Resultaten onderzoek. Risico management. Stand van zaken in de top van de Nederlandse markt

Resultaten onderzoek Risico management Stand van zaken in de top van de Nederlandse markt Onderzoeksresultaten Telefonisch onderzoek onder 102 organisaties in top van Nederlandse zakelijke markt In opdracht van MCS PR en McAfee. Uitgevoerd door Keala Research & Consultancy: Ruud Alaerds, directeur, Keala Consultancy Marcel de Jong, Business Development Manager Keala Research & Consultancy Breda, 7 december 2012

Inhoudsopgave 1. Inleiding...2 1.1. Toelichting...2 1.2. Aanleiding onderzoek...2 1.3. Doelstelling onderzoek...3 1.4. Problematiek...3 1.5. Opzet onderzoek...3 1.6. Indeling onderzoeksrapportage...3 2. Onderzoeksverantwoording...4 2.1. Onderzoeksmethode...4 2.2. Steekproef...4 Betrouwbaarheid...4 Weegfactoren...5 2.5. Projectcoördinatie...6 Opmerkingen met betrekking tot het onderzoek en rapportage...6 3. Conclusie...7 3.1. Bevindingen...7 4. IT risico & perceptie van IT risico...8 4.1. IT risico & organisatie strategie...9 4.2. Profiel van Nederlands grootste organisatie m.b.t. IT risico...10 4.3. Aandacht voor IT risico bij topmanagement...11 5. Belang en risico op afdelingsnivo...12 6. Actie plan...16 7. Prioriteiten in IT security risico...17 8. IT Security betrokkenheid...18 9. Inschakelen van externen voor IT security...19 10. Bewustzijn in de totale organisatie...20 11. Inschatting van schade...21 Bijlage...22 Vragenlijst gebruikt bij telefonische interviews...22 1

1. Inleiding 1.1. Toelichting Dit onderzoek is in opdracht van communicatiebureau MCS PR en security leverancier McAfee uitgevoerd. In november 2012 zijn 102 interviews telefonisch uitgevoerd bij grotere organisaties in Nederland. De organisaties vertegenwoordigen de brede top van de zakelijke markt. Alle sectoren zijn vertegenwoordigd in de interviews. Dit document bevat de resultaten van deze studie. Het is ingedeeld in een management samenvatting voorzien van figuren en een vragenlijstbijlage. Een tabellenbijlage met alle resultaten in detail is los verkrijgbaar. 1.2. Aanleiding onderzoek MCS PR en McAfee hebben Keala Research & Consultancy gevraagd een onderzoek uit te voeren naar perceptie en stand van zaken op gebied van risico management in IT onder in Nederland actieve grotere organisaties. De beoogde respondent bij deze organisaties is IT eindverantwoordelijk. Dus IT management, CIO, IT Director en dergelijke functiebenamingen zijn de gewenste respondenten. 2

1.3. Doelstelling onderzoek Dit onderzoek dient aan het licht te brengen of organisaties die behoren tot de top van de Nederlandse zakelijke markt op het gebied van IT risico management een voldoende bewustzijn hebben opgebouwd en daarbij goede voorzieningen hebben getroffen. 1.4. Problematiek Risico management in IT lijkt een onderwerp dat bij grote organisaties duidelijk onder de aandacht moet zijn. Het vermoeden bestaat echter dat niet elke grote organisatie dit onderwerp duidelijk in beeld heeft. Beveiliging en risico bepaling gekoppeld aan de waarde die processen, systemen en gegevens hebben voor een organisatie, lijkt een gebied waar men nog veel verbetering in kan aanbrengen. 1.5. Opzet onderzoek Om deze vermoedens nu eens te toetsen is besloten om deze organisaties te vragen in hoeverre het risico dat men loopt op gebied van IT systemen goed kent en ook of men hier al maatregelen toe heeft getroffen. Door een aantal controle vragen te stellen kan vastgesteld worden of wenselijkheid en daadwerkelijke maatregelen en/of beleid van toepassing zijn. 1.6. Indeling onderzoeksrapportage Dit document is ingedeeld in een management samenvatting voorzien van figuren, een tabellenbijlage en een vragenlijstbijlage. 3

