Home Outsourcing Security uitbesteden, kan dat wel?

Security uitbesteden, kan dat wel?

82
dainamics

Zou de securityproblematiek organisaties boven het hoofd zijn gegroeid? Is security überhaupt nog wel te beheersen? Berichten over lekken, inbraken (hacking), data op straat, cyberspionage, social engineering, enzovoort buitelen over elkaar heen, ondanks alle aandacht en de inspanningen van talloze securityleveranciers. Moet een externe partij die beveiliging dan maar ter hand nemen? Kan dat wel en zo ja, waar moet je op letten als je overweegt de security uit te besteden?

De tendens is overduidelijk: de snelle evolutie van technologie, de mateloze populariteit van allerhande devices tot en met Bring Your Own Device (BYOD). Kortom, een exponentiële groei van computers en telefoons van elk formaat, gekoppeld aan de wens – nee: aan de eis – dat alles voor iedereen binnen en buiten de organisatie toegankelijk moet zijn. En dat alles ook nog eens 24×7 vanaf elke locatie. Security is geen eenmalige installatie meer, het is een dynamische aangelegenheid, iedere dag opnieuw.

Wie wil dat niet? Alleen: deze eisen gaan lijnrecht in tegen het basisprincipe van beveiliging: ‘vertrouw niemand’! Security moet hierin noodgedwongen mee, uiteraard. En dat maakt van security in de meeste gevallen een peperdure aangelegenheid. Hierdoor wordt security een barrière en risico, zeker voor kleinere organisaties. De gekozen oplossing is maar al te vaak dat de netwerkbeheerder verantwoordelijk wordt gemaakt voor de security, terwijl zijn expertise daar niet ligt, dan wel de tijd ontbreekt om volledig up-to-date te zijn. De risico’s zijn ook te groot om security aan één persoon toe te vertrouwen. Noodgedwongen neemt hij daarom vaak toevlucht tot voor de hand liggende security-oplossingen, die soms nauwelijks verder gaan dan een simpele firewall en antivirussoftware. Tot slot moet er eigenlijk ook nog 24/7 worden gemonitord, een zware en kostbare opgave voor kleinere organisaties.

Onder deze omstandigheden is het verstandig om te kijken naar het uitbesteden van de security. Wat is er dan nodig? Allereerst: 24/7 monitoring en respons door een dedicated securityteam, een gelaagde aanpak (hierover verderop meer) en natuurlijk een diepgaand begrip van netwerk en security. Dat vraagt om een specialist die beschikt over een Security Operation Center dat volcontinu kan monitoren en direct actie onderneemt zodra dat nodig is.

Is een organisatie na uitbesteding van de security ook verlost van de verantwoordelijkheid voor security? Ja en nee. Ja, omdat de securityspecialist voor zijn werkzaamheden die verantwoordelijkheid moet nemen. En nee, want de uiteindelijke verantwoordelijkheid blijft bij de organisatie die uitbesteedt. Hier zijn twee belangrijke redenen voor. De eerste: als de ingeschakelde securityspecialist iets signaleert moet er actie worden ondernomen. Maar welke en door wie? Een externe partij kan bijvoorbeeld niet beslissen of het netwerk platgelegd moet worden. De schade kan dan wel eens veel groter zijn dan de schade door de aangetroffen malware. Bovendien: geen twee organisaties zijn hetzelfde, de gebruikte applicaties verschillen, de risico’s verschillen en dat geldt ook voor de aanvallen waarmee de organisatie te maken kan krijgen. Dat vergt dus altijd overleg en een op de situatie afgestemd plan.

En er speelt nog iets anders: aanvallen van buitenaf – dus via het netwerk – zijn het makkelijkst om te stoppen. Veel moeilijker wordt het als het gaat om het signaleren en stoppen van interne lekken. Bijvoorbeeld medewerkers die al dan niet opzettelijk de toegang tot het bedrijfsnetwerk openzetten (nieuwe telefoons, USB-sticks, etc). Hiervoor zal de desbetreffende organisatie zelf maatregelen moeten nemen.

Uitbesteden van security kan dus wel degelijk en het kan zeker ook op een zeer betaalbare manier. Wel is het erg belangrijk om met de klant een security-reis te beginnen: samen in kaart brengen welke risico’s de organisatie loopt intern en extern en samen bespreken hoe die risico’s het beste aan te pakken zijn door middel van mensen, policy, systemen, communicatieplannen. Deze aanpak laat niet alleen zien hoe het er voor staat met de security, ook de urgentie van het nemen van maatregelen wordt duidelijk! Want alleen een organisatie die zich van al deze zaken bewust is, kan de juiste invulling geven aan de benodigde security.

Chris Hazewinkel, Country Director Easynet Nederland

 

 

 

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here