Bedrijven investeren nog steeds te weinig in informatica- en internetveiligheid. De Europese Commissie noemt de uitgaven voor veiligheid “zorgwekkend laag”.
Het gemiddelde veiligheidsbudget vertegenwoordigt niet meer dan vijf à dertien procent van alle informatica-uitgaven. Recent ondervroeg Heliview in opdracht van Data News 303 Belgische bedrijven. Voor mij was het meest opmerkelijke resultaat uit die studie dat 42% procent van Belgische KMO’s en 38 procent van grote bedrijven geen noodherstelplan heeft in het geval er zich een zwaar probleem voordoet met de eigen informatica-infrastructuur. Desondanks beweert 91 procent van de ondervraagden ‘geen probleem’ te hebben met het beheer van zijn informaticasysteem.
Veiligheidsprobleem
Ongeveer gelijktijdig werd er in de pers bericht over een studie van het Mechelse bedrijf Able waaruit blijkt dat de e-mail van Belgische KMO’s onvoldoende is beveiligd. Twee op de drie inkomende e-mailberichten zijn ongewenst, en een op de vijf uitgaande e-mails vormt een veiligheidsprobleem. KMO’s verspreiden de onveiligheid dus ook nog eens naar anderen! Andere onderzoeken bevestigen de vaak povere toestand van de computerbeveiliging binnen bedrijven.
Informatica is een complexe materie en beveiliging is dat des te meer. Een goede beveiliging is trouwens meer dan alleen een technisch probleem. Binnen bedrijven zijn vaak niet alle geledingen voldoende overtuigd van het belang van een gedegen beveiliging. Beveiliging gaat ook verder dan alleen het afweren van virussen of ongewenste e-mails. Business continuity, disaster recovery en beveiliging tegen (vaak onderschatte) interne dreigingen vallen ook onder die noemer.
Geïntegreerd beveiligingsbeleid
Een goed beveiligingsbeleid moet daarom altijd geïntegreerd zijn. Niet alleen moeten alle mogelijke dreigingen in kaart worden gebracht, ook moeten plannen worden uitgewerkt hoe die best worden afgeweerd of, bij calamiteit, zo snel mogelijk verholpen. Ten slotte is het ook van belang dat iedereen binnen het bedrijf doordrongen is van het belang van een geïntegreerde beveiliging.
Klinkt allemaal logisch, maar een geïntegreerde beveiliging vergt niet alleen veel kennis, maar kost ook en vooral nogal wat geld. Inderdaad meer geld dan de vijf à dertien procent die er nu gemiddeld voor wordt uitgetrokken. Ondanks alle waarschuwingen van specialisten blijft beveiliging vaak een ondergeschoven kindje. Niet te verwonderen dat de stemmen voor verplichte maatregelen steeds luider klinken. In een vorige column citeerde ik al Luc Beirens, hoofd van de nationale computereenheid van de federale politie (FCCU), die wettelijke minimumnormen wil voor de beveiliging van computernetwerken. Hij wil ook dat er verplichte veiligheidsaudits komen. De EU gaat nog niet zo ver, maar Viviane Reding, Commissielid voor de Informatiemaatschappij, start wel met een sensibiliseringsbeleid om bedrijven, particulieren en overheidsdiensten te wijzen op het gevaar van een gebrekkige beveiliging.
Als bedrijven te laks blijven, dan zal het vrees ik toch niet bij sensibiliseren alleen blijven.