Blogs

Uitbesteden van security moet hoger op de agenda

uitbesteden van security

Nog weinig bedrijven denken aan het uitbesteden van security. Dat is een gemiste kans, stelt Ron Hehemann, security consultant bij Telindus.

Het uitbesteden van bedrijfsactiviteiten komt en gaat in golfbewegingen. Nu eens is de focus op de core business leidend en dan weer ligt de voorkeur bij het verstevigen van de binding en grip op bedrijfsprocessen. In de ICT-omgeving is dit niet anders. Nu de dreiging van cyberaanvallen toeneemt en de complexiteit van beveiligingsvraagstukken groter wordt, lopen organisaties het risico ontwikkelingen op dit vlak niet meer te kunnen bijbenen. Het uitbesteden van security aan een Security Operating Center zou een uitkomst zijn. Deze optie wordt echter niet veel overwogen door bedrijven en instellingen. Dat is een gemiste kans.

Door Ron Hehemann, security consultant bij Telindus.

De ontwikkelingen op het gebied van security gaan heel snel en het aantal cyberaanvallen blijft toenemen. Kijk onder andere naar de impact die aanvallen met gijzelsoftware of hacks hebben gehad op bedrijven en instellingen. Onder andere pakketbezorger TNT, containerrederij Maersk en medicijnenfabrikant MSD werden getroffen door internetcriminelen die in staat waren geweest kernapplicaties lam te leggen. Het behoeft verder geen betoog dat dit voor deze bedrijven ingrijpende gevolgen had. Ook van ziekenhuizen en overheidsinstellingen is bekend dat zij slachtoffer zijn geworden.

Inventiever en brutaler
Desalniettemin blijkt uit onderzoek van Telindus (gehouden onder 266 IT-beslissers) dat de meeste organisaties menen goed voorbereid te zijn op een aanval met gijzelsoftware (84%). 94% maakt gebruik van netwerkbeveiliging en 70% heeft als remedie een back-up beschikbaar. Cyberaanvallers worden echter steeds inventiever en brutaler. Zij slagen er steeds beter in om het hart van een bedrijf te raken. Het kost organisaties meer moeite de technologische infrastructuur 24×7 te monitoren en de juiste securitymaatregelen te treffen.

Security wordt onderschat
De resultaten van het onderzoek onderbouwen deze bewering. Slechts de helft van de respondenten geeft aan over securitybeleid te beschikken en slechts 36% maakt gebruik van intrusion prevention. Intrusion prevention is een methode om het netwerkverkeer te monitoren en actie te ondernemen op basis van vooraf gedefinieerde maatregelen, zoals het afsluiten van (delen van) het netwerk. Andere, wat meer geavanceerde maatregelen, zoals encryptie, two factor authenticatie en pentests worden maar in zeer beperkte mate getroffen. Hieruit kunnen we concluderen dat veel IT-beslissers onderschatten wat er nodig is om de IT-omgeving adequaat te beveiligen.

Juiste mensen op juiste plaats
Naast de technologische maatregelen moet ook rekening gehouden worden met de beschikbaarheid van de juiste kennis en ervaring. Organisaties moeten ervoor zorgen dat zij IT-specialisten in huis hebben en houden die breed onderlegd zijn. Dat is op zich al een uitdaging in een krimpende arbeidsmarkt. Deze mensen dienen voortdurend verder opgeleid te worden; de boze buitenwereld blijft zich immers ook verder ontwikkelen. Bovendien zijn IT’ers niet alleen belast met securityvraagstukken. Business innovatie en ontwikkeling, om maar wat te noemen, staan ook hoog op de prioriteitenlijst. Wanneer alle resources opgeslokt worden door beveiligingsuitdagingen, komt er van nieuwe ontwikkelingen weinig terecht.

