State of Information Security Survey

View this page in: Français

In de hele wereld investeren organisaties in infrastructuur, maar lopen ze achter inzake de implementatie, meting en herziening van een veiligheids- en privacybeleid. Dat blijkt uit de 5e jaarlijkse Global State of Information Security Survey, anno 2007, een wereldwijd onderzoek van PwC, CIO Magazine en CSO Magazine.

Het onderzoek, het grootste in zijn soort, verwerkt antwoorden van 7.200 IT, security en business executives in meer dan 119 landen (waaronder België) in alle sectoren.

De voornaamste resultaten van het onderzoek tonen aan dat:

  • organisaties sterk staan qua infrastructuur en beveiligingstools, maar het niet zo goed doen qua toezicht en uitvoering;
  • aanvullende IT-uitgaven moeten zorgen dat de IT-beveiliging beter wordt afgestemd op de businessdoelstellingen;
  • werknemers – de meest waarschijnlijke oorzaak van veiligheidsincidenten – niet voldoende ‘bewust’ zijn;
  • er nog altijd weinig vertrouwen is in beveiligingsmaatregelen van derden.

Dit bericht, dat meer op de Belgische resultaten focust, biedt meer specifieke details en onderstreept de belangrijkste verschillen in vergelijking met de wereldwijde resultaten en de resultaten van vorige jaren.

Daniel Evrard, PwC Advisory Partner in IT Effectiveness: “De kwaliteit van informatiebeveiliging steunt op de zwakste schakel: Belgische bedrijven moeten het bewustzijn van gebruikers vergroten en controlemaatregelen implementeren om hun risico’s beter te controleren zodat hun technologische investeringen maximaal voordeel opleveren voor de business. Rapporten over de efficiëntie van de beveiliging op basis van reële tests zullen het vertrouwen van het bedrijfsmanagement in de prestaties vergroten en hun aandacht vestigen op te treffen aanvullende maatregelen.”

  • Ruimte voor verbetering van de beveiliging voor IT én business.

Volgens het onderzoek is er in Europa en in België voortdurend meer behoefte aan doordacht Information Security Management. Security Management wint aan maturiteit. Sinds 2006 is de vertegenwoordiging door Chief Information Security Officers (CISO’s) in Europese organisaties aanzienlijk toegenomen. In België heeft meer dan de helft van de respondenten een CISO benoemd, wat veel meer is dan in de rest van Europa en in de VS. Desondanks verklaart slechts één derde dat beveiligingskwesties zowel door beslissingsnemers op IT- als op businessniveau worden aangepakt.

 

België

EU 2007

EU 2006

VS

Wereld

Welke informatiebeveiligingsmiddelen met betrekking tot MENSEN gebruikt uw organisatie momenteel?

Benoeming van Chief Information Security Officer (CISO )

53,0%

38,4%

24,6%

31,5%

32,2%

Benoeming van Chief Security Officer (CSO)

39,4%

30,5%

21,4%

28,9%

28,3%

Wie is actief betrokken bij de aanpak van informatiebeveiligingskwesties in uw organisatie?

Beide: beslissingsnemers op IT- zowel als op businessniveau

33,3%

45,9%

43,2%

69%

52,4%
  • Organisaties staan sterk qua infrastructuur en beveiligingsmiddelen, maar doen het niet zo goed qua toezicht en uitvoering.

De meeste Belgische organisaties hebben ook zwaar geïnvesteerd in technologische veiligheidsmaatregelen zoals firewalls rond hun netwerk, back-ups van gegevens, wachtwoorden voor gebruikers en antispywareprogramma’s. Hiermee volgen ze de Amerikaanse en Europese trend.
Investeringen in minder tastbare zaken, zoals toezicht en audits inzake compliance, bewustmaking, standaardisering van processen en mechanismen voor de toepassing van normen, blijven klein. 70% van de Belgische respondenten verklaart bijvoorbeeld nooit compliance-tests uit te voeren. Bovendien heeft minder dan de helft van de organisaties het afgelopen jaar de efficiëntie van het eigen veiligheidsbeleid en de eigen veiligheidsprocedures gemeten en beoordeeld.

 

België

EU 2007

EU
2006

VS

Wereld

Welke informatiebeveiligingsmiddelen met betrekking tot TECHNOLOGIE gebruikt uw organisatie momenteel?

Firewalls rond netwerken

85,9%

87,4%

75%

93,7%

87,8%

Wachtwoorden voor gebruikers

83,1%

81,5%

 

84,9%

80,1%

Back-ups van gegevens

88,7%

89,2%

 

85,7%

82,2%

Spyware

87,3%

79,6%

 

84,6%

79,8%

Welke informatiebeveiligingsmiddelen met betrekking tot processen gebruikt uw organisatie momenteel?

