18 januari 2013 -
40 procent van de werknemers krijgt geen training in het veilig omgaan met ICT middelen en bedrijfsinformatie. Zij zijn daardoor onvoldoende in staat risico’s te herkennen en worden zo een makkelijke prooi voor cybercriminelen. Werknemers die wél voorlichting krijgen over informatiebeveiliging, ontvangen dit alleen in algemene termen en niet toegesneden op de specifieke werkomgeving.
Dat blijkt uit onderzoek van Protiviti, onder 1.000 werknemers bij verschillende ondernemingen.
Meer risico
Het risico van onveilig gebruik van informatiemiddelen neemt toe door de komst van cloud computing, social media en het gebruik van eigen door de medewerker beheerde informatiemiddelen (Bring your own device – BYOD). Marcel Koers, Senior Manager Protiviti: "Bedrijven hebben hun beveiligingsstrategie en trainingsprogramma’s voor informatiebeveiliging nog onvoldoende op deze ontwikkelingen aangepast. Bedrijfsgevoelige informatie kan daardoor eenvoudig in verkeerde handen vallen. Een arts die patiëntgegevens via een ‘onbeveiligde’ PC raadpleegt, is een gemakkelijke prooi voor cybercriminelen."
Zelfbedrog
Ondanks het toenemend gevaar denkt 81 procent van de respondenten uit het onderzoek de risico’s en gevaren van het gebruik van informatiemiddelen en bedrijfsgegevens goed te kennen. De perceptie onder de respondenten lijkt echter een vorm van zelfbedrog. In een parallel onderzoek van Protiviti bij dezelfde ondernemingen geven beveilingsexperts en risicomanagers juist aan dat medewerkers hun rol in de beveiliging van informatie onderschatten en vaak nog onveilig omgaan met aan hun verstrekte ICT middelen en informatie. De experts zien ook na voorlichting of training hierover nauwelijks verandering in gedrag. Koers: "Ondernemingen doen er verstandig aan bewustwordingsprogramma’s over informatiebeveiliging kritisch tegen het licht te houden. Het is in feite een cultuurverandering die wordt gevraagd. Bewustwording moet een vast onderdeel in de bedrijfsvoering worden, verankerd in de organisatie en een terugkerend thema op de agenda van het management."
Bewustzijnsprogramma's
De effectiviteit van bewustzijnsprogramma’s wordt verhoogd door deze meer en beter te richten op de effecten van onveilig gedrag, zoals het weglekken van vertrouwelijke informatie. "Daarbij hoort de ontwikkeling van een goed meetinstrumentarium om vast te stellen of voorlichting en training ook effect heeft. Een cultuuromslag bereik je niet met eenmalige voorlichting," aldus Koers.
Protiviti hield het onderzoek in de UK. Protiviti verwacht dat de gegevens in Nederland overeenkomen. Koers: "Het gebruik van social media in Nederland is relatief hoog vergeleken met andere Europese landen en ook BYOD’s worden veelvuldig gebruikt. De risico’s gelden dus ook zeker hier, en ik constateer dat hiervoor nog weinig aandacht is vanuit het bedrijfsleven."
