‘Organisaties moeten niet altijd alles zelf willen doen’

“Het is slecht gesteld met cybersecurity”, aldus Raimund Genes, CTO van Trend Micro. Hij geeft als voornaamste oorzaak hiervan aan dat veel directies te vaak hun prioriteit leggen bij de gebruikerservaring van hun diensten en producten in plaats van de beveiliging. Security is nu eenmaal niet de core business van veel organisaties. Het hoge tempo waarin cybercriminalitieit zich ontwikkelt, vereist echter een aanpak waarin alleen volledige toewijding kans van slagen heeft, zo stelt Patrick de Goede van Eijk, Solutions Expert Security bij T-Systems Nederland.

Het goed beveiligen van IT is geen eenvoudige opgave. Het tempo waarin cybercriminelen innoveren met nieuwe aanvalstechnieken ligt hoog. Een set-and-forget-strategie gaat voor security dan ook niet op. “Het installeren van voorzieningen als een firewall, monitoringsysteem en intrusion detection system (IDS) alleen is niet genoeg. Security vereist continue aandacht. Daarbij doel ik niet alleen op de security-voorzieningen. IT’ers moeten hun kennis ook voortdurend bijspijkeren.”

Zware wissel

  • Patrick de Goede van Eijk
  • Dat legt een zware wissel op de IT-verantwoordelijken van een organisatie. “Allereerst moeten zij op operationeel vlak de nodige maatregelen nemen om de IT-beveiliging op orde te houden. Iedere dag weer. Denk aan het monitoren van de gehele IT-infrastructuur en het updaten van software. Daarnaast moeten IT’ers doorlopend aan de strategie sleutelen. Beveiligingsstrategieën verouderen immers snel. Wat vandaag goed werkt, is morgen alweer achterhaald of zelfs ronduit gevaarlijk. De IT-afdeling voert altijd een ratrace met een onzichtbare vijand die vaak sterker, slimmer en sneller is dan zij.”
  • Die continue aandacht vereist veel en gespecialiseerde kennis. Niet alle bedrijven hebben dat in huis. Of willen het niet in huis halen. Want goed geschoold, gekwalificeerd personeel is duur. “Goede IT'ers zijn schaars, laat staan goede IT'ers met de nodige kwalificaties en diploma's om zich een volwaardig security-expert te noemen. Toch is dat hoge kennisniveau tegenwoordig hoognodig. Firewalls, intrusion detection systemen en monitoring-tools zijn pas waardevol in de handen van ervaren experts. Ook zien we dat bedrijven er moeite mee hebben om gecertificeerde security-experts te behouden. Zij zijn zeer gewild. Zie ze dan maar eens vast te houden. In die zin is het outsourcen van security een logische stap. De kosten ervan liggen doorgaans lager dan het aannemen, scholen en behouden van eigen personeel.”

Uit onverwachte hoek

Toch is die voor de hand liggende kostenbesparing volgens de Goede van Eijk niet de enige factor die een bedrijf in overweging moet nemen bij een mogelijke outsourcing van de beveiliging. “Natuurlijk zijn personeelskosten een grote, voorspelbare factor die outsourcing kan wegnemen. Maar vergeet niet wat de ware kosten zijn als bijvoorbeeld je in-house security-monitoring het begeeft, waardoor een cyberhack plaatsvindt. Terwijl de hack met een 24/7-montoringdienst voorkomen had kunnen worden. Security is nooit een kwestie van alleen preventieve kosten. Bovendien levert outsourcing in veel situaties productiviteitswinst op. Medewerkers worden ontlast van taken, waardoor zij tijd kunnen vrijmaken voor productie, innovatie of al wat op lange of korte termijn geld oplevert. De winst komt vaak juist uit onverwachte hoek.”

Security is voor een managed security provider de kerntaak. Dankzij een breed klantenportfolio opereren deze providers in veel verschillende branches, waardoor zij ervaring hebben met allerlei scenario's. Ze hebben dus zowel in theorie als in de praktijk een brede blik op cybersecurity. Die combinatie van focus en brede ervaring is erg waardevol in de strijd tegen cybercrime. Daar is het als organisatie lastig tegen opboksen, want security is nu eenmaal vrijwel nooit core business. Bedrijven moeten dat durven toegeven, zij moeten vooral doen waar ze goed in zijn.”