2. Onderzoeksverantwoording 2.1. Onderzoeksmethode Voor het primaire deel van dit onderzoekstraject hebben uit naam van Keala Research met betrekking tot het onderzoek naar risico management in IT telefonisch interviews plaatsgevonden in de Nederlandse zakelijke markt. De interviews hebben plaatsgevonden binnen het kader van het onderzoek en hadden uitsluitend betrekking op het betreffende onderwerp. Dat wil zeggen dat er in het veldwerk geen combinatie van verschillende onderwerpen heeft plaatsgevonden. Dit onderzoek betreft een nulmeting. De nulmeting is uitgevoerd in de maand november 2012. 2.2. Steekproef Betrouwbaarheid De uitkomsten in dit onderzoek zijn onderhevig aan steekproeffouten/-marges, hetgeen betekent dat de gemeten waarden in werkelijkheid hoger of lager uitvallen. Bij de interpretatie van de gegevens dient hiermee rekening te worden gehouden. Om te bepalen hoeveel de waarden in werkelijkheid kunnen variëren, kan gebruik worden gemaakt van onderstaande marge = 1,96 x PxQ n - 1 waarbij: P = steekproefuitkomst Q = 1 - P n = aantal respondenten berekening inzake het 95% betrouwbaarheidsinterval. Op basis van deze berekening kan met 95% waarschijnlijkheid worden berekend hoeveel hoger of lager de gemeten waarden in werkelijkheid zouden kunnen zijn. 4

In het nomogram voor nauwkeurigheidsmarges kunnen deze betrouwbaarheidsintervallen voor de respectievelijke steekproefresultaten worden afgelezen. In het nomogram is te zien dat voor een steekproef voor de zakelijke markt van 102 interviews met als interviewresultaat 10% (of 90%), een boven- en ondermarge geldt van ongeveer 6%. Dit betekent dat bij herhaling van het onderzoek bij een soortgelijke steekproef, met 95% zekerheid, het resultaat zal liggen binnen de range (10-6%) tot (10+6%). Of anders gezegd, in "werkelijkheid" zal, met 95% zekerheid, het antwoord liggen tussen 4% en 16%. Indien we bij een volgende meting uitkomen op 20% bij een zelfde aantal interviews dan ligt het "werkelijke" percentage (zie nomogram) tussen 12% en 28% (20% +/- 8%). Bovengenoemde range (4% - 16%) en de nu gevonden range (12% - 28%) overlappen elkaar wel. Dit betekent dat het verschil tussen het eerste percentage (10%) en het tweede percentage (20%) statistisch niet significant is. Er is dus pas sprake van een significant verschil als beide ranges elkaar niet overlappen. Weegfactoren Er zijn voor de analyse en representatie van de resultaten van dit onderzoek geen weegfactoren gebruikt. De steekproef kent een benaderbaar zelfde proportie van de markt dan de werkelijke markt. 5

2.5. Projectcoördinatie De algehele coördinatie van het onderzoek is in handen van Keala Consultancy (projectleiding Marcel de Jong). Daarnaast dragen gekwalificeerde analisten van Keala Research zorg voor de controle en kwaliteitsbewaking van het veldwerk, de statistische analyse en de basis voor rapportage. Opmerkingen met betrekking tot het onderzoek en rapportage De antwoorden en opvattingen van de respondent zijn generaliseerbaar naar de populatie, maar er moet bij de interpretatie van de resultaten rekening mee worden gehouden dat deze zijn gebaseerd op interviewgegevens en dat antwoorden van de respondenten kunnen afwijken van de feitelijke realiteit. Tevens kan het voorkomen dat onderzoeksresultaten gebaseerd zijn op de antwoorden van een gering aantal respondenten. Deze resultaten dienen, alhoewel vermeld, slechts als indicatief te worden beschouwd. Bij de rapportage van resultaten gebaseerd op een schaal, of vragen waarbij slechts één antwoord mogelijk is, komt het soms voor dat het totaal aan antwoorden uitkomt op een enkel procent meer of minder dan 100%. Dit is het gevolg van een optelling van afgeronde cijfers. Er is voor gekozen geen correcties in de resultaten aan te brengen om optelling tot 100% mogelijk te maken; dit om een zo exact mogelijk beeld weer te geven van de afzonderlijke onderzoeksuitkomsten. 6

