Onderzoek Centric: geen informatiebeveiligingsproces bij helft organisaties

In 2016 heeft de helft van de Nederlandse organisaties geen proces voor informatiebeveiliging ingericht. Dit ondanks het feit dat veel organisaties hierover wel beleid hebben opgesteld. Dat blijkt uit de Centric Security Survey 2016.

Centric publiceert de resultaten van de Security Survey 2016 die zij dit jaar onder haar relaties uitvoerde. In het onderzoek gaf 86 procent van de respondenten aan een beleid te hebben op het gebied van informatiebeveiliging. Opmerkelijk is echter dat slechts de helft (49 procent) van de respondenten dit beleid ook ondersteunt met een informatiebeveiligingsproces. Deelnemende organisaties waren onder andere gemeenten, ziekenhuizen, woningcorporaties en scholen.

Digitale focus
Verder valt op dat het beleid vaak bijna uitsluitend gericht is op de bescherming van digitale informatie. Minder aandacht gaat uit naar vormen van informatie als papieren archieven of de kennis bij medewerkers. Ongeveer 60 procent van organisaties geeft aan nauwelijks of geen aandacht te geven aan de bescherming van dergelijke vormen van informatie.
Volgens Gerard Stroeve, informatiebeveiligingsexpert bij Centric en een van de onderzoekers, valt die digitale focus wel te begrijpen. “De normenkaders voor informatiebeveiliging en de media leggen nu eenmaal veel aandacht op de IT-kant van het verhaal. Toch vraagt adequate informatiebeveiliging ook aandacht voor andere vormen van informatie. Hetzelfde geldt overigens voor de beveiligingsmaatregelen: deze moeten niet alleen technisch zijn, maar zich ook richten op de factor mens en de procesorganisatie.”

Gestegen aandacht
Centric constateert op basis van het onderzoek dat de aandacht voor informatiebeveiliging stijgt. Hoewel bestuurlijke aandacht voor het onderwerp dan ook redelijk hoog wordt ingeschat, erkennen veel deelnemers tegelijkertijd dat het ontbreekt aan intrinsieke motivatie. Verplichting, vooral vanwege aangescherpte wet- en regelgeving, geldt als de belangrijkste drijfveer voor informatiebeveiliging.

Bewustzijn
De grootste uitdaging om security te verbeteren, ligt volgens de respondenten in het verhogen van het bewustzijn onder medewerkers. Deelnemers beseffen dat een proactieve houding van medewerkers onmisbaar is in het beschermen van informatie. Security awareness staat bij 90 procent van de ondervraagden dan ook hoog op de agenda. Volgens Stroeve is het een goede ontwikkeling: “Aandacht geven aan awareness is zeker verstandig. Je kunt als organisatie tenslotte maar beter proactief het gesprek op gang brengen, dan dat je op enig moment vanwege een cyberincident zelf het gesprek van de dag bent.”

Rapport Papieren tijgers en kippen zonder kop
Alle resultaten van het onderzoek publiceert Centric in het rapport Papieren tijgers en kippen zonder kop.