Enkele opvallende veiligheidsincidenten hebben Belgische bedrijven er bewuster van gemaakt dat veiligheid serieus moet worden genomen. Tegelijkertijd realiseren mensen zich dat er momenteel niet voldoende maatregelen worden getroffen, en blijken sociale netwerken één van de zwakke plekken te blijven binnen de beveiligingsstrategie. Dit zijn enkele van de bevindingen die in maart werden geconcludeerd uit een enquête van veiligheidsspecialist Bull tijdens de vakbeurs InfoSecurity in Brussel.

In totaal deden 126 mensen mee met de enquête. Er werd hen gevraagd hun mening te geven over vijf levensechte scenario’s. “We gaven er de voorkeur aan mensen te vragen naar concrete bedrijfssituaties in plaats van abstracte vragen te stellen,” verklaart Adele Folletti, security practice manager bij Bull Belux.

Volgens de respondenten investeren bedrijven hoofdzakelijk in beveiliging omwille van een aantal opvallende incidenten die zich hebben voorgedaan. 55 procent van de bevraagde mensen zegt dat dit de hoofdreden vormt waarom bedrijven investeren in hun beveiliging. Een derde meent dat het voornamelijk gaat om potentiële financiële verliezen en beschadiging van hun reputatie omwille van downtime. Eén op vijf respondenten verwijst naar wetgeving over governance, zoals Sarbanes-Oxley, Basel…, terwijl 15 procent ervan overtuigd is dat bedrijven kijken naar de best practices van hun concurrenten voor hun eigen beveiligingsstrategie.

Bezoekers van InfoSecurity vinden ook dat bedrijven proactief te werk gaan in hun beveiligingsstrategie. Bijna zes op tien (59%) menen dat bedrijven proactieve plannen voor business continuity smeden en testen, waarna ze de ondersteunende technologieën invoeren. Veertig procent zegt dat bedrijven hoofdzakelijk reactief werken: ze beschikken misschien over bepaalde noodprocedures en er is een zeker risicobeheer aanwezig, maar ze hebben geen plannen in huis voor business continuity of disaster recovery die overeenstemmen met die procedures.

Bedrijven vertrouwen nog altijd erg weinig op cloud-oplossingen wanneer het gaat om back-up en opslag. Slechts 44 procent zegt dat ze hun opslag en back-up zouden voorzien in de cloud, als zij de operationele manager van een IS-afdeling zouden zijn. Van de mensen die een beroep zouden doen op opslag en back-up in cloud, zouden acht op tien (79%) erop toezien dat het systeem regelmatig wordt getest om te garanderen dat ze alle gegevens kunnen recupereren in een noodgeval. Eenentwintig procent zou vertrouwen op de contractuele afspraken met de dienstverlener.

De enquête tijdens InfoSecurity toont aan dat mensen geloven in bewustmakingscampagnes om de veiligheid te garanderen. Geconfronteerd met een scenario waarin een bedrijf beslist om smartphones aan te bieden aan alle werknemers, zegt zestig procent van de respondenten dat de veiligheidsverantwoordelijke een sensibiliseringscampagne zou moeten opstarten, waarin de gebruikers van smartphones wordt geleerd om geen vertrouwelijke informatie te versturen via hun toestel. Tien procent zou gewoonweg vertrouwen op de veiligheidsstructuur die momenteel is voorzien, terwijl dertig procent zegt dat de veiligheidsverantwoordelijke de ingebruikneming van smartphones zou moeten stilleggen, een evaluatie zou moeten uitvoeren en de huidige veiligheidsvoorzieningen moet updaten.

Sociale netwerken blijken één van de zwakke punten te zijn in de beveiliging van een bedrijf. De respondenten menen dat één op vijf werknemers onmiddellijk bedrijfsgeheimen over een technologische doorbraak zou delen op sociale netwerken. Ze denken ook dat nog eens 43 procent informatie zou verspreiden via privéberichten en directe conversaties. De deelnemers aan het onderzoek denken dat slechts 37 procent van de werknemers deze vertrouwelijke informatie voor zichzelf zou houden.

