ICT-beveiliging kent zoveel aspecten dat IT’ers het niet alleen kunnen en moeten doen. AG Connect peilt de praktijk.

IT’ers krijgen verantwoordelijkheid voor security, en vóelen zich ook verantwoordelijk. Tegelijkertijd geven ze aan dat ICT-security niet puur en alleen een ICT-taak is. Dit zijn enkele van de uitkomsten van het grote onderzoek van AG Connect: ICT-security 2019 in praktijk, theorie en balans.

IT en business spreken elkaars taal niet, maar hebben elkaar wel nodig. In de moderne tijd van grote ICT-afhankelijkheid geldt dat des te meer. Daar komt nog de complicatie van ICT-security bij, wat in businesskringen ook wel cybersecurity wordt genoemd. Topmanagers, bestuurders en bewindvoerders erkennen weliswaar het belang van cybersecurity, maar het is de vraag of dat ook leidt tot betere beveiliging.

Van vroeger naar nu

Computerzaken zijn vanuit de oudheid overgelaten aan de IT-afdeling, wat in den beginne nogal eens een van de business gescheiden bastion met techneuten was. ICT-security komt vaak vanuit eenzelfde oorsprong. Het valt te betwijfelen hoe terecht en vooral houdbaar dat is. Want impact én oorzaak van ICT-onveiligheid raakt hele organisaties en ketens. Van groot tot klein, van hoog tot laag.

AG Connect heeft een grote peiling uitgevoerd onder IT’ers naar hun ervaringen met ICT-security in 2019. Wie is er theoretisch verantwoordelijk voor ICT-security? Wie voelt zich praktisch verantwoordelijk? En wie zou er mede verantwoordelijk moeten zijn? Welke hordes en risico’s spelen er in de praktijk? Wie werkt er actief mee aan security, en wie zou meer moeten bijdragen? Helpen wet- en regelgeving, zoals de AVG?

96,2 procent: nee

Zo’n 1200 IT-professionals, in bedrijfsleven (57 procent) en in de publieke sector (43 procent), hebben deze en andere vragen beantwoord. Het beeld dat naar voren komt is dat IT’ers security weliswaar als voorname taak zien, maar niet als exclusieve taak voor hun beroepsgroep. Een forse 96,2 procent van de respondenten antwoordt met een duidelijk ‘nee’ op de vraag of ICT-security puur en alleen een IT-verantwoordelijkheid is.

In wisselende mate worden management, werknemers, maar ook specifieke afdelingen als Finance en HR aangewezen als verantwoordelijkheid dragend voor ICT-security. Tenminste, dit dan volgens de door AG Connect bevraagde IT’ers. Bijna de helft van de respondenten oordeelt dat management volledige verantwoordelijkheid draagt voor ICT-security, terwijl ruim een derde antwoordt: veel verantwoordelijkheid.

Ruim een tiende (11 procent) deelt management een ‘redelijke mate’ van verantwoordelijkheid toe voor ICT-security. Een twintigste (5 procent) geeft aan dat management ‘nauwelijks’ verantwoordelijkheid draagt, en 1 procent antwoordt ‘niet’ op de verantwoordelijkheidsvraag voor het organisatiebestuur.

(On)verantwoordelijk

Ten aanzien van werknemers zien IT’ers de verantwoordelijkheidslast opvallend anders. Krap een kwart (24 procent) stelt dat werknemers verantwoordelijkheid dragen voor ICT-security. Nog niet de helft (44 procent) bedeelt hun ‘veel verantwoordelijkheid’ toe, en minder dan een kwart (22 procent) houdt het op ‘redelijk’. De antwoordopties ‘nauwelijks’ en ‘niet’ gelden voor respectievelijk 7 en 1 procent.

Over de hele linie van de organisatie wordt niet helemaal een gemiddelde van de subcategorieën management en werknemers gegeven. Ruim een kwart (27 procent) van de bevraagde IT’ers antwoordt dat verantwoordelijkheid voor ICT-security ‘volledig’ bij iedereen in de organisatie ligt. Krap twee vijfde (38 procent) noemt ‘veel’ en een opvallend fors kwart (25 procent) geeft ‘redelijk’ aan. De vrijbrieven van ‘nauwelijks’ en ‘niet’ voor beveiligingsverantwoordelijkheid scoren respectievelijk 8 en 1 procent.

Specifieke organisatie-afdelingen zoals Finance en HR gaan redelijk gelijk op in het oordeel van IT’ers over de mate waarin zij verantwoordelijkheid (mee)dragen voor ICT-beveiliging. Daarbij valt wel op dat die afdelingen minder in ‘volledige mate’ verantwoordelijkheid dragen volgens IT-professionals in bedrijfsleven en publieke sector. Zij kennen Finance en HR ook meer een ‘redelijke mate’ van verantwoordelijkheid toe, plus flink meer ‘nauwelijks’ en in verhouding ook opvallend veel ‘niet’ (4 procent).

