Organisaties naïef over eigen digitale veiligheid

Onderzoek van Solvinity laat een forse kloof zien tussen de perceptie en de realiteit van de eigen digitale weerbaarheid. Van de Nederlandse IT-verantwoordelijken zegt 88% de beveiliging onder controle te hebben. 70% denkt zelf weerstand te kunnen bieden aan cybercrime. Het vertrouwen in de eigen weerbaarheid onder deze groep is daarmee vrij groot. Maar er zijn diverse aanwijzingen in het onderzoek die erop wijzen dat IT de eigen weerbaarheid vaak nog te rooskleurig inschat.

SolvinityMeer informatie

Het onderzoek van Solvinity naar het beeld van de digitale weerbaarheid van hun organisaties is uitgevoerd onder ruim 500 IT-verantwoordelijken van Nederlandse bedrijven met meer dan 200 medewerkers. Het volgt op een golf securityincidenten, van het stilleggen van thuiswerkservers vanwege onopgeloste kwetsbaarheden tot grootschalige ransomware-aanvallen en een explosieve stijging van het aantal cybercrime-delicten, dat dit jaar het aantal woninginbraken overstijgt.

Patches en updates: een risico voor de business continuïteit?

Slechts 49% van de respondenten geeft aan patches en updates die leveranciers beschikbaar stellen binnen enkele dagen te installeren. 24% heeft daar weken voor nodig en 8% wacht zelfs maanden of langer. Bijna 80% geeft aan dat sommige patches en updates helemaal niet worden geïnstalleerd.

Wanneer wordt gevraagd naar de achterliggende redenen geeft 38% aan dat het management vreest voor risico’s op de business continuïteit. Dit is opmerkelijk omdat het niet installeren van deze patches en updates juist risico’s met zich mee kan brengen. Andere redenen:

leveranciers belemmeren updates van software van derden vanaf een bepaalde versie (20%)
de IT-afdeling heeft onvoldoende capaciteit (16%)
hardware kan niet overweg met hogere softwareversies (15%)
eindgebruikers willen geen verandering (13%)
updates van software wordt belemmerd door licenties (9%)

Risicobeperkende maatregelen

18% van de respondenten sluit uit dat binnen de organisatie software, hardware of diensten worden gebruikt die onveilig zijn. Maar waar die zekerheid vandaan komt, wordt niet duidelijk. Door de infrastructuur actief te scannen is het mogelijk dergelijke ‘Shadow IT’ te detecteren en daar passende actie op te ondernemen - maar dat doet slechts 23% van de respondenten. 14% haalt hooguit zo nu en dan de bezem door het netwerk. De overige 63% negeert in feite het probleem.

Van de respondenten geeft nog niet de helft (49%) aan exact te weten waar hun organisatie kwetsbaar is en daar gerichte maatregelen op te nemen. De overige 51% geeft toe niet goed op de hoogte te zijn van de eigen kwetsbaarheid, of daar in elk geval geen gerichte maatregelen op te hebben genomen.

De rol van IT outsourcing

Een goed cybersecuritybeleid begint bij inzicht in je eigen kwetsbaarheid. Maar veel IT-afdelingen kampen met hoge werkdruk en een tekort aan goed opgeleid personeel. Dat maakt het erg moeilijk om een realistische inschatting te maken van de risico’s en de juiste maatregelen. Een Secure Managed Service Provider voert heel bewust een op security gericht beleid. Is uitbesteden dan de oplossing?

In het onderzoek zijn aanwijzingen dat IT-outsourcing de weerbaarheid van organisaties kan verhogen. Zo had ruim 40% van de respondenten met IT in eigen beheer nog nooit gehoord van hardening (het proces waarbij de instellingen van hard- en software worden gecontroleerd op veiligheid). Bij Solvinity klanten lag dat percentage slechts op 10% en bij de overige Managed Service providers op gemiddeld 15%.

Maar dit gaat niet altijd op. 52% van de respondenten met IT in eigen beheer gaf aan dat de organisatie medewerkers informeert over hoe veilig met IT om te gaan. Bij Solvinity-klanten ligt dat percentage met 63% beduidend hoger, maar bij andere MSPs gemiddeld iets lager (48%).

Download het volledige onderzoeksrapport of de infographic.