“Deze enquête toont duidelijk aan dat organisaties actief nadenken over hun veiligheidsstrategie,” vertelt Adele Folletti. “De veiligheidseisen nemen dagelijks toe, vaak gestuurd door de regelgeving. Door organisaties te helpen bij de implementering van veiligheidsmechanismen die op de business zijn gericht, moeten de klanten niet langer kiezen tussen betrouwbaarheid en productiviteit. Dankzij Bull kan de IT-beveiliging actief bijdragen aan de ontwikkeling van de core business.”

A la suite de plusieurs incidents de sécurité graves, les entreprises belges ont pris davantage conscience qu’il ne  fallait pas badiner avec la sécurité. Parallèlement, les gens se rendent compte qu’il n’y a pas assez de mesures prises aujourd’hui et que les réseaux sociaux semblent être l’un des maillons faibles des stratégies de sécurité. Telles sont certaines des conclusions tirées d’une enquête menée par le spécialiste de la sécurité Bull durant le salon InfoSecurity qui s’est tenu en mars, à Bruxelles.

126 personnes au total ont participé à l’enquête. Celle-ci avait pour but de recueillir l’avis des répondants sur cinq scénarios inspirés de la réalité. « Nous avons préféré demander aux gens ce qu’ils pensaient de cas concrets plutôt que leur poser des questions abstraites », explique Adele Folletti, security practice manager chez Bull Belux.

Selon les répondants,  les sociétés investissent dans la résilience principalement à cause de quelques catastrophes spectaculaires qui se sont déjà produites et qui ont eu de graves conséquences sur le plan de la sécurité. 55 pour cent des personnes interrogées déclarent qu’il s’agit de la principale raison poussant les sociétés à investir dans la résilience.  Un tiers pense que le principal souci a trait au risque de perte financière et de dégradation de la réputation en cas de rupture de l’activité. Un répondant sur cinq évoque des législations de gouvernance d’entreprise comme Sarbanes-Oxley, Bâle etc. … tandis que 15 pour cent estiment que les entreprises analysent les meilleures pratiques de leurs concurrents pour élaborer leur propre stratégie de résilience.

Les visiteurs d’InfoSecurity pensent également que les entreprises mènent une stratégie proactive en matière de sécurité. Près de six répondants sur dix (59%) pensent que les sociétés créent proactivement des plans de continuité opérationnelle, les testent et implémentent les technologies voulues pour étayer ces plans. Quarante pour cent déclarent que les entreprises adoptent un comportement essentiellement réactif: elles ont peut-être quelques procédures d’urgence et de gestion des risques, mais elles n’ont pas de plan de garantie de la continuité  opérationnelle ni de plan de restauration après un sinistre correspondant à ces procédures.

Les sociétés ne font que très peu confiance aux solutions cloud pour les opérations de sauvegarde et de stockage. Seuls 44 pour cent  des répondants avouent qu’ils opteraient pour le stockage et la sauvegarde dans le cloud s’ils avaient la responsabilité opérationnelle d’un département IS. Parmi ceux qui font confiance à la technologie cloud pour le stockage et la sauvegarde, huit sur dix (79%) veilleraient à ce que le système soit régulièrement testé pour être sûrs de pouvoir récupérer toutes les données en cas d’urgence. Vingt-et-un pour cent se fieraient à des accords contractuels avec le prestataire de services.

L’enquête menée à InfoSecurity révèle que les gens croient dans les campagnes de sensibilisation pour garantir la sécurité. Confrontés à un scénario dans lequel la société décide de distribuer des smartphones à tous ses employés, soixante pour cent des répondants indiquent que le responsable de la sécurité devrait lancer une campagne de sensibilisation, pour apprendre aux utilisateurs de smartphones à ne pas échanger d’informations sensibles via ce type d’appareil. Dix pour cent feraient tout simplement confiance au cadre de sécurité existant ; pour trente pour cent des répondants, le responsable de la sécurité devrait arrêter le déploiement des smartphones, lancer une analyse et revoir le cadre de sécurité existant.

