Gingen we gisteren nog in op de tips om USB-sticks beter te beveiligen. Dan gaan we vandaag in op het feit dat ICT-beslissers in Nederland helemaal niet zo wakker liggen van de risico’s van privé apparaten.
ICT-beslissers in Nederland maken zich het minst zorgen om de beveiliging van privé-apparaten. In Nederland is 18 procent van hen totaal niet bezorgd over het toelaten van bedrijfsinformatie op persoonlijke apparaten van medewerkers, terwijl dit percentage wereldwijd gemiddeld 11 procent is. Dat blijkt uit onderzoek door Vanson Bourne onder 1100 ict-managers in elf landen (bron).
Het blijft opmerkelijk. Informatie is het nieuwe goud, informatie vertegenwoordigt een grote waarde voor veel organisaties. Toch maken we ons er geen zorgen om. Wat ons betreft mag iedereen die informatie lekker op een privé apparaatje zetten en er mee doen wat ze willen. Dat is natuurlijk niet zo, want als je deze ICT-beslissers letterlijk zou vragen of ze het acceptabel vinden dat vertrouwelijke informatie gestolen wordt, dan mag ik toch hopen dat het antwoord “nee” is.
Jammer genoeg weten we niet wie er naar de antwoorden gevraagd is en welke rol deze zogenaamde ICT-beslissers in de organisatie vervullen. De vraagstelling en context zijn ons evenmin duidelijk. Ik kan me zomaar voorstellen dat de ICT-beslissers (wat een raar woord overigens, maar goed we blijven hem vandaag gewoon gebruiken) wel andere zorgen aan de kop hebben.
Zeer waarschijnlijk staat er een enorme druk op hun budget, we moeten het immers allemaal met minder geld doen op dit moment. In dat geval kan ik me heel goed voorstellen dat men het toejuicht dat personeel privé apparatuur mee neemt naar het werk. Hier komt natuurlijk ook het Bring Your Own-principe om de hoek kijken.
Nederlandse ict-beslissers verwachten dat over twee jaar zes op de tien medewerkers een privé-apparaat gebruikt om te werken en dat is meer dan in andere landen.¬â€
Het scheelt natuurlijk een flinke slok op een borrel als je als organisatie voor 4 in plaats van 10 medewerkers een werkplek aan hoeft te schaffen. Hoe groot die slok is? Nou, zo’n 60% dus alleen al aan aanschaf van hardware. Stel dat je 100 man personeel hebt lopen en de vervanging van de hardware er aan zit te komen. Een beetje werkplek kost je toch al snel zo’n € 2.500 (ja ja, ook ik vraag me af waarom die prijs zo hoog is een laptopje heb je ook al voor € 300 maar de beheerkosten zijn hierin ook verwerkt). € 2.500 x 100 = € 250.000 terwijl € 2.500 x 40 maar € 100.000 is.
In de ogen van de ICT-beslisser kan er natuurlijk nog veel meer bezuinigd worden want ook ondersteuning van de medewerkers kan flink teruggeschroefd worden. Die medewerker geven we per 5 jaar € 500 en de rest zoeken ze maar lekker zelf uit, toch?
Zolang er nog te weinig incidenten zijn of bekend worden, zal deze trend zich zeer waarschijnlijk door blijven zetten. Beveiliging kost in de ogen van de ICT-beslissers alleen maar geld en levert niets op. Het Bring Your Own-principe zorgt voor flinke besparingen en die zijn veel makkelijker aan het management uit te leggen dan de bijbehorende risico’s. Als ICT-beslisser gooi je dus hoge ogen en de Security manager lost het probleem van de beveiliging maar lekker op.
Dat de Security manager vervolgens om een flink hoger budget vraagt, komt als een complete verrassing voor dat management en dat budget zal dan ook niet toegezegd worden…ook hij moet maar eens bezuinigen, toch? Ja, integrale beveiliging, ik heb er al zoveel over geschreven, maar hiermee wordt maar weer eens duidelijk dat we aan moeten tonen dat beveiliging geen technisch maar een bedrijfskundig vraagstuk is…gericht op de continuïteit van de organisatie. Werk aan de winkel dus.