Maar liefst acht op de tien (79%) van de IT-dienstverleners maken zich (zeer veel) zorgen over de digitale veiligheid van de afnemers van hun IT-diensten. Dit blijkt uit recent onderzoek van het Digital Trust Center (DTC). Veel – maar minder – afnemers (60%) maken zich (zeer veel) zorgen over de digitale veiligheid van hun eigen bedrijf.
Aan de IT-dienstverleners en hun IT-afnemers is gevraagd wat de belangrijkste reden is om zich zorgen te maken over het IT-afnemende bedrijf. De impact van een cyberincident wordt door beide onderzoeksgroepen als belangrijkste reden genoemd.
Onderschatting van kans op cyberincident
Van de IT-afnemende bedrijven die zich geen zorgen maken over hun digitale veiligheid geeft bijna 40% als reden dat ze denken dat de kans klein is dat hen een cyberincident overkomt. IT-dienstverleners die zich geen zorgen maken (21%), schatten deze kans realistischer in; 19% denkt dat hun IT-afnemers kleine kans hebben op een cyberincident.
Er is sprake van een onderschatting van de kans op een cyberincident. Alhoewel incidenten lastig te meten zijn vanwege het ontbreken van een centraal meldpunt of cyberschaamte, komt uit diverse steekproeven en onderzoeken naar voren dat ten minste één op de vijf bedrijven jaarlijks een cyberincident ervaart.
> LEES OOK: Hoe voorkom je een digitale crisis?
Hoe voorbereid zijn bedrijven op cyberincidenten?
Stel dat er een cyberincident zou zijn waardoor netwerken, systemen en data meer dan 24 uur niet bereikbaar zijn, in hoeverre is jouw bedrijf voorbereid op deze situatie? Maar liefst zeven op de tien bedrijven acht zichzelf hierop voorbereid. IT-dienstverleners zijn nog iets optimistischer en geven aan dat 83% van de bedrijven waar zij IT-diensten aan leveren zich hierop voorbereid hebben, sámen met hen.
> LEES OOK: Wat te doen tijdens een cyberincident? 5 tips
Goed vertrouwen dwarsboomt incident readiness
Bedrijven die géén vaste afspraken of plannen hebben gemaakt voor een cyberincident, noemen het vaakst dat ze de kans dat hen dit overkomt klein vinden (40%). Van deze onvoorbereide bedrijven geeft 39% aan te vertrouwen op hun IT-dienstverlener(s). Voor 17% speelt geld een rol en 22% heeft ‘er nog nooit goed over nagedacht’ en heeft daarom geen voorbereidingen getroffen.
Onderlinge afstemming kan beter
In het onderzoek is ook gevraagd naar de onderlinge afstemming over hoe te handelen in het geval van een cyberincident. Uit de resultaten blijkt dat de concrete mate van voorbereiding (‘cyber readiness’) door IT-dienstverleners hoger geschat wordt dan door IT-afnemers. IT-dienstverleners geven vaker dan IT-afnemers aan dat betrokkenen weten hoe zij moeten handelen en dat er vaste afspraken zijn gemaakt. De IT-afnemers geven vaker blijk van een matige of slechte voorbereiding.
Dienstverleners geven vaker aan dat zij en hun klanten werken volgens afspraken opgenomen in het contract of de Service Level Agreement (SLA) (76% vs 63%). Ook geven zij vaker dan afnemers aan dat zij gezamenlijk de risico’s hebben vastgesteld (74% vs 59%), dat ze een gezamenlijk draaiboek hebben klaarliggen (72% vs 53%) en dat ze regelmatig samen oefenen/testen (69% vs 43%). Kortom, IT-dienstverleners denken cybersecurity concreter afgestemd te hebben met hun afnemers dan dat de afnemers het denken te hebben afgestemd met hun IT-dienstverlener(s).
Via afstemming naar betere digitale veiligheid
De onderlinge afstemming is een zorgpunt. Voor IT-afnemers zijn de voorbereidingen op cyberincidenten minder concreet. Hier ligt een kans voor IT-dienstverleners om concreter aan te geven welke voorbereidingen getroffen zijn en welke afspraken er liggen.
Beide partijen vinden dat ze een gedeelde verantwoordelijkheid hebben voor de digitale veiligheid van IT-afnemers. Zo’n gedeelde verantwoordelijkheid kan leiden tot geen verantwoordelijkheid wanneer verwachtingen van elkaar niet duidelijk zijn afgestemd. Zowel IT-dienstverleners als IT-afnemers geven elkaar dan ook voornamelijk tips over goede afspraken en communicatie wanneer hen gevraagd wordt hoe er meer duidelijkheid over de verantwoordelijkheden kan komen. Het Digital Trust Center voegt hier de tip aan toe: ga actief het gesprek aan om concrete afspraken te maken over verantwoordelijkheden en incident respons. Daar kan een praatplaat of checklist een handig hulpmiddel bij zijn. Daarnaast kunnen IT-dienstverleners via de DTC Community kennis uitwisselen en ervaringen delen.
Bron: DTC
Volg Security Management op LinkedIn