Les réseaux sociaux semblent être l’un des maillons faibles de la sécurité des entreprises. Selon les répondants, un employé sur cinq  est susceptible de partager directement sur les réseaux sociaux des secrets de sa société concernant une avancée technologique par exemple, tandis que quarante-trois pour cent partageraient ce type d’information par le biais de messages privés dans le cadre de conversations directes. Les participants à l’enquête pensent que seuls trente-sept pour cent ne divulgueraient pas ce genre d’information confidentielle.

“Ce sondage montre clairement que les organisations mènent une réflexion active à propos de leur stratégie de sécurité”, conclut Adele Folletti. “Les contraintes de sécurité augmentent de jour en jour, souvent pour des raisons de conformité à des règles et législations. En aidant les organisations à mettre en œuvre des mécanismes de sécurité axés sur l’opérationnel, les clients ne sont plus obligés de choisir entre confiance et productivité. Avec Bull, la sécurité informatique participe activement à la promotion du développement de l’activité métier d’une entreprise. »

High profile security disasters have raised the awareness within Belgian companies that security should be taken seriously. At the same time, people realize that not enough measures are taken right now, and social networks seem to be one of the weak spots in a security strategy. These are some of the conclusions drawn from a survey that security specialist Bull conducted during the InfoSecurity tradeshow in Brussels in March.

In all, 126 people participated in the survey. They were asked for an opinion on five real-life scenarios. “We preferred asking people about concrete corporate situations rather than abstract questions,” explains Adele Folletti, security practice manager at Bull Belux.

According to the respondents, companies invest in resiliency mainly because of a number of high profile disasters that have already happened. 55 per cent of the people polled say this is the main reason why companies invest in resiliency. A third thinks potential financial and reputational losses attributed to downtime are the main concern. One in five respondents refer to corporate governance legislation like Sarbanes-Oxley, Basel… while 15 per cent believe companies look at best practices at their competitors for their own resiliency strategy.

Visitors of InfoSecurity also believe companies are proactive in their security strategy. Almost six in ten (59%) think companies proactively create business continuity plans, test them and put in place the supporting technologies. Forty per cent say companies are mainly reactive: they may have some emergency procedures and some risk management in place, but they have no business continuity plans or disaster recovery plans to match these procedures.

Companies still place little trust in cloud solutions when it comes to backup and storage. Only 44 per cent say they would include storage and backup in the cloud if they were operational manager of an IS department. Of the people who would rely on cloud storage and backup, eight out of ten (79%) would make sure the system is regularly tested to make sure they can retrieve all the data in case of an emergency. Twenty-one per cent would rely on the contractual agreements with the service provider.

The survey at InfoSecurity shows that people believe in awareness campaigns to ensure security. Confronted with a scenario in which a company decides to roll out smartphones to all employees, sixty per cent of respondents say the security officer should start an awareness campaign, teaching the users of smartphones not to send sensitive information over the smartphone. Ten per cent would simply rely on the current security framework that is provided, while thirty per cent say the security officer should stop the deployment of the smartphones, start a review and update the current security framework.

Social networks appear to be one of the weak spots in a company’s security. The respondents believe that one out of five employees would share company secrets about a technological breakthrough on social networks immediately, while they also think another 43 per cent would share the information through private messages and in direct conversations. Participants in the survey think only 37 per cent of employees would keep this confidential information to themselves.

“This survey clearly shows that organizations are actively thinking about their security strategy,” says Adele Folletti. “Security constraints are growing every day, often driven by compliance. By helping organizations to implement business-focused security mechanisms, clients no longer have to choose between trust and productivity. With Bull, IT security actively promotes the development of core businesses.”