Leveranciers van cyberbeveiliging: het vertrouwen ontbreekt!

Slechts 5% van de IT-managers zegt volledig vertrouwen te hebben in hun leveranciers van cyberbeveiliging!

Vanbson Bourne heeft voor Sophos meer dan 5.000 IT- en beveiligingsmanagers in 17 landen ondervraagd. Hoewel veel organisaties voor hun kritieke beveiliging afhankelijk zijn van beveiligingsleveranciers, vertrouwen maar weinig van hen hen…

Slechts 5%. Deze bevinding is allesbehalve onbelangrijk. Ze suggereert dat het vertrouwen in de leveranciersmarkt laag blijft, zelfs onder de professionals die deze tools dagelijks aanschaffen, implementeren en beheren.

Het rapport laat ook zien dat de vertrouwenskwesties al lang voor het tekenen van een contract de kop opsteken. Volgens Sophos gaf 79% van de organisaties aan dat het moeilijk was om de betrouwbaarheid van nieuwe leveranciers of partners op het gebied van cyberbeveiliging in te schatten. En 62% deed dezelfde constatering met betrekking tot de leveranciers die ze al gebruiken. Met andere woorden, het gebrek aan vertrouwen beperkt zich niet tot de prestaties na de implementatie. Het begint al bij de beoordeling.

Bewijs!

De bevindingen van Sophos brengen een tweede, concreter probleem aan het licht: veel kopers proberen leveranciers te beoordelen op basis van onvolledige of moeilijk te verifiëren informatie. Bijna de helft van de respondenten gaf aan dat de door leveranciers verstrekte informatie onjuist of onvoldoende gedetailleerd was. Anderen gaven aan dat de documenten moeilijk te interpreteren, tegenstrijdig of simpelweg moeilijk te vinden waren. Deze bevinding is veelzeggend voor de markt: vertrouwen op het gebied van cyberbeveiliging is minder gebaseerd op merkimago dan op bewijs.

Het rapport geeft aan dat 51% van de respondenten zich meer zorgen maakt over de kans dat hun organisatie te maken krijgt met een ernstig cyberbeveiligingsincident bij een gebrek aan vertrouwen. 45% gaf aan dat een laag vertrouwensniveau hen meer ertoe aanzette om van leverancier te veranderen, terwijl 42% meldde dat de eisen op het gebied van toezicht werden aangescherpt. Deze uitdagingen maken beveiligingsactiviteiten complexer, terwijl teams al overbelast zijn.

Betrouwbaarheid is moeilijk te beoordelen

Een van de belangrijkste thema’s in het rapport is de moeilijkheid om vertrouwen op het gebied van cyberbeveiliging van buitenaf te meten. Kopers eisen bewijs, geen beweringen. Ze willen weten of een leverancier over beproefde beveiligingsprocessen beschikt, hoe hij omgaat met kwetsbaarheden en of hij duidelijk communiceert in geval van een incident.

Het rapport brengt ook een meningsverschil aan het licht tussen de operationele teams en het management: 78 % van de respondenten geeft aan dat de IT-teams en het algemeen management of de raad van bestuur het oneens zijn over de betrouwbaarheid van hun cyberbeveiligingsleveranciers. Bijna een derde van hen zegt dat deze meningsverschillen vaak voorkomen. Dit soort meningsverschillen kan de aankoop vertragen, verlengingen bemoeilijken en spanningen veroorzaken na beveiligingsincidenten.

Sophos constateert dat het algemeen management sterk betrokken blijft bij aankoopbeslissingen op het gebied van cyberbeveiliging; slechts 1% van de organisaties geeft aan dat de raad van bestuur of het algemeen management hierin geen rol speelt. Dit betekent dat vertrouwen niet alleen een technische kwestie is die door de beveiligingsteams wordt beheerd. Het is ook een kwestie die het algemeen management aangaat.