- 51% geeft aan dat werknemersgedrag de op een na grootste bedreiging is voor IT-beveiliging, de grootste bedreiging is georganiseerde cybercrime (genoemd door 67%)
- 38% trekt zich niet veel aan van het IT-beveiligingsbeleid en 1 op de 20 omzeilt dit beleid actief
- 71% van de respondenten is niet op de hoogte van opvallende dreigingen zoals Heartbleed
- 54% denkt dat hun werkgever een beveiligingsbeleid heeft, 13% weet het niet
- 33% is van mening dat IT-beveiliging de innovatie binnen hun organisatie verstikt en dat de kosten van gemiste business hoger zijn dan de kosten van een beveiligingsincident
Amsterdam, 3 februari 2015 – Essentiële bedrijfsdata lopen in Nederland gevaar doordat organisaties hun IT-beveiligingsbeleid en middelen vooral richten op externe dreigingen zoals cybercriminelen en hackers, maar onvoldoende op dreigingen van binnenuit, aldus onderzoek van Cisco. Het onderzoek, dat werd gehouden onder meer dan 1.000 werknemers in Nederland, signaleert twee belangrijke kwesties.
De eerste kwestie is dat het gedrag van werknemers een serieuze zwakke schakel is in de IT-beveiliging. Dat risico wordt steeds groter. Dit is meer aan gemakzucht en onwetendheid te wijten dan aan kwade bedoelingen. De reden is dat bedrijven hun werknemers zo geïsoleerd hebben van de dagelijkse dreigingen dat mensen verwachten dat hun werkgever alle security regelt.
De tweede kwestie is dat een toenemend aantal werknemers het gevoel heeft dat het securitybeleid innovatie en samenwerking hindert. Het beveiligingsbeleid maakt het voor hen moeilijker om effectief te werken en sommige werknemers ondernemen zelfs stappen om het beleid te omzeilen.
Werknemersgedrag uitgangspunt voor IT-beveiligingsbeleid
Alle respondenten geven verder aan dat zij het bedrijfsnetwerk gebruiken voor persoonlijke transacties: het meest populair is telebankieren (71%) op de voet gevolgd door online winkelen (52%) en sociale netwerken (46%). Cisco pleit voor een securitybeleid vanuit het perspectief van de gebruiker.
Fred Noordam, Security Lead Cisco Benelux: “Organisaties komen nu voor ingewikkelde beveiligingsuitdagingen te staan. De meeste werknemers weten dat de dreiging van cybercriminelen reëel is en dat een goede verdediging nodig is. Maar gemakzucht van werknemers vergroot het risico alleen maar. Een werknemer die blind vertrouwt op de beveiligingsmaatregelen van zijn werkgever, is een van de zwakke schakels in de securityketen.”
“De resultaten geven ook aan dat de huidige IT-beveiligingsstrategieën niet aansluiten bij de manier waarop mensen vandaag de dag graag werken,” vervolgt Noordam. “Werknemers vertellen ons dat die strategieën moeten veranderen, omdat anders de innovatie en communicatie bij hun bedrijf in gevaar komt. Tegelijk moeten het bedrijfsnetwerk, de apparatuur en de cloud goed beveiligd zijn tegen externe aanvallen. De balans tussen beveiliging en ondersteuning van de business vergt daarom een fundamentele verandering van hoe we IT-beveiliging benaderen. Die beveiliging moet zich aanpassen aan het gedrag van de gebruikers, als onderdeel van een benadering waarbinnen zowel externe als interne dreigingen centraal staan.”
Een cultuur van gemakzucht en onwetendheid
Volgens het onderzoek is de gemakzucht van werknemers, die er van uitgaan dat het bedrijf wel voor hun online veiligheid zal zorgen, het grootste interne risico. 34% van de respondenten verwacht dat de beveiliging van het bedrijf hen tegen elk risico beschermt, terwijl 40% van mening is dat zij zelf ervoor moeten zorgen dat hun persoonlijke en bedrijfsgegevens veilig zijn. Een op de zes (17%) lijkt zo ver verwijderd van de werkelijke dreigingen dat zij denken dat hun gedrag weinig of geen impact heeft op security en 66% denkt dat hun gedrag weinig of matig impact heeft.
