- Door
- Rashid Niamat
- geplaatst op
- 25 juni 2013 08:02 uur
Dat cybersecurity niet langer iets is waar alleen professionals over spreken, zal de lezer bekend zijn. De massale aandacht bij publiek en pers zorgt ervoor dat steeds vaker leveranciers van allerhande diensten geconfronteerd worden met vragen die met dit begrip te maken hebben.
De meeste online dienstverleners lijken al langer gewend hier mee om te gaan. Laten we wel zijn, iedereen roept bij zijn aanbod van hosting, storage en dergelijke dat het aan hoge veiligheidseisen voldoet. Sommigen gaan hierin verder en laten vol trots zien ISO9001 en ISO27001 gecertificeerd te zijn. Voor grote groepen (beoogde) afnemers is dat het bewijs dat de aanbieder zijn zaakjes voor elkaar heeft. Insiders weten echter als geen ander dat certificaten of diploma’s op zich niet veel hoeven te betekenen. Een van de punten die hieraan ten grondslag ligt is dat het schijnbaar in de praktijk vaak onduidelijk is wie verantwoordelijk is voor de controle van veiligheid in het algemeen en cybersecurity in het bijzonder.
Als een ondernemer zijn data en applicaties bij een externe partij wil onderbrengen was dat tot voor kort een proces dat op zich weinig voorstelde. Veel meer dat offertes aanvragen of een tender uitschrijven en de beste speler wint was het niet. Veiligheid was in dit proces wel een issue, maar of de bestuurders van het bedrijf in kwestie daar nu écht weet van hadden – laat staan dat ze zich er direct verantwoordelijk voor voelden – is onwaarschijnlijk.
Ondertussen is een kentering zichtbaar. Tal van rapportages en publicaties (zoals dit PWC artikel) uit met name de hoek van grote adviseurs maken dat duidelijk. Min of meer subtiel wordt er de nodige druk uitgeoefend op de bestuurders van ondernemers zich te verdiepen in het onderwerp cybersecurity. Eerst beperkte dit soort adviezen zich tot de Amerikaanse markten, we zien ze inmiddels ook binnen de EU steeds vaker opduiken. Achterliggende reden voor al die communicatie over cybersecurity awareness is de aansprakelijkheid van bestuurders. Bestuurders van bedrijven moeten inmiddels kunnen aantonen dat er voldoende aandacht is besteed aan het zorgen voor maximale veiligheid van (eigen en klant) data.
Is dit een ontwikkeling waar we blij mee moeten zijn? De reacties hierop zijn wisselend. Sommigen geven aan dat aanbiedingen voor bijvoorbeeld IaaS of reguliere storage diensten inderdaad niet meer door het hoofd facilitaire dienst worden opgevraagd, maar het vanaf de eerste stap een proces is gestuurd door het management. Anderen geven aan dat die doorlooptijd van offertes nog langer is geworden, omdat steeds meer personen zich met de inhoud bemoeien. Maar onder de streep lijken de meesten van mening dat meer awareness voor cybersecurity op zich helemaal niet slecht is voor hosters, datacenters en alle andere aanbieders van online diensten.
Toch is er ook een kanttekening te maken. Bedrijven lijken zich wel meer bewust van de risico’s, maar wat ze ondernemen om de eigen veiligheid (‘op de zaak’) op peil te houden is bedroevend. Uit Brits onderzoek dat eind 2012 in opdracht van de overheid is gedaan, blijkt dat in bedrijven tot 20 werknemers jaarlijks tot gemiddeld ₤200 (minder dan €250) per bedrijf wordt geïnvesteerd in cybersecurity maatregelen. Bedrijven met 50 tot 100 werknemers spenderen gemiddeld per jaar tot 6.000 pond (circa 7.500 euro) in het veilig houden van de digitale data, processen en dergelijke. Eveneens geen indrukwekkend bedrag. Oorzaken: onbekendheid, gebrek aan bruikbare adviezen en uiteraard de economische crisis die uitgaven onder druk zet.
Wat kunnen we als internetbedrijven van deze toch wel ontluisterend lage investeringsbereidheid leren en hoe verhoudt zich dat tot de positieve ontwikkelingen dat cybersecurity steeds vaker top-of-mind is bij bestuurders (al was het maar om niet persoonlijk aansprakelijk gesteld te kunnen worden)?
Denk eens na over in kaart brengen hoeveel veiliger een klant wordt door zijn data en applicaties bij jou onder te brengen. Beperk je daarbij niet alleen tot tekst, maar voeg ook een berekening toe.