3. Conclusie Tweederde van de grote organisaties in Nederland heeft IT risico tot prioriteit verklaart en ziet de strategie die zij volgt op IT security in lijn met de organisatie strategie. Toch maakt meer dan de helft van de grote organisaties in Nederland geen inschatting van de schade die men oploopt bij een doorbraak van haar IT security. Sterker nog. Een derde van de organisaties die IT risico tot prioriteit heeft verklaard en van mening is dat men IT security in lijn heeft gebracht met de organisatie strategie heeft geen enkele schade inschatting gemaakt. Binnen de tweederde van de grote organisaties waar men IT risico tot top prioriteit heeft verklaard, heeft 1 op de 5 niet een actieplan wanneer er een doorbraak is in de IT systemen. De perceptie en wens ten aanzien van IT security is dus duidelijk bij grote organisaties in Nederland. Echter de maatregelen blijven daarbij toch achter. Dit leidt tot het vermoeden dat een doorbraak van de IT security bij ook grote organisaties eerst moet plaatsvinden voordat men ook daadwerkelijk tot actie over gaat. Prioriteit leidt dus niet automatisch tot maatregelen wat IT security betreft. 3.1. Bevindingen Er zijn wisselende prioriteiten per sector voor IT security. Vooral dienstverleners kennen in meerderheid een hoge prioriteit toe aan IT security. Een probleem is wel gelegen in het feit dat toch bij 34% van de ondervraagde organisaties er nauwelijks directie aandacht is voor de risico s die men met haar IT systemen loopt. IT security lijkt vooral in het bewustzijn van IT management en IT medewerker aanwezig te zijn. Maar wordt nog niet gedragen vanuit de brede organisatie. IT security is vooral een aangelegenheid die door de IT mensen van grote organisaties wordt ingevuld. Eenvijfde van de ondervraagde organisaties ziet IT security niet in relatie tot haar organisatie strategie. Geeft dus eigenlijk aan dat ongeoorloofde toegang tot haar systemen geen probleem voor het voortbestaan van de organisatie vormt. Het is opvallend dat het risico op ongeoorloofde toegang van IT systemen voor de commerciële afdelingen het grootst wordt geacht. En dat de impact bij zo n doorbraak ook groot is bij 80% van de organisaties. 7

4. IT risico & perceptie van IT risico Ruim driekwart van de grootste organisaties in Nederland beschouwt IT-beveiligingsrisico s als een (top)prioriteit. Daarnaast vindt 17% dit een belangrijk onderwerp, waar ze geen prioriteit van zullen maken. Met name relatief veel dienstverleners achten het IT-beveiligingsrisico van groot belang. Organisaties binnen de productie en logistiek hechten hier relatief wat minder belang aan. Ruim één op de drie organisatie binnen dit segment geven aan dit maar enigszins belangrijk of zelfs onbelangrijk te vinden. 8

4.1. IT risico & organisatie strategie Aan de respondenten is gevraagd in hoeverre het beleid rondom IT security er op is gericht om de bedrijfsstrategie te ondersteunen. Bijna 80% geeft aan dit in voldoende of in sterke mate het geval is. Met name zakelijke dienstverleners geven aan de IT security de bedrijfsstrategie in sterke mate ondersteunt. Aangenomen mag worden dat het met name de financiële dienstverleners zijn, waar dit van toepassing is. 9

4.2. Profiel van Nederlands grootste organisatie m.b.t. IT risico Bovenstaande combinerend leert dat twee op de drie grotere organisaties in Nederland ITbeveiligingsrisico s als een (top) prioriteit beschouwen welke onderdeel zijn van de bedrijfsstrategie. Opvallend is dat met name de zakelijke dienstverlening hier een halszaak van lijkt te maken. Daar ligt dat percentage op bijna 80%. Binnen de branche industrie zijn relatief veel organisaties die het IT-beveiligingsrisico wel als belangrijk beschouwen, maar het geen onderdeel van de bedrijfsstrategie vinden. Circa 15% van de organisaties heeft een zogenaamd neutraal profiel en hebben derhalve niet echt een beleid rond IR-beveiligingsrisico s. 10

