Cisco: mkb heeft IT-beveiliging best goed op orde

Het is lang niet zo slecht gesteld met de IT-beveiliging in het mkb als soms in de security-branche wordt verondersteld. Tot die opvallende conclusie komt Cisco na een eigen onderzoek. Bedrijven met 250 tot 500 medewerkers nemen IT-beveiliging heel serieus en zijn vaak ook goed voorbereid.

Cisco heeft een bijna 500 midden- en kleinbedrijven (250-499 medewerkers) ondervraagd over hun security-beleid en dat heeft een opvallend beeld naar voren gebracht.

“De security-industrie is vaak onterecht hard geweest voor kleine en middelgrote bedrijven als het gaat om het herkennen van hoe goed je prioriteit geeft aan cybersecurity”, stelt Cisco in het rapport Big security in a small world.

Zo klopt het volgens de onderzoekers niet dat kleine en middelgrote bedrijven privacy en databeveiliging niet serieus nemen. Het management in dit soort organisaties is doorgaans juist betrokken en goed op de hoogte van ontwikkelingen.

Kleine en middelgrote bedrijven hebben met dezelfde cyberdreigingen te maken als grote organisaties. Veel cyberaanvallen treffen organisaties zonder onderscheid, ongeacht hun omvang.

Ook blijkt bijna de helft van het mkb (45%) elk halfjaar hun cyberbeveiliging te testen. Incident response wordt dus wel regelmatig geoefend, aldus de onderzoekers. Bij de ondervraagde respondenten heeft 56% dagelijks of wekelijks de gewoonte om te controleren of er nieuwe updates beschikbaar zijn. Bij grote ondernemingen is dat niet meer dan 58%. Verder heeft ‘een indrukwekkende 86%’ duidelijke data om de effectiviteit van hun beveiliging te beoordelen. Bij grote organisaties beschikt 90% daarover.

Minder leveranciers is beter

Tot slot toont het onderzoek aan dat het credo ‘Maak beveiliging zo eenvoudig mogelijk’ ook echt hout snijdt. Daarbij wordt vaak gestreefd naar een situatie met zo weinig mogelijk verschillende leveranciers. In dit onderzoek is aangetoond dat die aanpak ook resultaat oplevert. Uit de antwoorden van respondenten blijkt namelijk dat hoe meer leveranciers de bedrijven gebruiken, hoe meer downtime wordt gemeld bij een ernstig beveiligingsincident. Dit varieerde van gemiddeld 4 uur met 1 leverancier, tot gemiddeld meer dan 17 uur met meer dan 50 leveranciers.