te maken dat VPN, firewall en virus-bescherming zeer belangrijk zijn.
Slechts 11 procent van de ondervraagden heeft zijn informatie geclassificeerd op vertrouwelijkheid en als zodanig gekenmerkt. In alle andere gevallen wordt het aan de medewerkers zelf overgelaten om dit in te schatten. Het risico hiervan is dat verkeerde of verschillende inschattingen gemaakt worden en dat vertrouwelijke informatie (on)opzettelijk het bedrijf verlaat. Zonder officiële classificatie kan het management geen stappen ondernemen tegen overtredende medewerkers.
Bij een update van een besturingsysteem gaat 41 procent van de ondervraagden er zonder meer vanuit dat dit geen gevolgen heeft voor de beveiliging. Controle en toetsing aan het beveiligingsbeleid blijven dan ook achterwege. Zelden wordt stilgestaan bij het feit dat een omgeving na een update bijvoorbeeld onstabiel kan worden.
Ten slotte wordt ook de fysieke beveiliging vaak onderschat. In 52 procent van de gevallen is bijvoorbeeld de serverruimte tijdens kantooruren onbewaakt en in 70 procent van de gevallen ontbreken detectie- of alarmsystemen. Het ontbreken van rook- of warmtesensoren en het gebruik van verkeerd blusmateriaal kunnen echter verstrekkende consequenties hebben voor bijvoorbeeld de uitkering van verzekeringsgelden.