4.3. Aandacht voor IT risico bij topmanagement Voor 86% van de organisaties is IT risico zelfs zo belangrijk dat het minimaal één keer maar dikwijls meerdere malen per jaar wordt besproken met het topmanagement van de organisatie. Logischerwijs komt dat vaker voor bij bedrijven die de IT-beveiligingsrisico s als een topprioriteit beschouwen. Slechts bij zo n 10% van de organisaties worden de IT-beveiligingsrisico s niet op directie maar op een lager niveau van de organisatie besproken. Er kan voorzichtig geconcludeerd worden dat IT-beveiliging zich niet alleen maar beperkt tot de IT-afdeling, maar dit onderwerp breder door de organisatie wordt gedragen. In hoeverre dat wordt gedragen is natuurlijk afdelingsafhankelijk. Daarom is binnen dit onderzoek gevraagd in hoeverre afdelingen binnen organisaties voorkomen en in welke mate ze van belang zijn voor de bedrijfsvoering van de organisatie. Dit laatste in natuurlijk weer sterk sectorafhankelijk. 11

5. Belang en risico op afdelingsnivo Onderstaand figuur laat zien dit nagenoeg iedere organisatie beschikt over een afdeling administratie. Andere veel voorkomende- afdelingen zijn IT en HR. Sectorspecifieke afdelingen, waaronder ook productie komen logischerwijs aanzienlijk minder vaak voor. Maar ook een afdeling als belastingen en R&D komen relatief bij weinig orgamisaties voor. 12

In hoeverre deze afdelingen dan van belang zijn in relatie tot de bedrijfsvoering van de organisatie laat onderstaand figuur zien. Indien aanwezig, wordt de sectorspecifieke afdeling als mede de afdeling productie relatief het vaakst gezien als bedrijfskritisch, op de voet gevolgd door de afdeling administratie en IT. Afdeling HR en meer opvallend de afdeling R&D worden aanzienlijk minder vaak als bedrijfskritisch beschouwd. Per aanwezige afdeling is vervolgens geïnventariseerd in hoeverre wordt ingschat hoe groot de kans is dat derden ongewenst toegang kunnen krijgen tot de systemen en gegevens van die betreffende afdeling. De meeste organisaties geven aan het voor derden nagenoeg onmogelijk is om toegang tot systemen te krijgen voor welke afdeling dan ook. 13

Afdelingen die er op dat vlak relatief iets minder goed uitkomen zijn de afdeling verkoop en wederom opvallend de afdeling R&D. 14

Het al dan niet makkelijk verkrijgen van toegang tot systemen door derden is één kant van de medaille. De andere kant betreft de eventuele impact mocht een derden zichzelf ongewenst toegang hebben verschaft. Dan blijkt dat de sector specifieke afdelingen en de afdeling IT het meest kwetsbaar, gevolgd door de afdeling administratie. Het ongewenst toegang krijgen zal de minste impact hebben op de afdelingen inkoop en marketing. 15

6. Actie plan Hiervoor is reeds geconstateerd dat het niet makkelijk is voor derden om toegang krijgen tot de systemen van de verschillende afdelingen. Mocht dat wel gebeuren dan beschikt 60% van de organisaties over een actie-plan om een eventueel risico tegen te gaan. Circa 40% heeft dus geen plan. Bij circa 15% van de organisaties met een actieplan, maakt dit plan onderdeel uit van het risk management binnen de organisatie. Met name onder dienstverleners zijn er relatief veel organisaties te vinden die een actieplan hebben ter voorkomen van grote gevolgen bij het eventueel toegang krijgen van derden tot systemen en gegevens. 16

7. Prioriteiten in IT security risico Welke vormen van risico s als gevolg van IT worden als belangrijk beschouwd door grotere organisaties in Nederland? Dan kan geconcludeerd worden dat top organisaties nagenoeg alle vormen als belangrijk beschouwen, maar ze maken zich met namen druk om het ongewenst toegang krijgen van derden tot systemen en de eventuele gevolgschade in de vorm van reputatie en imago. Ook het ongewenst verstoren van bedrijfsprocessen wordt als een prioriteit gezien. 17

