Helft MKB doet niet aan virusprotectie of firewalls

  • Bron (c) 2003, VirusAlert

Uit onderzoek, uitgevoerd door CRYPSYS Data Security, blijkt dat het midden- en kleinbedrijf in Nederland nog steeds een grote achterstand heeft op het gebied van ICT- en informatiebeveiliging. Het onderzoek* is gebaseerd op de Code voor Informatiebeveiliging (ISO 17799) en is gedaan onder 200 MKB-bedrijven met meer dan tien pc’s. Het onderzoek heeft betrekking tot diverse dagelijkse beveiligingsvraagstukken, uiteenlopend van beveiligingsrichtlijnen tot de fysieke beveiliging van apparatuur.

Beveiligingsbeleid
Uit het onderzoek blijkt dat slechts 22% van de ondervraagden een richtlijn voor informatiebeveiliging heeft. Als er al een (beknopte) richtlijn is, wordt dit in tweederde van de gevallen niet officieel gesteund door het management.

“Om beveiliging op een constructieve manier aan te pakken is het aan te raden een beveiligingsrichtlijn op te stellen. Met deze richtlijn kan een organisatie zijn zwakke plekken beoordelen en aan de hand daarvan bepalen op welke manier deze aangepakt worden. De Code voor Informatiebeveiliging is een (uitgebreide) standaard beveiligingsrichtlijn”, aldus Marnix van Meer, marketing manager van CRYPSYS Data Security.

Eventuele restricties bij het gebruik van IT voorzieningen door personeel, zijn weinig waard als ingehuurd personeel of leveranciers daarnaast ongestoord hun gang kunnen gaan. Dit aspect wordt regelmatig over het hoofd gezien: meer dan de helft (59%) van de ondervraagden geeft aan niet contractueel te hebben vastgelegd hoe derden toegang kunnen krijgen tot de IT voorzieningen.

“In het verlengde van een beveiligingsrichtlijn, doet een bedrijf er goed aan om een continuïteitsplan op te stellen. Hierin kan geformuleerd worden welke consequenties uitval van de IT-voorzieningen heeft voor het bedrijfsproces. Op basis daarvan kunnen acties omschreven worden die ondernomen dienen te worden op het moment van uitval. Drie van de vier ondervraagden beschikken niet over een continuïteitsplan en weten niet na hoeveel storings- of uitvaltijd de bedrijfsvoering in gevaar komt”, voegt Van Meer toe.

De meeste bedrijven geven aan dat het gebruik van illegale software verboden is. Toch is er in 45% van de gevallen geen controle of sanctiebeleid geformuleerd. In 23% van de gevallen werd zelfs toegegeven dat er doelbewust gebruik wordt gemaakt van illegale software.

Gebruik van internet
Hoewel het MKB steeds vaker gebruik maakt van internet, wordt er nog weinig aandacht besteed aan de beveiliging van de informatie. 96% van de ondervraagden beschikt over internet en e-mail. Meer dan de helft daarvan doet echter niets aan de beveiliging in de vorm van bijvoorbeeld virusprotectie of firewalls.

Slechts 11% van de ondervraagden heeft haar informatie geclassificeerd op vertrouwelijkheid en als zodanig gekenmerkt. In alle andere gevallen wordt het aan de medewerkers zelf overgelaten om dit in te schatten. Risico hiervan is dat verkeerde of verschillende inschattingen gemaakt worden en dat vertrouwelijke informatie (on)opzettelijk het bedrijf verlaat. Zonder officiële classificatie kan het management geen stappen ondernemen tegen overtredende medewerkers.

Een manier om vertrouwelijke informatie beveiligd te versturen is encryptie. Minder dan 15% van de MKB-bedrijven maakt af en toe gebruik van encryptie, overigens zonder dat er gedocumenteerde procedures geformuleerd zijn.