We kennen voldoende praktijkvoorbeelden van bedrijven die zelf hun security regelen en waarbij het behoorlijk is misgegaan. Een goed voorbeeld daarvan is Sony Pictures Entertainment. De beveiligde werkomgeving, zie zij in eigen beheer hebben, werd begin december vorig jaar slachtoffer van een hack. Het resultaat was dat de medewerkers dagenlang geen toegang hadden tot applicaties. “De security-experts van FireEye hebben vervolgens het netwerk doorgelicht op lekken en de schade uiteindelijk hersteld. Dat was voor Sony dus een harde en dure les.”

Frisse blik

Een managed security provider is niet alleen op uitvoerend niveau van waarde. Zij kunnen ook op strategisch gebied ondersteuning bieden door met een objectieve blik naar de aanwezige voorzieningen te kijken. “We zien vaak dat organisaties in de loop der tijd beschikken over meerdere hardware- en softwareoplossingen die allemaal hetzelfde probleem oplossen. Door hierin te snijden, kunnen organisaties aanzienlijke kostenbesparingen realiseren. Of ze hanteren bepaalde procedures die niet echt of zelfs helemaal niet meer effectief zijn. Daardoor loopt een organisatie onnodige risico's. Een provider kan helpen bij het bouwen van een meer samenhangende, geïntegreerde omgeving. Die frisse blik is bij organisaties dikwijls erg welkom.

Bovendien levert een managed security provider sommige diensten op een niveau dat in-house niet of nauwelijks haalbaar is. “Neem logging en monitoring. Doet een bedrijf dat zelf, dan zijn ze afhankelijk van de aanwezigheid van die specifieke verantwoordelijke. Op werkdagen is dat geen probleem, maar 's nachts en in het weekend kom je voor problemen te staan. Een security provider kan zo'n dienst 24/7 leveren. Die paraatheid en alertheid voorkomt veel ellende. Ook de redundancy en het niveau van beveiligingsvoorzieningen waarover een security provider beschikt, is voor veel organisaties simpelweg een veel te hoge investering. Terwijl dat niveau wel nodig is om een kans te maken in de strijd tegen cybercriminaliteit.”

Niet zaligmakend

Is managed security dan altijd en in iedere situatie een goede oplossing? “Zeker niet. Voor sommige bedrijven is het veel verstandiger de fysieke beveiligingsapparatuur in-house te beheren en alleen additionele diensten als FireEye in de vorm van een managed service af te nemen.”

Bedenk ook dat het inschakelen van managed security services een zeer ingrijpende operatie kan zijn. Verantwoordelijkheden en rollen worden omgegooid, bestaande infrastructuren gaan op de schop. Het kan een lastige overgang zijn van mensen, rollen, processen, hardware en software. “Een bedrijf moet daar wel klaar voor zijn”, legt de Goede van Eijk uit. “Bepaal met de security provider een strikt implementatieplan, gekoppeld aan een tijdspad. Zo weet je als organisatie waar je aan toe bent.

Daarnaast vraagt een managed security provider veel vertrouwen. Zij krijgen niet alleen een enorm verantwoordelijke taak, maar ook belangrijke of zelfs vertrouwelijke informatie in handen. Maak ook goede afspraken: wat gebeurt er bijvoorbeeld als zij failliet gaan? Wat zijn de (on)mogelijkheden bij een eventuele overstap naar een andere managed security provider? Dat zijn zeker vragen waarbij organisaties stil moeten staan.”

Van binnenuit

Het beschikken over alleen security-voorzieningen is sowieso vrijwel nooit zaligmakend. Veel cyberdreigingen komen van binnenuit, vanuit het eigen personeel. Daar is soms zelfs het zwaarste geschut niet tegen bestand. “Hoe goed je beveiliging ook is ingericht en wordt beheerd, tegen kwaadwillende of nietsvermoedende medewerkers is techniek niet altijd opgewassen. Als iemand zich aan de telefoon voordoet als een geloofwaardige instantie die vraagt om bepaalde klantgegevens, dan kan een nietsvermoedende medewerker al snel zijn mond voorbijpraten. Dat zijn potentiële lekken die geen enkele penetratietest in kaart brengt. Awareness-trainingen zijn daarom enorm belangrijk en vrijwel altijd een goede aanvulling op managed security-oplossingen.”

Raymond Luijbregts is journalist