8. IT Security betrokkenheid Het blijkt dat met name security algemeen en IT gerelateerde personen genoemd worden als betrokkenen bij IT security risico. Opvallen is dat slechts 8% hier algemeen management noemt. IT Security risico s lijken vooral een zaak voor specifieke IT- en beveiligingsfunctionarissen te zijn. 18

9. Inschakelen van externen voor IT security De overgrote meerderheid van de organisatie maakt gebruik van externe partijen voor haar IT security. Dit is een marktbreed verschijnsel. Zowel meer generalistische partijen als duidelijk specialistische partijen worden ingeschakeld. Opvallend is het dat men zelden een audit of assessment specialist noemt in dit verband. 19

10. Bewustzijn in de totale organisatie Een conclusie die onmiddellijk getrokken kan worden is dat de IT organisatie redelijk alleen staat in haar bewustzijn van de risico s die men als organisatie loopt op het gebied van IT. Noch algemeen of afdelingsmanagement, noch medewerker is zich over het algemeen goed bewust van de IT risico s aldus de respondenten. Schrijnend is de inschatting die wordt gemaakt dat in een kwart van de gevallen het algemeen management zich slecht of niet bewust is van gevaar voor en gevolgen van ongewenste toegang tot IT systemen en gegevens. 20

11. Inschatting van schade Is het een vanzelfsprekendheid dat een inschatting van de mogelijke schade bij ongeoorloofde toegang van IT systemen wordt gemaakt door grote organisaties. Het antwoord is helaas: Nee. Zo n 50% tot 60% heeft niet een duidelijke inschatting gemaakt van de mogelijke schade die men loopt als gevolg van doorbraken in haar IT. Kent dus eigenlijk niet de omvang van het IT risico dat men kan lopen. Zelfs bij de zich meest bewuste organisaties waar IT risico een (top) prioriteit is, is een raming van de mogelijke schade geen vanzelfsprekendheid. Ruim een derde weet niet wat de omvang van de mogelijke schade is uitgedrukt in geld, imago/reputatie of operationele achterstand die men kan oplopen. 21

Bijlage Vragenlijst gebruikt bij telefonische interviews * intro Goede<%~_DayPart_%>, u spreekt met <%~_IterName_%> van marktonderzoekbureau Keala Research. Ik ben op zoek naar de ICT eindverantwoordelijke binnen uw organisatie. Dat is wellicht de directeur IT of de CIO. Indien juiste contactpersoon: Goede<%~_DayPart_%>, u spreekt met <%~_IterName_%> van marktonderzoekbureau Keala Research en we willen u vragen mee te doen met een telefonisch onderzoek. Wij voeren korte interviews uit. We stellen u een paar algemene vragen over hoe u in uw organisatie omgaat met de risico s die het loopt en met name op het gebied van IT. De resultaten hiervan worden, uiteraard anoniem verwerkt. Zou ik u hierover een aantal vragen mogen stellen? Het interview duurt maximaal 15 minuten. De resultaten van dit onderzoek worden uiteraard anoniem verwerkt en zullen op geen enkele wijze gepersonaliseerd beschikbaar worden gesteld aan derden. Routing: Q1 22

In dit blok stellen we u een aantal vragen die wij nodig hebben om uw organisatie op een juiste wijze te kunnen indelen. Zoals eerder aangegeven zullen uw antwoorden uitsluitend anoniem worden verwerkt. Q1. Wat is uw functie? * single response 1. 2. 3. 4. 5. 6. 7. 11. Bedrijfsleider / vestigingsmanager Hoofd administratie Controller / hoofd financiën / financieel directeur / CFO Hoofd automatisering CIO of IT Directeur Operations manager / COO Office manager / facilities manager Systeembeheerder of netwerkbeheerder 998. Anders, namelijk: -9. Zegt niet GA NAAR Q2 Q2. Maakt uw vestiging onderdeel uit van een grotere organisatie? * single response 1. 2. 3. 4. Nee, we zijn de enige vestiging Ja, meerdere bedrijven en/of vestigingen; dit is het hoofdkantoor Ja, meerdere bedrijven en/of vestigingen; hoofdkantoor elders in Nederland Ja, meerdere bedrijven en/of vestigingen; hoofdkantoor in het buitenland -8. -9. Weet niet Zegt niet GA NAAR Q2B ALS Q2A=2, 3 OF 4 GA NAAR Q3 23

