Outsourcing en steeds nauwere vormen van samenwerking maken het steeds moeilijker de controle over de it-beveiliging te bewaken. Hierdoor krijgen bedrijven moeilijk inzicht in de it-risico's. Organisaties slagen er niet in zich goed te beschermen tegen it-dreigingen, zo blijkt uit onderzoek van Ernst & Young. "Processen kun je uitbesteden, maar niet je verantwoordelijkheid voor de beveiliging van die processen", zegt Monique Otten van E&Y. "Meer dan 30 procent van de bedrijven heeft zijn it uitbesteed. Minder dan eenderde van deze bedrijven eist dat hun it-providers kunnen aantonen dat ze voldoen aan erkende standaarden. Ze vertrouwen er gewoon op dat het wel in orde is." Uit het "]onderzoek (pdf) blijkt verder dat bedrijven zich vooral richten op dreigingen van buitenaf en dat er weinig aandacht is voor interne bedreigingen. Zo wordt er relatief makkelijk geld uitgegeven aan antivirussoftware en firewalls, maar zijn bedrijven terughoudend met het investeren in eigen personeel. Zo zegt driekwart van de Nederlandse respondenten dat werknemers geen periodieke training of voorlichting krijgt op het gebied van informatiebeveiliging. Het Nederlandse bedrijfsleven scoort hiermee aanzienlijk hoger dan het wereldwijde gemiddelde (53 procent).