5 november 2010 -
Wereldwijd heeft minder dan één derde van de bedrijven een programma voor IT-risicobeheersing doorgevoerd om de risico's rondom het gebruik van nieuwe technologieën aan te pakken. Ondanks de snelle opkomst van nieuwe technologie beschouwt maar één op de tien bedrijven onderzoek naar nieuwe en opkomende IT-trends als een noodzakelijke activiteit op het gebied van informatiebeveiliging.
Zo blijkt uit de dertiende jaarlijkse Global Information Security Survey van Ernst & Young. De aanzienlijke toename in het gebruik van externe service providers en de overgang naar nieuwe technologieën zoals cloud-computing, social networking en Web 2.0, worden door 60 procent van de ondervraagden gezien als een oorzaak voor de toename van de risico's. Monique Otten, partner bij Ernst & Young: "Hoe beveilig je je gegevens in een volledig open wereld, waar alles en iedereen met elkaar verbonden is?"
Jaarlijkse investering
Ondanks dat is slechts de helft bereid de jaarlijkse investering in preventie van gegevensverlies te vergroten - een toename van zeven procent ten opzichte van vorig jaar. Om de mogelijke nieuwe risico's aan te pakken, wil 39 procent het beleid aanpassen, implementeert 29 procent encryptie maatregelen en voert 28 procent strengere maatregelen door voor identiteits- en toegangbeheer.
Mobiliteit verhoogt risico's Door de toegenomen mobiliteit van medewerkers is het niet eenvoudig om met effectieve initiatieven te komen op het vlak van informatiebeveiliging, zo geeft meer dan de helft van de ondervraagden aan. Door het wijdverbreide gebruik van mobiele apparatuur hebben mensen immers overal en altijd toegang tot bedrijfsgegevens en kunnen ze deze vanaf elke plek te allen tijde verspreiden. "Werknemers zijn zich daarbij vaak niet bewust van de risico's," zegt Monique Otten van Ernst & Young.
Door bijna twee derde van de ondervraagden (64 procent) wordt het niveau van beveiligsbewustzijn bij werknemers dan ook gezien als een aanzienlijk probleem. Monique Otten: "In aanvulling op het implementeren van de nieuwe technologieën die ondermeer het mobiel werken bevorderen, zouden bedrijven hun medewerkers moeten informeren over de risico's. Een periodieke training om het beveiligingsbewustzijn van medewerkers te vergroten, is een kritische succesfactor voor een effectieve beveiliging in een continu veranderende IT- omgeving."
Externe certificering Diensten op het vlak van cloud-computing worden door steeds meer bedrijven ingezet: 23 procent van de ondervraagden zegt hier momenteel gebruik van te maken, terwijl nog eens vijftien procent van plan is hier de komende twaalf maanden toe over te gaan. Een belangrijke overweging is vaak kostenreductie. Op de vraag of een externe certificering van de cloud-serviceprovider het vertrouwen zou vergroten, antwoordt 85 procent van de ondervraagden bevestigend. 43 procent geeft daarbij aan dat deze certificering zou moeten uitgaan van een overeengekomen standaard en 22 procent zou vereisen dat de certificerende instelling officieel erkend is.
De inhoud van dit artikel is niet echt nieuw. Het gegeven, de zwakste schakel, lees gebruik[st]er, is al sinds het begin van het werken met automatisering een 'veiligheids risico'. Dat ligt hem aan meerdere factoren.
Mobiel werken.
Mobiel werken, al helemaal niet met de huidige technologie, hoeft helemaal niet zo'n risico te zijn als hier word geschetst. Technisch is een mobiele werkplek aardig 'dicht te spijkeren' zonder dat dit noemenswaardige vertraging of beperking met zich mee brengt.
Het word natuurlijk een ander verhaal wanneer men zo nonchalant met ter beschikking gestelde mobiele werkplek om gaat dat het vragen is om problemen. Doorgaans kom ik in het veld best consciëntieuse mensen tegen.
IT, Techniek en ontwikkelingen
Als organisaties vrijwel worden gespamd door verkopende partijen die of gene nieuwe techniek aan te schaffen omdat, dan begint de ellende vaak pas. Ik ben in legio grotere organisatie werkzaam geweest. Organisaties die een contract hadden met een IT dienstenleverancier. Dat die betreffende IT diensten leverancier nog niet eens de inzicht, kennis en kunde bezat, op ordentelijke wijze iets van ITIL of een duidelijke project managements uitvoering te kunnen demonstreren.
Sterker nog, niet eens in staat bleek decent IT diensten leverantie en content management te beheersen waar zelfs het maken van een regelmatige backup een hopeloze exercitie is gebleken.
We hebben het hier overigens absoluut niet over de minste namen, ze weten het alleen erg goed te verkopen.
Dat deze leveranciers vrijwel geen kaas hebben gegeten van decent IT voering en implementatie maar in de reclamewereld de mooiste kreten en slogans weten te verzinnen maar wanneer je ze eenmaal binnen hebt, je meteen al spijt als haren op je hoofd hebt.
Het nieuwe werken
Het nieuwe werken wat mij betreft? Zorgen dat er een up to date CMDB is. Dat er een dagelijkse en geteste back up wordt gedraaid. Dat men in de organisatie weet hoeveel men betaald aan licenties en dat men ook weet dat men de overtollige IT ballast allang kwijt is. Dat men weet waar de winst zit en waar de werkelijk noodzakelijke kosten.
Dat men weet welke systemen 'business critical' kunnen worden genoemd en hoe het is gesteld met eenvoudige zaken zoals een goed gemanagede lifecycle. Total Cost of Ownership en een duidelijke IT inrichting.
Besparen
IT KA omgevingen zijn er om te besparen en die besparingen kun je door heel helder en zinnig nadenken bereiken en dan hebben we het over werkelijke besparingen en niet de spastische reactie bij tegenslag kennis en kunde de deur uit te laten vloeien.
Wil je er werkelijk toe doen gebruik dan de voor de hand liggende technieken die er zijn, wetende dat de gebruik[st]er altijd de zwakke schakel zal zijn. Met een beetje eenvoudig denkwerk kom je al een heel eind en dan gaat de gebruiker vanzelf de waarde van materiaal in zien.
Gelukkig gaan steeds meer organisaties dit ook werkelijk onderkennen.
