60% van de IT-beslissers meent dat er onvoldoende tijd of geld beschikbaar is voor de ontwikkeling van een IT-beveiligingsbeleid. Amper de helft van de bedrijven denkt te beschikken over goed georganiseerde, systematische processen om dreigingen tegen te gaan. Deze bevindingen zijn afkomstig uit het recente Global Corporate IT Security Risks 2013 onderzoek dat in opdracht van Kaspersky Lab in april 2013 uitgevoerd werd door B2B International, onder vertegenwoordigers van het bedrijfsleven over de hele wereld.
De situatie is vooral slecht in de educatieve sector, waar slechts 28% van de organisaties ervan overtuigd is dat zij voldoende investeren in het IT-beveiligingsbeleid. Nog veel bedenkelijker is dat wereldwijd slechts 34% van de ondervraagde overheids- en defensieorganisaties beweert over voldoende tijd en middelen te beschikken voor de ontwikkeling ervan. Twee derde van de organisaties loopt dus constant het risico op verlies van vertrouwelijke overheidsinformatie.
Dit, terwijl een enkele maatregel, zoals het implementeren van een IT-beveiligingsbeleid voor mobiele apparaten, de risico's die smartphones en tablets voor een zakelijke IT-omgeving opleveren aanzienlijk kunnen verminderen. Uit het onderzoek blijkt dat een dergelijk beleid in bijna de helft van de gevallen ontbreekt. Indien er wel een mobiel beveiligingsbeleid is geïmplementeerd, zijn de middelen nog steeds onvoldoende: circa de helft van de ondervraagden klaagt dat de budgetstijgingen onvoldoende waren, terwijl 16% klaagt dat geen extra geld beschikbaar is gesteld.
Volgens het onderzoek had ten minste 91% van de bedrijven te maken met een extern IT-beveiligingsincident, en rapporteerde 85% gedurende de afgelopen 12 maanden interne incidenten. Dergelijke incidenten kunnen reële financiële en reputatieschade veroorzaken. Deze verliezen kunnen aanzienlijk groter zijn dan de kosten om IT-beveiligingstools in te voeren, die het lekken van belangrijke data, downtime en andere onvoorziene uitgaven zouden helpen vermijden.
Een ernstig incident kost grote ondernemingen gemiddeld zo’n € 500.000,-. Voor kleine en middelgrote ondernemingen bedraagt de rekening meestal ongeveer € 37.500,-. Een succesvolle, gerichte aanval kan een bedrijf tot circa € 1,8 miljoen kosten qua directe financiële verliezen en bijkomende kosten.
Toch zijn veel organisaties zich niet bewust van deze risico's. Volgens het onderzoek beschouwt een kwart van de bedrijven beveiligingsproblemen nog altijd als zaken die "anderen overkomen" - hoewel deze zelfingenomen houding sinds vorig jaar wel aan het afnemen is. Een ander probleem is dat 28% van de bedrijven ten onrechte denkt dat de kosten om zich te beschermen tegen cybercriminaliteit hoger liggen dan de potentiële verliezen.