Q3. In welke branche is uw organisatie actief? ENQ.: Het gaat hier om de belangrijkste activiteit van uw organisatie. ENQ: Vanwege de quota is er geen categorie Overig. * Single response 1. 2. 3. 4. 5. 6. 7. 10. 11. 12. 13. Industrie of nutssector Bouw of installatie Transport (weg, water, lucht) Detailhandelsbedrijf; verkoopt (fabriceert niet) producten aan consumenten Groothandelsbedrijf; verkoopt (fabriceert niet) producten aan andere bedrijven Horeca Zakelijke dienstverlening Financiële dienstverlening (banken, verzekeraars, assurantietussenpersonen) Onderwijs Overheid (niet zijnde zorg of onderwijs) Zorg GA NAAR Q4 24

IT risico Q4. In welke mate zijn de risico s die u loopt met uw IT-systemen een topprioriteit voor uw organisatie? * Single response 1. 2. 3. 4. 5. IT risico is een top prioriteit IT risico is een van de prioriteiten IT risico is belangrijk maar geen prioriteit IT risico is enigszins belangrijk IT risico is niet belangrijk 998. Overig antwoord: -8. -9. Weet niet Zegt niet GA NAAR Q4 Q5. Hoe goed sluit uw IT security strategie aan bij de strategie van uw organisatie? * Single response ENQ: Lees mogelijkheden voor 1. 2. 3. 4. Deze sluit zeer nauw aan / is daarmee verweven Deze sluit voldoende aan Deze sluit enigszins aan Deze sluit niet aan 998. Overig antwoord: -8. -9. Weet niet Zegt niet GA NAAR Q6 25

Q6. Worden de risico s die uw organisatie loopt bij ongewenste toegang tot systemen en gegevens ook op het hoogste niveau besproken? * Single response ENQ: Lees mogelijkheden voor 1. Ja, deze worden meerdere malen per jaar besproken op directie of bestuurlijk niveau 2. Ja, 1x per jaar wordt dit besproken op directie of bestuurlijk niveau 3. Nee, deze worden niet op op directie of bestuurlijk niveau besproken. Wel op afdelingsniveau 4. Nee, deze worden niet op op directie of bestuurlijk niveau besproken. En ook niet op afdelingsniveau 998. Overig antwoord: -8. -9. Weet niet Zegt niet GA NAAR Q7 Q7. Is uw algemeen directeur of hoofdbestuurder op de hoogte van het risico dat uw organisatie loopt bij ongewenste toegang tot systemen en gegevens? * Single response ENQ: Lees mogelijkheden voor 1. Ja 2. Nee 998. Overig antwoord: -8. -9. Weet niet Zegt niet GA NAAR Q8 26

Q8. Is uw financieel directeur of financieel verantwoordelijke op de hoogte van het risico dat uw organisatie loopt bij ongewenste toegang tot systemen en gegevens? * Single response ENQ: Lees mogelijkheden voor 1. Ja 2. Nee 998. Overig antwoord: -8. -9. Weet niet Zegt niet GA NAAR Q9 27

Q9. Ik noem u nu een aantal onderdelen van uw organisatie. Kunt u per onderdeel aangeven wat de waarde is van dat onderdeel voor uw organisatie? * Items popup 1. 2. 3. 4. 5. 6. Onmisbaar, kritisch voor de organisatie Zeer Belangrijk voor de organisatie Belangrijk voor de organisatie Minder belangrijk voor de organisatie Niet belangrijk voor de organisatie NVT -8. Weet niet -9. Zegt niet A. B. C. D. E. F. G. H. I. J. K. Financiële administratie HR afdeling / personeel & organisatie IT afdeling of afdeling systeembeheer Sales of verkoopafdeling / orderverwerking Inkoopafdeling Marketing & relatiebeheer Logistiek, planning Productie Research & Development Open optie: aan te geven door respondent Open optie: aan te geven door respondent GA NAAR Q10 Q11. Ik noem u nu nogmaals de onderdelen. Wat is naar uw inschatting de mate van risico die dat onderdeel loopt op zaken als ongewenste toegang door derden van systemen en gegevens? * Items popup 1. 2. 3. 4. 5. Risico is zeer hoog Risico is hoog Risico is noch hoog noch laag Risico is laag Risico is zeer laag -8. Weet niet -9. Zegt niet A. Financiële administratie B. HR afdeling / personeel & organisatie C. IT afdeling of afdeling systeembeheer 28

