In het onderzoek onderscheidt Cisco vier niveaus van cybervolwassenheid: Beginner, Formative, Progressive en Mature. In Nederland valt het overgrote deel van de mkb-organisaties in de eerste twee categorieën. Dat betekent dat zij wel afzonderlijke beveiligingsmaatregelen hebben genomen, maar geen volledig geïntegreerde cybersecuritystrategie hanteren.
Opvallend is dat geen enkel Nederlands mkb-bedrijf het hoogste volwassenheidsniveau (Mature) behaalt. Bij grotere organisaties is dat bij een kleine minderheid wel het geval. Daarmee blijft het mkb achter bij grotere bedrijven als het gaat om structurele paraatheid tegen cyberdreigingen.
Vertrouwen groter dan investeringsbereidheid
Hoewel de gemeten paraatheid beperkt is, geeft een aanzienlijk deel van de mkb-organisaties aan vertrouwen te hebben in de huidige IT- en beveiligingsinrichting. Tegelijkertijd blijft de bereidheid om extra te investeren beperkt. Slechts een minderheid is van plan om op korte termijn meer te investeren in bijvoorbeeld automatisering, monitoring of aanvullende beveiligingsmaatregelen.
Dat staat in contrast met de ervaringen die organisaties zelf rapporteren. Cisco stelt vast dat bijna de helft van de Nederlandse organisaties het afgelopen jaar met minstens één cyberincident te maken had.
Iedere organisatie heeft interessante data
Dat organisaties hun eigen risico’s onderschatten, herkent cybersecurityspecialist Michael Waterman. In een eerder interview met Service Management benadrukte hij dat cybercriminaliteit zich niet beperkt tot grote, kapitaalkrachtige ondernemingen. ‘Veel organisaties denken dat zij niet interessant zijn voor cybercriminelen, maar niets is minder waar. Iedereen heeft interessante data', zei hij toen.
Waterman vertelde dat het lastig is om de noodzaak van cybersecurity over te brengen. 'De kans dat jouw schoonmaakbedrijf wordt geraakt door een cybercrimineel is misschien niet groot, maar hij bestaat wel. Wees je daarvan bewust en bereid je daarop voor.’
Veel losse beveiligingsoplossingen
Uit het Cisco-onderzoek blijkt verder dat veel organisaties werken met een groot aantal afzonderlijke beveiligingsoplossingen. Een aanzienlijk deel van de respondenten gebruikt meer dan tien verschillende tools. Ruim twee derde geeft aan dat deze versnippering het lastiger maakt om cyberincidenten effectief te voorkomen en af te handelen.
Tegelijkertijd blijft de modernisering van de cyberinfrastructuur bij mkb-bedrijven achter. Investeringen in automatisering en geavanceerde zichtbaarheid worden minder vaak gepland dan bij grotere organisaties.
Cyberincidenten zijn geen uitzondering
Cisco concludeert dat cyberincidenten inmiddels een terugkerend fenomeen zijn. Naast de incidenten die organisaties al hebben meegemaakt, verwacht een aanzienlijk deel dat een cyberincident de bedrijfsvoering binnen twee jaar kan verstoren.
Waterman herkent dat beeld uit de praktijk. ‘De impact van een cyberincident wordt vaak pas duidelijk als het misgaat,’ stelt hij. ‘Dan blijkt hoe afhankelijk organisaties zijn van digitale systemen en data.’