Deze houding kan het gevolg zijn van een beleid, en de dreigingen die daar aan ten grondslag liggen, dat niet goed zichtbaar is. Iets meer dan de helft van de werknemers denkt dat hun werkgever een beveiligingsbeleid heeft, terwijl een derde niet weet of er zo’n beleid is. 60% geeft aan dat zij in elk geval niet gehinderd worden door het beleid omdat dat geen invloed heeft op wat zij doen. Bijna een derde geeft aan dat zij alleen merken dat er een beleid is, als zij met iets bezig zijn en niet verder kunnen doordat de beveiligingsinstellingen dat verhinderen. Met als resultaat dat 38% toegeeft zich niet erg veel van het beleid aan te trekken, een kwart zegt de databeveiliging thuis serieuzer te nemen dan op het werk. Maar liefst 71% van de respondenten blijkt niet op de hoogte te zijn van opvallende dreigingen zoals Heartbleed. De helft van de mensen heeft het securitygedrag niet aangepast en 69% zegt nog steeds hetzelfde wachtwoord te gebruiken voor elke site en app.
Achterhaalde securitybenadering
Werkend Nederland beschouwt IT-beveiliging in toenemende mate als een barrière voor de business. Volgens het onderzoek denkt 33% dat IT-security de innovatie verstikt en de communicatie bemoeilijkt en 21% denkt dat de kosten van gemiste business groter zijn dan de kosten van een mogelijke incident van de beveiliging.
Als onderdeel van het onderzoek heeft Cisco voor Nederland vier verschillende gedragsprofielen opgesteld die de basis kunnen vormen voor beveiligingsstrategieën waarin het gedrag centraal staat. Elk profiel gaat uit van een ander dreigingsniveau en vereist een specifieke benadering om het risico te beperken, terwijl de mensen toch met optimale efficiency en effectiviteit kunnen werken:
- Bewust van dreigingen – werknemers die zich bewust zijn van securityrisico’s en die hun best doen om online veilig te blijven.
- Goede bedoelingen – werknemers die proberen zich aan het beveiligingsbeleid te houden, maar niet altijd met succes.
- Gemakzucht – werknemers die verwachten dat het bedrijf de beveiliging regelt en daardoor geen individuele verantwoordelijkheid nemen voor datasecurity.
- Verveeld en cynisch – werknemers die denken dat cybersecurity een hype is en dat IT-beveiliging hun prestaties in de weg zit, met als resultaat dat zij het beveiligingsbeleid actief omzeilen.
Fred Noordam: “Een effectieve beveiligingsstrategie helpt om een bedrijf niet alleen vóór, tijdens en na een aanval te beschermen, maar houdt daarbij ook rekening met het gedrag van de werknemers. Betere communicatie en voorlichting zullen zeker helpen, maar dat zal de cultuur van gemakzucht niet veranderen. Als een bedrijf het risico op een beveiligingsincident wil verminderen, zal er een gebruikersvriendelijker beveiligingsbeleid moeten komen dat afgestemd wordt op het gedrag van de werknemers en dat ook de persoonlijke data van de werknemers beveiligt. Als werknemers blijven geloven dat IT-beveiliging hun werk bemoeilijkt en niet weten welke risico’s hun gedrag voor de organisatie oplevert, blijven organisaties Russisch roulette spelen met hun security, met mogelijk zeer kostbare beveiligingsincidenten tot gevolg.”
-------------
Over Cisco
Cisco (NASDAQ: CSCO) is wereldwijd leider in IT en helpt organisaties optimaal gebruik te maken van de kansen van morgen, door te laten zien wat er mogelijk is door zaken te verbinden die voorheen niet verbonden waren. Kijk voor het laatste nieuws op http://thenetwork.cisco.com. Meer informatie over Cisco is beschikbaar via www.cisco.com, www.cisco.nl en voor mobiele gebruikers via http://m.cisco.nl. Nieuws, achtergronden en foto’s vindt u op de EMEAR Network: http://ciscoemearnetwork.com of in de Cisco Newsroom: http://newsroom.cisco.com.
Voor meer informatie:
Cisco
Iris Mulder
Tel: 020 357 3207
Mob: 06 4184 4279
E-mail:
imulder@cisco.com
Check Twice
Cisco Persdesk
Tel: 023 562 8208
E-mail:
cisco@checktwice.nl