D. E. F. G. H. I. J. K. Sales of verkoopafdeling / orderverwerking Inkoopafdeling Marketing & relatiebeheer Logistiek, planning Productie Research & Development Open optie: aan te geven door respondent Open optie: aan te geven door respondent GA NAAR Q12 Q12. Wat zijn de maatregelen die uw organisatie heeft genomen om het risico op ongewenste toegang van systemen en gegevens te minimaliseren voor betreffend onderdeel? * Items popup * multiple response 1. 2. 3. 4. 5. Er wordt meerdere malen per jaar een risico inschatting of risk assessment gemaakt Er zijn maatregelen getroffen om virussen en malware tegen te gaan Er zijn maatregelen getroffen om onbevoegden geen toegang te geven Er zijn maatregelen getroffen die een verlies van gegevens tegengaan of oplossen Er zijn maatregelen getroffen die de uitval van systemen tegengaan of oplossen -8. Weet niet -9. Zegt niet A. B. C. D. E. F. G. H. I. J. K. Financiële administratie HR afdeling / personeel & organisatie IT afdeling of afdeling systeembeheer Sales of verkoopafdeling / orderverwerking Inkoopafdeling Marketing & relatiebeheer Logistiek, planning Productie Research & Development Open optie: aan te geven door respondent Open optie: aan te geven door respondent GA NAAR Q12 29

Q12. Stel dat er een doorbraak in de IT beveiliging is opgetreden. Heeft uw organisatie dan een actie plan dat in werking komt? * Single response 1. Ja 2. Nee -8. -9. Weet niet Zegt niet INDIEN Q12=1 GA NAAR Q13 INDIEN Q12=2, -8 of -9 GA NAAR Q14 ORGANISATIES MET EEN ACTIEPLAN Q13a. Is dit actieplan een onderdeel van uw IT-beleid? * Single response 1. Ja 2. Nee -8. -9. Weet niet Zegt niet GA NAAR Q13b ORGANISATIES MET EEN ACTIEPLAN Q13b. Is dit actieplan ook belegd door gebruik te maken van externe specialisten op IT security gebied? * Single response 1. Ja 2. Nee -8. -9. Weet niet Zegt niet GA NAAR Q14 30

Q14. Wat is nu IT risico? Ik noem hierna een aantal mogelijke vormen. Kunt u per vorm aangeven in hoeverre die hogere of lagere prioriteit hebben gekregen in uw IT security? * Items popup * Single response ENQ: Lees mogelijkheden voor 1. 2. 3. 4. 5. top prioriteit een van de prioriteiten belangrijk maar geen prioriteit enigszins belangrijk niet belangrijk -8. Weet niet -9. Zegt niet A. Data Confidentiality vertrouwelijkheid van gegevens B. Data integrity risk onbetrouwbare / foutieve gegevens C. Relevantie risico Niet de juiste informatie bij de juiste mensen D. Project risico Projecten worden niet naar behoren uitgevoerd E. Compliancy risico Systemen/oplossingen niet up-to-date, vormen daarom een risico F. Ongeoorloofde toegang tot systemen / applicaties G. Ongewenst verstoren of uitschakelen van processen H. Open optie: aan te geven door respondent GA NAAR Q15 Q15. Wanneer het IT risico wordt ingeschat wat is dan normaliter de functionaris die dit doet of daarbij betrokken is vanuit uw organisatie? * Multiple response 1. 2. 3. 4. 5. 6. 7. 11. 12. 13. Bedrijfsleider Boekhouder / hoofd administratie Controller / hoofd financiën Hoofd automatisering CIO of IT Directeur Operations manager / COO Office manager / facilities manager Systeembeheerder Netwerkbeheerder Hoofd security of hoofd beveiliging 998. Anders, namelijk: -8. Weet niet -9. Zegt niet 31

