Gevoelige bedrijfsinformatie die op straat komt te liggen, vormt niet alleen een veiligheidsrisico, maar zorgt ook voor enorme reputatieschade. En als het aan 'Europa' ligt straks ook voor hoge boetes. Toch behalen de 600 Europese bedrijven die door PwC in samenwerking met Iron Mountain langs de lat van de ‘Information Risk Maturity Index' werden gelegd, gemiddeld slechts 40,6 van de maximaal 100 punten. Beveligingswereld.nl sprak met de onderzoekers.

Door Ed Boogaard

De eerste EU Information Risk Maturity Index van PwC en Iron Mountain werd gisteren in Madrid aan de Europese media gepresenteerd. De onderzoekers waarschuwen: op weg naar een voldoende of meer, vertrouwen bedrijven teveel op technologie, terwijl het de bedrijfscultuur is die moet veranderen zodat informatie in alle lagen hoog wordt gewaardeerd.

Nieuws over datalekken en cyberaanvallen bij grote organisaties als DigID en KPN haalt steevast de voorpagina's. Maar het onderzoek door PwC en Iron Mountain, wijst uit dat juist ook middelgrote bedrijven in Europa de bescherming van hun gevoelige bedrijfsinformatie flink onderschatten. Bijna een kwart (24 procent) van de onderzochte bedrijven heeft geen idee of er de laatste drie jaar sprake is geweest van een datalek.

Uit het rapport blijkt dat 59 procent van de onderzochte bedrijven de oplossing voor dit probleem vooral zoekt in verdere investeringen in technologie. Tevergeefs, meent William Rimington, de onderzoeker van PwC: "Informatiebeveiliging wordt algemeen gezien als een IT-probleem. Maar dat is het niet."

Beyond Cyber Threats

Het rapport is getiteld 'Beyond Cyber Threats' en wil daarmee wijzen op het feit dat de veelbesproken cyberaanvallen zeker niet het belangrijkste gevaar vormen voor de beveiliging van informatie. PwC's Rimington stelt dat de focus van bedrijven zou moeten liggen op de mensen binnen de eigen organisatie.

"Slechts 1 procent van de ondervraagden blijkt zich ervan bewust dat informatierisico's tot de verantwoordelijkheid van alle medewerkers behoren. Tegelijkertijd weet meer dan 60 procent niet zeker of medewerkers en leidinggevenden eigenlijk wel over de juiste middelen beschikken om bedrijfsinformatie voldoende te beschermen."

PwC en Iron Mountain, specialist in documentbeheer en databeveiliging, deden het onderzoek naar informatiebeveiliging bij middelgrote bedrijven (250 tot 2.500 medewerkers) in Duitsland, Frankrijk, Hongarije, Nederland, Spanje en het Verenigd Koninkrijk. Hongarije blijkt in deze groep aan kop te gaan in de 'Information Risk Maturity Index' met 45,4 van de maximale 100 punten, terwijl Nederland op de een-na-laatste plek belandt met slechts 39,5 punten.

Zelfgenoegzaam

Hoewel de keuze voor juist deze landen - en bijvoorbeeld niet Scandinavië - bij navraag volgens zowel PwC als Iron Mountain vrij willekeurig tot stand kwam, meent Christian Toon (verantwoordelijk voor Information Risk bij Iron Mountain) dat de resultaten toch representatief zijn en de bestaande vermoedens bevestigen: "We zijn dus niet verbaasd, maar we maken ons wel zorgen. Het rapport schets een onthullend beeld van zelfgenoegzaamheid, nalatigheid en een tekort aan breed gedragen verantwoordelijkheid."

PwC en Iron Mountain stelden op basis van de eigen werkwijze van informatiebeheerder Iron Mountian een lijst met 34 vragen op, verdeeld over vier belangrijke aandachtsgebieden:

• Strategie
• Mensen
• Communicatie en
• Veiligheid

Uit de antwoorden blijkt dat slechts 13 procent van de respondenten informatierisico's beschouwt als een directieonderwerp, terwijl een derde (35 procent) het vooral als een IT-probleem ziet. Toch is investeren in technologie niet de oplossing, waarschuwt PwC: "Middelgrote ondernemingen kunnen enorme verbeteringen boeken met een cultuurverandering aan de top, door nieuwe procedures in te voeren en door hun medewerkers te trainen."

Iron Mountain hoopt na dit eerste onderzoek op termijn verbetering te kunnen constateren op het gebied van informatiebeveiliging. Wellicht wordt het onderzoek bovendien nog verbreed naar meer Europese landen.

Op de vraag hoe Iron Mountain eigenlijk zelf scoort op de 'Information Risk Maturity Index' moet Christian Toon het antwoord even schuldig blijven. Maar hij is overtuigd van een goede positie: "We hebben onze eigen procedures en werkwijzen op het gebied van informatiebeveiliging als uitgangspunt genomen voor de index. We hebben immers al zestig jaar ervaring in informatiemanagement."

Dit is het gehele rapport: PwC_IM_white_paper_final150320v2.pdf