Uitbesteden van security
Even de feiten op een rij: organisaties hebben moeite de complexiteit van security bij te benen, nemen niet de juiste maatregelen en moeten alle zeilen bijzetten om IT-medewerkers niet te overladen met beveiligingstaken. De logische vraag is dan: is uitbesteden van security aan een externe partij geen passend antwoord? Dan ben je immers verzekerd van een stabiele partner, die de juiste tools en mensen levert, die voortdurend investeert in kennis en technologie en die alle zorgen omtrent security uit handen neemt. Toen organisaties merkten dat het beheer van de werkplek relatief veel IT-resources opslokte, schakelden velen een externe partij in. Waarom zou dit ook niet met security kunnen gebeuren?

Verschillen in sectoren
Vooralsnog blijken bedrijven en instellingen huiverig hun security buiten de deur te zetten. Uit het eerder genoemde onderzoek van Telindus blijkt dat 16% van de respondenten de security volledig of in ruime mate heeft uitbesteed. Gevraagd naar de toekomstverwachting dan geeft bijna de helft van de ondervraagde IT-beslissers (46%) te kennen over drie jaar wel klaar te zijn om beveiliging van de ICT-omgeving uit te besteden. Het gaat dan vooral om organisaties uit de sectoren zorg, overheid en industrie; juist deze worden regelmatig getroffen door DDoS- en gijzelsoftware-aanvallen. De overige respondenten nemen uitbesteden van security niet eens in overweging. De vraag is wat hen tegenhoudt.

Volledige controle
In de eerste plaats laat een derde van de respondenten weten dat zij zelf de volledige controle over securitymaatregelen willen houden. Dat is an sich een valide argument, maar daarmee gaat men voorbij aan het feit dat zij ook de regie houden bij het uitbesteden van security aan een externe partij. De uitbestedende organisaties behouden via een dashboard realtime inzicht en overzicht over hun infrastructuur en worden automatisch gealarmeerd in geval van calamiteiten. Bedrijven kunnen dan zelf actie ondernemen of dit overlaten aan de externe partner; dit is afhankelijk van de gemaakte afspraken. Tevens is het zaak dat er een IT-functionaris belast is met de relatie met de externe partij. Als liaison manager zal deze voor een soepele informatieoverdracht en communicatie moeten zorgen.

Data blijft in-house
In de tweede plaats vinden 32% van de respondenten hun data zo privacygevoelig dat zij het niet raadzaam vinden de beveiliging ervan uit te besteden omdat er dan meer partijen bij de data kunnen. Dit is echter een misvatting, want bij het uitbesteden van security aan externe partij blijft de data gewoon bij het bedrijf. De Het gaat slechts om metadata en loggegevens die worden gemonitord. Het grote voordeel van uitbesteden is dat de externe partner gespecialiseerd is in de bescherming van privacygevoelige data. Zij is bijvoorbeeld al GDPR-compliant en ISO-gecertificeerd. Het is maar de vraag in hoeverre een organisatie zelf net zo goed voorbereid is.

Kosten in perspectief
En in de derde plaats ziet een vijfde van de respondenten op tegen de hoge kosten van uitbesteden van security. Wat organisaties zich niet realiseren, is dat het in de meeste gevallen kostbaarder is om security in huis te houden dan om het uit te besteden. Dit heeft te maken met het feit dat het bijna onmogelijk is geworden om zelf een securityteam aan te nemen dat optimaal getraind is, alles doet wat een gespecialiseerd bedrijf ook doet én 24/7 beschikbaar is.

Koudwatervrees
Zo blijkt dat de angst die bij veel bedrijven en instellingen leeft over het uitbesteden van security ongegrond is. Wie even een stap verder kijkt, ziet alleen maar kansen. Niet in de laatste plaats doordat de IT-afdeling weer mogelijkheden krijgt om waarde toe te voegen en innovatief te werk te gaan, in plaats van het voortdurend dichten van beveiligingslekken. Natuurlijk moeten er goede afspraken gemaakt worden met de externe partij en die afspraken moeten worden gemonitord. Je houdt dus de vinger aan de pols.

Telindus heeft aan de hand van het gememoreerde onderzoek een whitepaper gepubliceerd, waarin ook enkele business cases worden getoond. Deze kunnen eenvoudig op iedere organisatie worden toegepast en dan blijkt dat outsourcen van security dichterbij is dan ooit.

Naar boven