GA NAAR Q16 Q16. Maakt u gebruik bij het inschatten van IT risico van externe organisaties? * Single response 1. Ja 2. Nee -8. -9. Weet niet Zegt niet INDIEN Q16=1 GA NAAR Q17 INDIEN Q16=2,-8,-9 GA NAAR Q18 ORGANISATIES WAAR MEN GEBRUIK MAAKT VAN EXTERNEN BIJ INSCHATTING IT RISICO Q17. Wat voor type externe partij schakelt u dan in? * multiple response 1. 2. 3. 4. 5. Advies / adviseur / consultant Security specialist / IT Security bedrijf Security leverancier / leverancier van security oplossingen Software leverancier System Integrator / IT dienstverlener 998. Anders, namelijk: -8. Weet niet -9. Zegt niet GA NAAR Q18 32

Q18. Wat is uw inschatting van de mate waarin verschillende medewerkers of functie groepen in uw organisatie zich bewust zijn IT risico s? * Items popup * Single response ENQ: Lees mogelijkheden voor 1. 2. 3. 4. 5. zich totaal niet bewust van de risico s matig bewust van de risico s redelijk bewust van de risico s goed bewust van de risico s zeer goed bewust van de risico s -8. Weet niet -9. Zegt niet A. Algemeen management en bestuur B. IT medewerkers C. Medewerkers algemeen / eindgebruikers D. IT management E. Financieel management F. Afdelingsmanagement GA NAAR Q19 Q19. Heeft uw organisatie ook een inschatting gedaan van de gevolgen van IT risico s? Ik doel dan op het type schade dat u loopt. Ik lees u een type voor waarbij u kunt aangeven of dit meegenomen is in de inschattingen door uw organisatie? * Items popup * Single response ENQ: Lees mogelijkheden voor 1. 2. 3. 4. Geen inschatting voor gedaan Wij zijn ons bewust van dit type schade, maar geen inschatting Hier is een inschatting over gedaan Hier hebben wij een zeer goed beeld van -8. Weet niet -9. Zegt niet A. Financiële schade B. Reputatie schade / imago schade C. Schade in tijd uitgedrukt / achter komen te lopen op GA NAAR Q20 33

Afsluiting Q20. We zijn aan het einde gekomen van dit interview. Als dank mag ik u een exemplaar aanbieden van de uitkomsten van dit onderzoek. Wilt u een exemplaar ontvangen? * Single response 1. Ja 2. Nee INDIEN Q20=1 GA NAAR Q21 INDIEN Q20=2 GA NAAR Q22 GEINTERESSEERDEN IN TERUGKOPPELING Q21. Wij sturen het resultaat alleen aan u als medewerkende aan dit onderzoek op. Dit doen we per E-mail. U kunt mij nu het E-mail adres sturen waarop u het resultaat wenst te ontvangen. Ik wil u er op wijzen dat wij uw privacy respecteren. Uw contactgegevens of andere gegevens zullen niet aan derden of opdrachtgever worden doorgestuurd. 98. E-mail adres: GA NAAR Q22 Q22. Het is mogelijk dat door de vragen die zijn gesteld of om andere reden u geinteresseerd bent in meer informatie. De opdrachtgever achter dit onderzoek kan daarover vrijblijvend contact met u opnemen. ENQ: Noem nu desgewenst de naam van de opdrachtgever: McAfee Ik wil u er daarbij op wijzen dat indien u dat contact wenst wij de interview resultaten niet verstrekken aan deze organisatie. Zij maken deel uit van het onderzoek en dus uw privacy. Wenst u een contact met de opdrachtgever? * Single response 1. Ja 2. Nee INDIEN Q20=1 GA NAAR Q21 INDIEN Q20=2 GA NAAR END 34

GEINTERESSEERDEN IN CONTACT MET OPDRACHTGEVER U kunt nu u naam geven aan ons, dan zorgen wij dat de opdrachtgever contact met u opneemt via het algemene telefoonnummer van uw organisatie 97. Voornaam 98. Achternaam GA NAAR END End. Hartelijk dank voor uw medewerking. Wij wensen u nog een prettige dag. 35