Fysieke beveiliging
“Vaak staat een bedrijf niet stil bij het fysiek beschermen van de kern van de IT-voorziening en de bedrijfsinformatie. In 52% van de gevallen is bijvoorbeeld de serverruimte tijdens kantooruren onbewaakt en in 70% van de gevallen ontbreekt het aan detectie/alarmsystemen. Het ontbreken van rook- of warmtesensoren en verkeerd blusmateriaal kan consequenties hebben op bijvoorbeeld de uitkering van verzekeringsgelden”, zegt Van Meer.

Het grootste deel van de ondervraagden (79%) heeft de stroomvoorziening beveiligd met een Uninterrupted Power Supply (UPS), maar slechts 1 op de 3 voert regelmatig de voorgeschreven testen uit. Van Meer: “De automatische testen garanderen niet of de UPS adequaat werkt bij een storing. Een eenvoudige test geeft aan of de UPS in werking treedt bij een storing. Of het systeem kan draaien op de UPS wordt niet duidelijk uit de automatische testen. Aanschaf van UPS alleen geeft geen garantie, het regelmatig testen geeft de zekerheid die een bedrijf voor ogen heeft met de aanschaf van UPS.”

90% van de bedrijven gebruikt back-up systemen om de bedrijfsinformatie veilig te stellen, maar bij 39% daarvan wordt niet of onvoldoende gecontroleerd of de back-up gelukt en compleet is. De benodigde tapes blijven jaren in gebruik en worden vaak te laat vervangen, pas nadat een storing aangetoond is.

Bij een update van een besturingsysteem gaat 41% van de ondervraagden er zonder meer vanuit dat dit geen gevolgen heeft voor de beveiliging. Controle en toetsing aan het beveiligingsbeleid blijven dan ook achterwege. Zelden wordt er bij stil gestaan dat bijvoorbeeld een omgeving na een update onstabiel kan worden.

Van Meer: “Het meedoen aan een onderzoek als dit geeft een bedrijf inzicht en kan al een hoop praktische tips opleveren om met beperkte investeringen de beveiliging naar een hoger niveau te tillen. Niet alleen het MKB bedrijf, maar ook hun klanten stellen prijs op een adequate beveiliging.”

*De uitkomsten zijn verkregen tijdens twee uur durende sessies. In het totaal zijn 200 (voornamelijk) systeembeheerders ondervraagd. De sessies zijn bedoeld om bedrijven een goed beeld te geven of zij binnen hun bedrijf voldoende aandacht besteden aan informatiebeveiliging. Elk vraagstuk is uitgebreid toegelicht door de deskundigen van CRYPSYS, waarbij het publiek aan de hand van praktijkvoorbeelden met de neus op de feiten werd gedrukt.

————————————

CRYPSYS Data Security is 11 en 12 november aanwezig op de beurs InfoSecurity.nl, , standnummer 03.A071.

Over CRYPSYS Data Security B.V.
CRYPSYS Data Security, . is specialist op het gebied van informatiebeveiliging. Het productaanbod bestaat uit oplossingen in software en hardware, of een combinatie hiervan. Tot de belangrijkste producten waarvoor CRYPSYS de distributie verzorgt, behoren: Sophos (antivirus), Marshal Software (content security voor e-mail en web), NetScreen (firewall appliance), TripWire (integrity assessment) en TraceSecurity (patch & vulnerability assessment). Het bedrijf gelooft in een totaalaanpak van het informatiebeveiligingsprobleem, gekenmerkt door de elementen organisatie, discipline en producten. Hiertoe biedt CRYPSYS naast de verschillende producten ook een deskundige service- en consultancyorganisatie met diensten als data recovery, risicoanalyses, beveiligingsplannen, antivirusworkshops en bewustwordingsprogramma’s ter verbetering van de attitude op beveiligingsgebied. Meer informatie omtrent de beveiligingsoplossingen, -producten en -diensten is te vinden op de website www.crypsys.nl