Madrid, 23 maart 2012 – Datalekken blijven een voortdurende bron van risico en zorgen voor onnodige reputatieschade zolang bedrijven geen maatregelen nemen om het beheer en de bescherming van hun gevoelige bedrijfsinformatie te verbeteren. Dit is één van de conclusies die Iron Mountain en PwC trekken in hun Europese onderzoeksrapport ´Beyond Cyber Threats: Europe´s First Information Risk Maturity Index´. Het rapport werd gepresenteerd tijdens Iron Mountain’s eerste Europese ´Information Risk´‐conferentie.

Het onderzoek schetst een onthullend beeld vol zelfgenoegzaamheid, nalatigheid en een tekort aan breed gedragen verantwoordelijkheid. Het onderstreept dat er dringend behoefte is aan een gedragsverandering onder medewerkers en aan een cultuurverandering onder leidinggevenden, om deze toestand te kunnen ontstijgen:

• ´Beyond Cyber Threats´ toont aan dat volgens slechts de helft van de middelgrote onder‐nemingen het verlies van gevoelige informatie tot de Top Drie‐bedrijfsrisico´s behoort.

• Een kwart (24%) van de onderzochte bedrijven heeft geen idee of er de laatste drie jaar sprake is geweest van een datalek.

• Niet meer dan 1% van de respondenten rekent informatierisico´s tot de verantwoordelijkheid van álle medewerkers.

• Bijna tweederde (60%) geeft toe niet te weten of hun medewerkers wel over de juiste middelen beschikken om de informatie überhaupt adequaat te kunnen beschermen.

Marc Duale, eindverantwoordelijk voor Iron Mountain Europa, zegt dat het rapport de alarmbellen moet doen rinkelen: “Het is de hoogste tijd dat binnen bedrijven de cultuuromslag wordt gemaakt van de nu heersende informatieonverschilligheid naar de gewenste informatieverantwoordelijkheid. Wie dat nalaat stelt zijn klanten bloot aan ernstige informatierisico´s en het bedrijf aan het risico op onherstelbare reputatieschade.”

Een vette 4
Om deze eerste Europese ‘Information Risk Maturity Index’ voor middelgrote bedrijven (250 tot 2.500 medewerkers) op te kunnen stellen, ondervroeg PwC de hogere leidinggevenden van 600 toonaangevende Europese bedrijven. Gegevens zijn verzameld in Duitsland, Frankrijk, Hongarije, Nederland, Spanje en het Verenigd Koninkrijk en de resultaten wijzen uit dat het bij veel bedrijven droevig gesteld is met de aanpak van informatierisico´s zoals datalekken, gegevensverlies en het niet naleven van wet‐ en regelgeving. Gemiddeld scoren Europese bedrijven 40,6 punten op een schaal van 100, voor de ideale situatie.

Mensen en maatregelen De Information Risk Maturity Index is gebaseerd op een aantal maatregelen die de digitale en papieren informatie van een organisatie helpen beschermen ‐ als ze tenminste worden doorgevoerd en regelmatig worden gecontroleerd. De index staat een brede aanpak van informatierisico´s voor, die strategie, mensen, communicatie en veiligheidsmaatregelen omvat.

Een andere belangrijke bevinding uit het onderzoek is het grote verschil in inzicht dat bestaat over wie er verantwoordelijk zou zijn voor de informatierisico´s:

• Slechts 13% beschouwt informatierisico´s als een directieonderwerp, terwijl een derde (35%) alle informatierisico´s – ook informatie op papier – als de verantwoordelijkheid van de IT‐afdeling ziet.

• De teneur om informatierisico´s als een IT‐probleem te zien is wijdverbreid: 59% reageert op een datalek met het installeren van nog meer technologie.

• Slechts een derde (36%) van de bedrijven heeft de informatierisico´s toegekend aan een specifieke functionaris of aan een team ‐ waarvan de effectiviteit dan ook wordt gevólgd.

William Beer, director bij PwC’s Britse praktijk voor cyber‐ en informatieveiligheid, stelt dat bedrijven van iedere omvang en in alle sectoren ernstig tekortschieten in hun inspanningen om klantgegevens veilig te stellen: “Goede informatiebeveiliging berust op drie pijlers: mensen, processen en technologie. Bedrijven die problemen constateren, investeren te veel in technologie, maar technologie is niet de heilige graal. Middelgrote ondernemingen die het misschien aan de financiële middelen ontbreekt, maar die de wil en wendbaarheid hebben om te veranderen, kunnen enorme verbeteringen boeken met een cultuurverandering die begint aan de top; door nieuwe procedures door te voeren; en door hun medewerkers op te voeden.”

Naar aanleiding van de bevindingen uit de Information Risk Maturity Index, heeft Iron Mountain een aantal stappen bepaald die bedrijven helpen hun dataveiligheid te verbeteren:

• Stap 1: Zet informatierisico´s op de directieagenda – als een terugkerend onderwerp, zorg dat het in de portefeuille van een directielid komt, en dat het meeweegt in het bepalen van de bedrijfsprestatie.

• Stap 2: Verander de werkcultuur – stel een bewustwordingsprogramma over informatierisico´s op en voer dat uit, zorg voor de juiste begeleiding voor iedereen op elk niveau, en beloon en bemoedig goed gedrag van hoog tot laag en door de gehele organisatie.

• Stap 3: Zorg voor goed beleid en de juiste processen – voor alle informatie in iedere hoedanigheid (elektronisch, op papier en via alle media). Bepaal ook de kwetsbaarheden die voortvloeien uit het werken met de informatie. Stel een meldpunt in voor de melding van wantoestanden. Controleer regelmatig alle systemen en processen.

Rate this post

Print Friendly