Ruim 40% van de organisaties erkent dat cybersecurity geen exclusieve taak is. Zowel IT-afnemers als IT-dienstverleners zien zichzelf als medeverantwoordelijk voor digitale veiligheid. Dit blijkt uit recent onderzoek van het Digital Trust Center (DTC). Toch blijkt de onderlinge afstemming vaak onvoldoende, wat leidt tot onduidelijkheid over wie welke rol speelt bij een cyberincident.
Gedeelde verantwoordelijkheid tussen IT-afnemer en -dienstverlener
Volgens het onderzoek vinden 44% van de IT-dienstverleners en 43% van de IT-afnemers dat cybersecurity een gezamenlijke verantwoordelijkheid is. Vooral bij technische maatregelen zoals patchmanagement, netwerksegmentatie en monitoring ligt de verantwoordelijkheid duidelijker bij de dienstverlener. Voor aspecten als medewerkersbewustzijn en het afsluiten van een cyberverzekering ligt die bij de afnemer.
Verschillen per diensttype
De rolverdeling varieert per type dienstverlening, zoals bij cloud- en datacenterdiensten, software services en security services. Over het algemeen willen zowel dienstverleners als afnemers dat de verantwoordelijkheid voor technische beveiligingsmaatregelen sterker bij de dienstverleners komt te liggen.
Tekortschietende afstemming
Ondanks de gedeelde visie op hoofdlijnen, blijkt slechts 15% van de afnemers en 27% van de dienstverleners daadwerkelijk duidelijke afspraken te hebben over de aanpak bij cyberincidenten. De afstemming tussen beide partijen blijft dus onder de maat. De meeste organisaties zijn niet goed voorbereid op een cyberincident. Slechts 7% van de IT-afnemers en 11% van de IT-dienstverleners zegt volledig voorbereid te zijn. Vertrouwen op de diensten van de leverancier en de inschatting van een lage kans op incidenten zijn de voornaamste redenen voor beperkte voorbereiding.
Hulpmiddelen van het Digital Trust Center
Om organisaties te helpen bij het verduidelijken van rollen en verantwoordelijkheden, stelt het DTC verschillende hulpmiddelen beschikbaar. Zo biedt de praatplaat digitale dienstverlening handvatten om inzichtelijk te maken wie welke rol heeft tijdens een cyberincident. “Het is belangrijk dat de IT-afnemers en de IT-dienstverleners afspraken maken, zodat ze zeker weten dat er een volledig werkbare omgeving wordt gecreëerd met de juiste beveiligingsmogelijkheden”, stelt [achternaam]. Ook is er een checklist beschikbaar die bedrijven ondersteunt bij het maken van afspraken met hun IT-dienstverlener. Daarnaast kunnen IT-dienstverleners via de DTC Community kennis uitwisselen en ervaringen delen in een speciaal ingerichte overlegkamer.