SpicyLemon Beveiligingsonderzoek

Transcriptie

1 SpicyLemon Beveiligingsonderzoek Summary + Rapport Specificaties Uitvoerder Webwereld in opdracht van SpicyLemon Periode veldwerk t/m Response aantal: 274

2 Beveiligingsonderzoek - summary Ondervraagde doelgroep Van de ondervraagde organisaties bevindt het merendeel zich in de branches IT, de zakelijke dienstverlening, Onderwijs, Overheid en Gezondheids-en Welzijnszorg (gezamenlijk ruim 65%). Het gaat hierbij om IT professionals en IT managers bij met name de grotere bedrijven met 250+ werknemers (52%). Verantwoordelijkheid Circa 31% van de respondenten is verantwoordelijk voor het uitvoeren van het beveiligingsbeleid, 16,% stelt het op en voert het uit en 8,3% stelt op, maar laat het door IT uitvoeren. Organisaties maken gebruik van een mix van beveiligingszaken Ruim 75% heeft een actief wachtwoordbeleid, bijna 100% heeft antivirus software en een firewall op de cliënt en ruim 80% maakt gebruik van centraal beheerde automatische software updates. Men is zeer slecht voorbereid op datalekken of cyberdiefstal Slechts 52% werkt met een gescheiden netwerk voor machines met gevoelige data en organisaties zijn zeer slecht voorbereid als het gaat om een datalek of cyberdiefstal. Nog geen 28% heeft een draaiboek in huis welke aangeeft hoe hier mee om te gaan! Organisaties geloven niet in een perfecte beveiliging en/of besteden er onvoldoende aandacht aan. Het merendeel van de deelnemende organisaties heeft meerdere maatregelen genomen (ruim 76%) en daarnaast heeft zo n 14% beperkte maatregelen genomen. Men gaat er echter altijd van uit dat de beveiliging niet volledig waterdicht is. 5% van de organisaties geeft zelfs aan dat het slechts een kwestie van tijd is voordat ze gehackt worden. Van de deelnemende organisaties doet 26% hun eigen audit en check. Bij een gelijk aantal wordt dit uitsluitend door een externe partij gedaan. Maarliefst 47% laat helemaal geen checks doen! Bij de vraag naar verbeterpunten op beveiligingsgebied wordt door de verschillende deelnemers aangegeven dat met name de bewustwording bij eindgebruikers en bij de directie vergroot moeten worden. Ruim 37% wil regelmatige security audits door externe partijen gaan invoeren. Incidenten Het aantal incidenten is opvallend laag. Slechts 7% geeft aan wel eens met een beveiligings incident te maken hebben gehad waarbij er (mogelijk) privacygevoelige informatie is gelekt. Gezien de gevoelige aard van deze vraag kan dit percentage echter in werkelijkheid wel hoger liggen.

3 Geblokkeerde websites Slechts 40% van de organisaties geeft aan toegang tot bepaalde websites te blokkeren. Hierbij scoren met name de social media pagina s zoals Instant messengers, Hyves, Facebook en Youtube hoog. Eindgebruikerervaring Bijna 20% van de deelnemers geeft aan, op basis van eigen surfgedrag, te merken dat organisaties zwaardere beveiligingsmaatregelen hebben toegepast. Ondanks het feit dat men goed op de hoogte is van zaken die volgens beveiligingsexperts niet verstandig zijn, maakt bijna 50% zich toch nog regelmatig schuldig aan schending van een aantal regels. Met name het mailen van documenten naar privémail en het informatie opslaan zonder versleuteling op een USB key wordt hier genoemd. Ook het downloaden en installeren van software, dat eigenlijk niet voor werk is bedoeld, wordt door ruim 30% genoemd. Meldplicht Ruim 61% van de organisaties geeft aan dat men vindt dat er een bredere meldplicht moet komen voor bijvoorbeeld webwinkels en financiële instellingen om het publiek te informeren over informatielekken. Specificaties Uitvoerder Webwereld In opdracht van NOD32 Periode veldwerk t/m Response aantal 274

4

5

6

7 Webwereld Beveiligingsonderzoek januari 2012

8