Mechanismen voor toepassing van normen

40,9%

28,2%

17,3%

37,3%

30,9%

Compliance-testing

28,2%

34,4%

27,8%

50,3%

39,9%

Heeft uw bedrijf het afgelopen jaar de efficiëntie van het beleid inzake informatieveiligheid gemeten en beoordeeld?

Ja

45,6%

46,1%

 

47,9%

48,2%
  • Hiaten in de afstemming van de veiligheidsuitgaven op de businessdoelstellingen.

Momenteel zijn er hiaten in de afstemming van de veiligheidsuitgaven op de businessdoelstellingen. In het onderzoek verklaart slechts één Belgische respondent op drie dat het informatieveiligheidsbeleid van zijn organisatie volledig is afgestemd op de businessdoelstellingen, en er zijn er nog minder die denken dat hun veiligheidsuitgaven erop afgestemd zijn.

 

België

EU 2007

EU 2006

VS

Wereld

Hoe goed is het veiligheidsbeleid van uw bedrijf afgestemd op de businessdoelstellingen?

Volledig afgestemd

34,8%

30,1%

27,2%

31,3%

30,4%

Hoe goed zijn de veiligheidsUITGAVEN van uw bedrijf afgestemd op de businessdoelstellingen van uw bedrijf?

Volledig afgestemd

26,0%

24,0%

19,7%

20,3%

22,3%

Hoewel 56 percent van de respondenten verklaart dat de naleving van reglementen heeft geleid tot een aanzienlijke stijging van de veiligheidsuitgaven, zegt 70% dat ze veiligheid niet koppelen – noch via de organisatiestructuur noch via het beleid – aan de naleving van privacy en/of reguleringen.

 

België

EU 2007

EU 2006

VS

Wereld

Hoe groot is de invloed van reguleringen op uw uitgaven voor informatieveiligheid?

Uitgaven zijn aanzienlijk gestegen

56,5%

49,0%

38%

59,1%

52,7%

Welke informatiebeveiligingsmiddelen met betrekking tot MENSEN gebruikt uw organisatie?

Veiligheid gekoppeld aan naleving van privacy en/of reguleringen, hetzij via organisatiestructuur hetzij via beleid

31,8%

34,7%

23,8%

49,2%

41,6%

Net zoals in de rest van de wereld gaan uitgaven inzake informatieveiligheid vooral naar de continuïteit van de business/disaster recovery en naar de naleving van reguleringen. In België hebben de bedrijfsreputatie en digitale convergentietrends (VoIP, enz.) wel een grotere impact op veiligheidsuitgaven dan in de rest van de wereld.

Marc Sel, Director bij PwC en expert in IT-beveiliging, voegt toe dat men in België ook projecten begint te zien die hun voordeel doen met de grote investeringen die de regering doet in de eID-kaart, de elektronische identiteitskaart.

 

België

EU 2007

EU 2006

VS

Wereld

Welke bedrijfskwesties of -factoren bepalen uw uitgaven voor informatieveiligheid?

Continuïteit van de business/disaster recovery

65,1%

70,8%

49,8%

67,8%

68,4%

Naleving van reguleringen

61,9%

57,4%

 

65,7%

54,0%

Bedrijfsreputatie

54,0%

46,5%

37,5%

44,7%

44,2%

Digitale convergentietrends (VoIP, enz.)

34,9%

24,5%

23,7%

20,7%

23,8%
  • Werknemers – de meest waarschijnlijke oorzaak van veiligheidsincidenten ­– zijn niet voldoende ‘bewust’.

Voor de eerste keer bekleden werknemers de eerste plaats als meest waarschijnlijke oorzaak van gebeurtenissen die betrekking hebben op informatieveiligheid. Niet minder dan 60% van de respondenten citeert werknemers als de voornaamste bron van aanvallen, vóór hackers. Dat is aanzienlijk meer dan in 2006 en meer dan de Europese, Amerikaanse en wereldwijde cijfers. Meer dan de helft van de ondervraagden in het onderzoek meent dat minder dan 75% van hun personeel voldoet aan hun beleid inzake informatieveiligheid (in de VS slechts 27%). Bovendien treffen Belgische bedrijven minder beveiligingsmaatregelen in verband met opleidingen en bewustmaking van hun werknemers op het vlak van privacybeleid.

 

België

EU 2007

EU 2006

USA

Wereld

Geschatte waarschijnlijke oorzaak van incidenten

Werknemers

60,9%

48,8%

28,7%

46,6%

47,9%

Hackers

32,6%

39,2%

53,1%

41,6%

41,4%

Welk percentage van uw gebruikers voldoet volgens u aan het beleid inzake informatieveiligheid?

