IT-dienstverleners en -afnemers zien gedeelde verantwoordelijkheid voor cybersecurity

Dit blijkt uit nieuw onderzoek van het Digital Trust Center (DTC). De afstemming over cybersecurity blijkt echter vaak onvoldoende geregeld, wat kan leiden tot onduidelijkheid over wie welke rol vervult bij een cyberincident.

Verantwoordelijkheden verdelen

IT-afnemers en IT-dienstverleners zijn het in grote lijnen met elkaar eens over het verdelen van verantwoordelijkheden rondom digitale veiligheid. Zo vindt 44% van de dienstverleners en 43% van de afnemers dat zij een gedeelde verantwoordelijkheid dragen voor de cybersecurity van de afnemende organisatie.

Omdat de verantwoordelijkheid sterk kan verschillen per soort dienst, is ook onderzocht hoe dit geldt voor verschillende soorten services zoals security services, cloud & datacenter services, werkplek & end-user services, software services en platform & data services. Beide partijen vinden dat de dienstverlener vooral verantwoordelijk is voor technische maatregelen zoals patchmanagement, actieve monitoring en detectie voor netwerksegmentatie. Afnemers zijn volgens het onderzoek juist verantwoordelijk voor training van de medewerkers en het afsluiten van een cyberverzekering.

'Verantwoordelijkheid moet meer bij IT-dienstverlener liggen'

Volgens dienstverleners zou de verantwoordelijkheid meer bij de dienstverlener moeten liggen dan nu het geval is. Ook afnemers van IT-diensten vinden dat de verantwoordelijkheid voor veel cybersecuritymaatregelen meer bij de dienstverleners zou moeten komen dan nu het geval is.

Hoewel IT-afnemers en dienstverleners het op hoofdlijnen eens zijn over de verdeling van verantwoordelijkheden, laat het onderzoek zien dat de onderlinge afstemming en communicatie daarover vaak tekortschieten. Zo geeft slechts 15% van de afnemers aan dat er vaste afspraken zijn gemaakt over de aanpak bij een cyberincident. Bij dienstverleners ligt dat percentage met 27% iets hoger.

Voorbereiding op een cyberincident laat te wensen over

Tegelijkertijd blijkt dat de daadwerkelijke voorbereiding op een cyberincident nog te wensen overlaat. Slechts een zeer kleine minderheid van de organisaties is volledig voorbereid op een cyberincident: 7% van de afnemers en 11% van de dienstverleners. Daarnaast zegt 44% van de afnemers en 20% van de dienstverleners matig tot niet voorbereid te zijn. De redenen voor een niet of matige voorbereiding zijn voornamelijk het vertrouwen in de diensten van de IT-dienstverlener en de verwachting van een kleine kans op een cyberincident.

Om organisaties te helpen bij het verduidelijken van rollen en verantwoordelijkheden, stelt het DTC verschillende hulpmiddelen beschikbaar. Zo biedt de praatplaat digitale dienstverlening handvatten om inzichtelijk te maken wie welke rol heeft tijdens een cyberincident. “Het is belangrijk dat de IT-afnemers en de IT-dienstverleners afspraken maken, zodat ze zeker weten dat er een volledig werkbare omgeving wordt gecreëerd met de juiste beveiligingsmogelijkheden”, stelt [achternaam]. Ook is er een checklist beschikbaar die bedrijven ondersteunt bij het maken van afspraken met hun IT-dienstverlener. Daarnaast kunnen IT-dienstverleners via de DTC Community kennis uitwisselen en ervaringen delen in een speciaal ingerichte overlegkamer.