Drie vragen voor een vertrouwensband met security partners

  1. 6 jul 2017
  2. 0 reacties
Erik de Jong

Naast alle cyberaanvallen die wereld teisteren, hebben we ook nog te kampen met een tekort aan securityprofessionals. Security is buitengewoon complex geworden. Uitbesteden is een oplossing. Maar als je zelf de kennis niet hebt, hoe kom je er dan achter of de beoogde security partner die kennis wel heeft? En, niet te vergeten, het vertrouwen waard is.

Hoe vind je de juiste securityleverancier? Het begint me met drie eenvoudige vragen: is de leverancier realistisch in zijn aanbod? Is het bedrijf eerlijk over zijn capaciteiten? Is het bedrijf in staat je echt te helpen?!

Zijn ze realistisch?

Verschillende sectoren hebben te maken met verschillende types dreigingen. Vaak wordt cijfermateriaal voorgelegd om aan te tonen hoe de situatie is op het gebied van cybercrime. Begrijpen vendors het cijfermateriaal dat ze voorleggen aan de klant eigenlijk zelf wel? Want als securityleverancier kan je alleen cijfers voorleggen die algemeen bekend zijn en cijfers op basis van wat je zélf ziet. Dit is altijd maar een deel van een groter geheel. Het is noodzakelijk dat cybersecuritybedrijven dit duidelijk maken aan potentiële klanten. Niemand beschikt over alle securitydata ter wereld. Je kunt weliswaar conclusies trekken uit die data, maar hou deze beperking in het achterhoofd. Wat bijvoorbeeld voor de Verenigde Staten geldt, hoeft dus niet voor Nederland te gelden - en omgekeerd!

Zijn ze eerlijk?

Eerlijkheid is een belangrijk aspect om een vertrouwensband op te bouwen tussen een bedrijf en de securitypartner. Zeker nu, met de komst van de GDPR in mei 2018 is vertrouwen essentieel. Een bedrijf moet precies op de hoogte zijn over de oplossingen die cybersecurityspecialisten kunnen aanbieden. Op het vlak van preventie, detectie én respons. Elke lacune kan geld kosten na een hack. Nog belangrijker is: wat gebeurt er als een securityleverancier iets mist?

De belangrijkste vraag gaat dan over false negatives. In gewone taal: ‘mis je weleens iets als vendor, wat doe je dan en hoe ga je daarmee om?’ Ja, dit is een onaangename situatie voor een cybersecuritybedrijf. Toch moeten we durven toegeven dat er iets door de mazen van het net kan glippen. Dat wil natuurlijk niet zeggen dat alles dan verloren is, aangezien goede cybersecurityspecialisten aan de slag zullen gaan om alsnog adequaat te reageren. Als je weet dat ze erg snel kunnen reageren, schept dit ook weer vertrouwen.

Willen ze echt helpen?

Met deze vraag kan je het onderscheid maken tussen cybersecuritybedrijven die het beste voorhebben met een bedrijf en niet het financiële aspect vooropstellen. Vaak kan een cybersecuritybedrijf eenvoudig ontdekken waar eventuele gaten in de beveiliging zitten en die kunnen dan snel gedicht worden. De beste oplossing is nu eenmaal niet altijd de duurste.

Voor bedrijven is een zogeheten red team de ultieme test. Een red team moet proberen de aanwezige security te doorbreken met als doel de kwaliteit ervan te testen. Op die manier kan de weerbaarheid tegen ernstige dreigingen worden verbeterd. Ook voor de securityprofessionals zelf is het leuk. Ze krijgen dan een vrijgeleide om hun eigen systemen binnen te dringen. Enig nadeel is dat red teams handenvol geld kosten! Het is beter eerst een analyse te laten uitvoeren van de huidige infrastructuur en de kwetsbaarheden die dan ontdekt worden te verhelpen. En als er daarna wordt besloten een red team in te zetten, is het des te leuker en uitdagender voor de securityspecialisten. De inzet van een red team is op dat moment veel zinvoller. Het levert dan de resultaten op die nodig zijn om de security op een (nog) hoger peil te brengen.

Staar je niet blind op hypes

Tot slot moeten bedrijven zich niet te veel blindstaren op de cybersecurity hypes. Zo wordt er vandaag veel verwacht van threat intelligence, AI en machine learning om bedrijven te beschermen tegen cybercrime. Je kunt gerust investeren in deze technologieën, maar dat zal nooit een op zich zelf staande oplossing opleveren die ‘alles’ tegenhoudt. Optimale cybersecurity is een combinatie van techniek en deskundige mensen die dreigingen kunnen detecteren en elimineren. En laat dat net een knelpunt zijn. Spijtig genoeg zijn er bij lange na niet genoeg securitydeskundingen voor de bedrijven die er een zouden willen hebben. En daar bieden cybersecuritybedrijven een oplossing.

Erik De Jong, Chief Research Officer bij Fox-IT