Minder dan 75%

51,1%

45,5%

57,8%

26,8%

42,2%

Over welke beveiligingsmiddelen beschikt uw organisatie voor de bescherming van de privacy van gegevens?

Opleidingen over privacybeleid en ‑praktijken

14,3%

41,3%

47,8%

58,6%

56,5%
  • Nood aan betere beveiliging bij derden.

Het onderzoek toont ook aan dat bedrijven continu worstelen met het uitbreiden van de beveiliging naar derden. Organisaties lopen achter bij de inventarisering van alle derden die klantengegevens gebruiken en vergeten van die derden te eisen dat ze voldoen aan hun privacybeleid. Een grote meerderheid heeft een beperkt vertrouwen of helemaal geen vertrouwen in de informatieveiligheid van de externe partners. Het vertrouwen in de veiligheid bij die externe partners is drastisch gedaald.

 

België

EU 2007

EU 2006

VS

Wereld

% respondenten dat weinig of helemaal geen vertrouwen heeft in de informatieveiligheid van:

externe partners/leveranciers

75,6%

81,6%

60,4%

72,0%

82,3%

de outsourcingleverancier

75,6%

74%

53,1%

66,1%

75,5%

Welke informatiebeveiligingsmiddelen met betrekking tot privacy van gegevens gebruikt uw organisatie?

Van derden (incl. outsourcingleveranciers) wordt geëist dat ze voldoen aan het privacybeleid van onze organisatie

42,9%

45,2%

26,9%

52,4%

47,3%

Daniel Evrard besluit: “Nu de business meer en meer internationaal wordt, zelfs wereldwijd verloopt, en er voortdurend meer geoutsourced wordt, moeten Belgische bedrijven specifiek aandacht besteden aan het veiligheidsaspect wanneer ze elektronisch in contact staan met derden.”

xxx

Opmerking voor de redacties : Gelieve naar het onderzoek te verwijzen als “The State of Information Security 2007, een wereldwijd onderzoek door CIO, CSO en PwC.” De bronregel moet CIO, CSO en PwC bevatten.

- De wereldwijde resultaten van dit onderzoek zijn terug te vinden op www.pwc.com/security.
- Belgische journalisten kunnen een exemplaar verkrijgen bij Luna

(contactgegevens invoegen …).

Methodologie
The Global State of Information Security 2007, een wereldwijd onderzoek door CIO Magazine, CSO Magazine en PwC, werd online gevoerd van 6 maart 2007 tot 4 mei 2007. Lezers van CIO en CSO en klanten van PriceWaterhouseCoopers werden per e-mail uitgenodigd om de enquête in te vullen. De resultaten in dit onderzoek zijn gebaseerd op de antwoorden van 7.200 CEO's, CFO's, CIO's, CSO's, vice-presidents, directeurs IT, IS en Veiligheid, en IT-professionals uit meer dan 100 landen. De meeste respondenten kwamen uit Noord-Amerika (36%), gevolgd door Europa (28%), Azië (23%), Zuid-Amerika (2%) en het Midden-Oosten en Zuid-Afrika (2%). De foutenmarge voor dit onderzoek bedraagt +/- 1,0 percent.

Over PwC
PwC (www.pwc.com) levert sectorgerichte diensten op het vlak van audit, fiscaliteit en adviesverlening om het publieksvertrouwen te versterken en extra waarde voor cliënten en hun belanghebbenden te creëren. Meer dan 140.000 mensen in de 149 landen waarin ons netwerk is ontplooid, delen hun ideeën, ervaring en oplossingen om tot nieuwe inzichten te komen en praktisch advies te geven.

‘PwC’ verwijst naar het netwerk van firma’s die deel uitmaken van PwC International Limited. Elke firma is een afzonderlijke en onafhankelijke juridische entiteit.

Over CIO Magazine en CSO Magazine
CIO Magazine en CSO Magazine worden uitgegeven door CXO Media Inc. CIO Magazine, gesticht in 1987, bespreekt kwesties die van vitaal belang zijn voor het succes van Chief Information Officers (CIO’s) in de hele wereld. De portfolio van CIO omvat een begeleidende website www.CIO.com, CIO Executive Programs, een reeks persoonlijke conferenties met educatieve en netwerkmogelijkheden voor vooraf geselecteerde bedrijfs- en regeringsleiders.

CSO Magazine, opgericht in 2002, de begeleidende website (www.CSOonline.com) en de CSO Perspectives™-conferenties bieden Chief Security Officers (CSO's) analyses en inzicht in veiligheidstrends en een goed begrip van hoe ze succesvolle strategieën kunnen ontwikkelen om al hun ‘business assets’ te beveiligen.. CXO Media is een afdeling van International Data Group (IDG).
                                       
© 2007 PwC. Tous droits réservés.