Security in Groot-Brittannië: beterschap maar toch…

Bij de opening van Infosecurity werden de resulaten van de tweejaarlijkse sercuritystudie in Groot-Brittannië voorgesteld. De cijfers wijzen op beterschap, maar er is geen reden tot euforie.

Bij de opening van Infosecurity werden de resulaten van de tweejaarlijkse sercuritystudie in Groot-Brittannië voorgesteld. De cijfers wijzen op beterschap, maar er is geen reden tot euforie.

Het ministerie van ‘Business, enterprise & regulatory reform’ (voorheen het ministerie van handel en nijverheid) kan in zijn studie wijzen op stevige vooruitgang inzake het securitybesef bij de hoogste bedrijfsleiding – ook in kleinere bedrijven. Daarbij wordt ook uitdrukkelijk gedacht aan de bescherming van onder meer klantengegevens.

Dat alles resulteert in een uiterst brede aanwending van de belangrijkste securitymiddelen, zoals antivirus (minstens bij 95 procent van alle respondenten). Dat lijkt dan weer aan de basis te liggen van een daling van het aantal securityincidenten die de bedrijven in de studieperiode meldden, wat alles samen toch mooi klinkt.

Helaas is het niet al rozengeur en maneschijn. De bedrijven stellen steeds meer ‘uiterst afhankelijk’ te zijn van ict voor hun normale werking (84% van de respondenten), maar nog steeds ontbreekt het velen aan een goed disaster recovery plan. Bovendien worden in snel tempo technologieën als VoIP, instant messaging of toegang van op afstand ingevoerd, zonder navenante beveiligingsmaatregelen. Laat staan dat maatregelen worden genomen tegen gegevensverlies door usb-sticks, verloren notebooks en dies meer.

Ook mag het besef wel groter zijn, maar niet noodzakelijkerwijze ook de kennis. Zo heeft slechts een 11 procent van de bedrijven de belangrijkse securitystandaard (BS7799/ISO 27001) gehanteerd.

Het gevolg is dan ook dat het aantal securityincidenten is gedaald, maar de gemiddelde kost per incident is gestegen. Zowel inzake kost om de schade te herstellen (zoals een viruswissing die een kmo 100 mandagen kostte) als inzake gederfde inkomsten.

Gekoppeld aan de nieuwe malware-aanvallen die duidelijk op geldgewin uitzijn – zoals ‘whaling’, het uiterst gericht mikken op de belangrijkste personen in bedrijven, zoals de ceo – vrezen de respondenten dan wel voor meer incidenten, die moeilijker opspoorbaar zullen zijn.

Belangrijk blijkt ook het groeiend inzicht dat de securitytechnologie wel effectief is, maar dat de volgende vooruitgang in beveiliging een kwestie wordt van meer ‘security awareness’ bij de werknemers in bedrijven, maar ook bij ict’ers zoals softwareontwikkelaars.