Risico van binnen

In dit licht beschouwd is de cybercrimezaak van Pathé minder opzienbarend dan het lijkt. Dit los van de hoogte van het verlies à 19 miljoen euro dat de bioscoopketen heeft geleden door nepmails en frauduleuze overboekingen. Striktere monitoring van transacties had dit kunnen voorkomen, of indammen, maar functioneel gezien moeten bepaalde werknemers nu eenmaal bedragen kunnen overboeken.

Cruciaal voor het daadwerkelijk verbeteren van beveiliging is dan ook of de overige mensen in een organisatie hun verantwoordelijkheid zien. Én of ze die ook nemen. Laatstgenoemde valt echter te betwijfelen. Volgens IT-professionals zijn de voornaamste risico’s bij het beveiligen van de eigen organisatie achtereenvolgens eindgebruikers, cybercriminelen en willekeurige securitydreigingen.

Bovendien worden negatieve beveiligingsinvloeden van buitenaf (zoals cybercriminelen maar ook securityvandalen of onbedoelde datalekkage) ook versterkt door de risico’s van insiders. Zij kunnen goedbedoelend maar onwetend zijn, en zo vallen voor kwaadwillenden, maar de eigen werknemers kunnen ook zelf te kwader trouw zijn. De ophefwekkende onthulling van bedrijfsspionage bij de Nederlandse chipmachineproducent ASML is een treffend voorbeeld van dat laatste.

Hordes voor beveiliging

Het wekt dus geen verbazing dat ICT-security bij het leeuwendeel (86 procent) in de top 5 van prioriteiten staat. Forse hordes in de realisering zijn kennisgebrek (67 procent) en tekort aan experts (63 procent), maar ook marktontwikkelingen (52 procent) en budget(beperkingen) (50 procent) worden ervaren als belemmeringen voor ICT-security.

Bijna de helft (48 procent) van de respondenten is dan ook redelijk bezorgd over de security van hun organisatie. Een derde is hierover nauwelijks bezorgd , en een klein deel (4 procent) zelfs niet. Daar tegenover staat een zeer klein deel dat zeer bezorgd is, en een redelijk deel (13 procent) dat behoorlijk bezorgd is.

Meer dan de helft (54 procent) ziet de eigen organisatie als doelwit voor cybercrime. Een forse minderheid (21 procent) antwoordt hier ‘nee’ en een kwart kiest voor ‘weet niet’. De ingeschatte vatbaarheid voor security-incidenten, wat natuurlijk niet gelijk hoeft te staan aan cybercrime, kent een wat andere verdeling. Bijna twee derde (65 procent) antwoordt ‘ja’, nog geen kwart (22 procent) kiest voor ‘weet niet’, en ruim een tiende (13 procent) geeft aan niet vatbaar te zijn voor ICT-security-incidenten.

Reis, geen doel?

Bijna de helft (41,8 procent) van de ondervraagden denkt de eigen organisatie voor 51 tot 75 procent te kunnen beveiligen. Een iets groter aandeel (45,3 procent) is optimistischer en denkt 76 tot 99 procent beveiliging van de eigen organisatie te kunnen realiseren. Een klein deel (9 procent) schat een beveiligingspercentage van 26 tot 50 procent in. Hiernaast houdt een zeer klein deel (3 procent) het op 0 tot 25 procent. Opvallend genoeg zijn er ook IT’ers (1 procent van de respondenten) die stellen dat ze hun organisatie voor 100 procent kunnen beveiligen.

Beveiliging staat nog maar in de kinderschoenen

Een slepende vraag is wie er nu verantwoordelijk is voor security van de ICT-middelen waarvan organisaties steeds afhankelijker zijn. Ruim een derde van de bevraagde IT’ers geeft aan niet (mede) verantwoordelijk te zijn voor security in de organisatie. Daarmee is er echter geen sprake van een gebrek aan betrokkenheid. IT-professionals zijn wel degelijk bezig met ICT-security. Hun inspanningen bevinden zich vooral op adviserend (57 procent) en praktisch uitvoerend (45 procent) gebied.

Toch zijn IT’ers niet slechts onderaannemers wat security betreft: ze zijn naar eigen zeggen ook strategisch meesturend (40 procent) en in iets mindere mate strategisch formulerend of bepalend (35 procent). Een enkeling verzorgt IT-security niet alleen bij het eigen bedrijf maar ook bij klanten. Een andere respondent heeft juist de werkzaamheden op dit gebied verlegd naar een derde partij. En nog een ander geeft aan: “Tsja, beveiliging staat nog maar in de kinderschoenen.”

Verantwoordelijk vóelen

De praktische beveiligingsinspanningen van IT’ers zijn te linken aan het gevoel van verantwoordelijkheid dat ze blijken te hebben. Bijna de helft (46,6 procent) geeft aan zich verantwoordelijk te voelen voor ICT-security en nog eens een kwart (25,2 procent) heeft ‘behoorlijk veel’ verantwoordelijksgevoel. Weer een kwart voelt zich redelijk (16 procent) of enigszins (10 procent) verantwoordelijk. Slechts 2 procent antwoordt ‘nee’ op de vraag of zij zich verantwoordelijk voelen voor ICT-security.


Bron: https://www.agconnect.nl/artikel/iter-kan-ict-security-niet-alleen-aan