VKA heeft dit jaar voor de tweede keer een Nationale Mobility benchmark uitgevoerd. Hierin hebben we de actuele stand van zaken anno 2016 voor mobiel werken binnen organisaties in Nederland representatief en objectief in kaart gebracht. Een groot aantal van onze klanten en relaties heeft aan dit onderzoek deelgenomen en zij vertegenwoordigen in totaal circa 200.000 mobiele eindgebruikers. Mobile security is één van de onderwerpen die we in de benchmark hebben onderzocht. Dit levert interessante uitkomsten op.
66% denkt beveiliging op orde te hebben
Zo lijkt een ruime meerderheid van de deelnemers de beveiliging van hun mobiele landschap uitstekend op orde te hebben, want 66% geeft aan dat zich het afgelopen jaar bij hen geen informatiebeveiligingsincidenten direct gerelateerd aan het gebruik van mobiele apparaten heeft voorgedaan. Vorig jaar was dit percentage overigens nog 77%. Nu lopen organisaties natuurlijk niet met eventuele beveiligingsincidenten te koop, dus hoe moeten we deze cijfers interpreteren? Ik durf te beweren dat het realistisch is om aan te nemen dat de genoemde meerderheid weldegelijk te maken heeft met mobiele beveiligingsincidenten en slechts een kleine minderheid niet. De vraag is meer of men er überhaupt zicht op heeft, of dat men zich veilig waant omdat middelen om inzicht te verschaffen ontbreken?
Beveiliging vormt voor 75% de grootste uitdaging
Mijn stelling sluit aan op het gegeven dat bijna driekwart van de respondenten informatiebeveiliging van mobiele apparaten als de belangrijkste uitdaging voor Enterprise Mobility beschouwt. Dat zou zonder incidenten nogal merkwaardig zijn. Bij de meeste organisaties beperken de getroffen technische maatregelen zich tot het verplicht afdwingen van een pincode of wachtwoord, een automatische schermvergrendeling na inactiviteit en het op afstand wissen (remote wipe) van een apparaat in geval van diefstal of verlies. Maar zijn deze maatregelen voldoende?
Datalek?
Diefstal of verlies van een smartphone of tablet treft waarschijnlijk meer dan de 20% van de organisaties die dit in de benchmark meldt. Als het apparaat toegang biedt tot een zakelijk mailaccount en in de email persoonsgegevens zoals klantinformatie of medische gegevens zijn vastgelegd, is er niet alleen sprake van een beveiligingsincident maar tevens van een datalek met een meldplicht bij de Autoriteit Persoonsgegevens.
Indien een datalek wordt gemeld zal de autoriteit nagaan of er voldoende voorzorgsmaatregelen zijn getroffen om het datalek te voorkomen. Bovengenoemde gangbare technische maatregelen lijken echter niet aan de door de autoriteit gehanteerde norm te voldoen, dus is er voor de meeste organisaties werk aan de winkel.
Benieuwd naar meer interessante uitkomsten van ons onderzoek? Het rapport is nu digitaal beschikbaar. Wilt u deze (gratis) ontvangen? Laat het ons hier weten.