Onwetendheid werknemers vergroot risico lekken bedrijfsgevoelige informatie
Werknemers die wél voorlichting krijgen over informatiebeveiliging, ontvangen dit alleen in algemene termen en niet toegesneden op de specifieke werkomgeving. Dat blijkt uit onderzoek van risk- en business consultant Protiviti, onder 1000 werknemers bij verschillende ondernemingen.
Het risico van onveilig gebruik van informatiemiddelen neemt toe door de komst van cloud computing, social media en het gebruik van eigen door de medewerker beheerde informatiemiddelen (Bring your own device – BYOD). Marcel Koers, Senior Manager Protiviti: ‘Bedrijven hebben hun beveiligingsstrategie en trainingsprogramma’s voor informatiebeveiliging nog onvoldoende op deze ontwikkelingen aangepast. Bedrijfsgevoelige informatie kan daardoor eenvoudig in verkeerde handen vallen. Een arts die patiëntgegevens via een “onbeveiligde” PC raadpleegt, is een gemakkelijke prooi voor cybercriminelen.’
Ondanks het toenemend gevaar denkt 81% van de respondenten uit het onderzoek de risico’s en gevaren van het gebruik van informatiemiddelen en bedrijfsgegevens goed te kennen. De perceptie onder de respondenten lijkt echter een vorm van zelfbedrog. In een parallel onderzoek van Protiviti bij dezelfde ondernemingen geven beveilingsexperts en risicomanagers juist aan dat medewerkers hun rol in de beveiliging van informatie onderschatten en vaak nog onveilig omgaan met aan hun verstrekte ICT middelen en informatie. De experts zien ook na voorlichting of training hierover nauwelijks verandering in gedrag.
Koers: ‘Ondernemingen doen er verstandig aan bewustwordingsprogramma’s over informatiebeveiliging kritisch tegen het licht te houden. Het is in feite een cultuurverandering die wordt gevraagd. Bewustwording moet een vast onderdeel in de bedrijfsvoering worden, verankerd in de organisatie en een terugkerend thema op de agenda van het management.’
De effectiviteit van bewustzijnsprogramma’s wordt verhoogd door deze meer en beter te richten op de effecten van onveilig gedrag, zoals het weglekken van vertrouwelijke informatie. ‘Daarbij hoort de ontwikkeling van een goed meetinstrumentarium om vast te stellen of voorlichting en training ook effect heeft. Een cultuuromslag bereik je niet met eenmalige voorlichting,’ aldus Koers.
Protiviti hield het onderzoek in de UK. Protiviti verwacht dat de gegevens in Nederland overeenkomen. Koers: ‘Het gebruik van social media in Nederland is relatief hoog vergeleken met andere Europese landen en ook BYOD’s worden veelvuldig gebruikt. De risico’s gelden dus ook zeker hier, en ik constateer dat hiervoor nog weinig aandacht is vanuit het bedrijfsleven.’
Bron: Protiviti