Hoe kies je een Managed Security Services Provider?

  1. 11 nov 2019
  2. 0 reacties

Thalya van Vloten

Thalya van Vloten, Business Unit Manager Security, NTT Ltd. Netherlands 

Wanneer een organisatie op zoek gaat naar een Managed Security Services Provider (MSSP) is de Request for Proposal (RFP) een van de meest gebruikte middelen voor een selectie. Daarmee kan een potentiële leverancier gedetailleerd aangeven welke diensten hij kan leveren en op welke wijze. Vraag is hoe een solide RFP er eigenlijk uitziet. Het zijn uiteindelijk de antwoorden op de vragen die een potentiële afnemer stelt aan de MSSP die bepalend zijn voor de keus. Met andere woorden: hoe beter de vragen, hoe meer waarde er uit de antwoorden te halen is. 

Een solide RFP bevat in ieder geval de volgende onderdelen:

  • Een schets van de MSSP als organisatie: historie, achtergrond, aantal medewerkers, aantal vestigingen, dienstenpakket. Het is vooral van belang dat de MSSP aangeeft op welke manier hij de security en compliance vormgeeft en of er sprake is van een gecentraliseerde of gedecentraliseerde aanpak.
  • Doel van de dienstverlening. Omschrijf als potentiële afnemer gedetailleerd waarom je de inzet van een MSSP overweegt en welke specifieke eisen van toepassing zijn. Op die manier kan een MSSP direct bepalen of er een fit is met de geboden dienstverlening. Voeg een complete lijst toe van alle technologieën in de omgeving(en) die de MSSP moet gaan monitoren. Hoe gedetailleerder deze informatie, hoe beter de MSSP in staat is om te voldoen aan verwachtingen van de opdrachtgever.
  • Instructies over de vorm waarin de MSSP de RFP invult en de deadline(s). Daarbij zijn gegevens als contactpersonen, een deadline voor aanvullende vragen en mogelijke data voor presentaties belangrijk om mee te nemen. In sommige gevallen kan een organisatie het praktischer vinden om de RFP in hard copy te ontvangen. 

Op basis van deze basisuitgangspunten zijn de volgende praktische vragen van belang in een RFP.

Over de organisatie van de MSSP:

  1. Beschrijf de organisatie en licht toe hoelang er al managed security services worden geboden.
  2. Geef een outline van de voorgestelde diensten.
  3. Geef een overzicht van de prijzen of onderscheidingen die u als MSSP heeft ontvangen.
  4. In welke branches biedt u uw diensten?
  5. Biedt uw organisatie gelaagde serviceniveaus? Zo ja, welke zijn dat?
  6. Is uw organisatie geslaagd voor de SSAE 16 SOC1 Type II Audit?
  7. Hoe ziet uw disaster-recovery-plan er precies uit?

Over de diensten:

  1. Omschrijf de voorgestelde diensten, de wijze waarop ze geleverd worden (in huis of op afstand), het kwalificatie- of certificeringsproces, de geografische locatie en de beschikbaarheid van medewerkers (24 x 7 of van 8 tot 17 uur).
  2. Beschrijf op hoog niveau de processtromen van de voorgestelde diensten. Leg eventuele uitzonderingen of verschillen tussen de servicelagen goed uit.
  3. Gebruikt u eigen technologie voor de diensten, producten van derden of een combinatie van beide?
  4. Is het nodig om hardware te installeren voor de dienstverlening en zo ja, welke hardware, waar vindt de installatie plaats en wie gaat de systemen beheren?
  5. Is het nodig om softwarelicenties aan te schaffen voor de voorgestelde diensten? Zo ja, om welke software gaat het, waar wordt deze geïnstalleerd en wie verzorgt het beheer ervan?
  6. Geef een beschrijving van uw security operations center (SOC) en de mate van support die het biedt. Voeg eventuele kwalificaties en certificeringen toe.

Er zijn tal van redenen waarom een organisatie op zoek gaat naar een MSSP. Het kan zijn om een kenniskloof te dichten, maar ook om sterker te staan in een wereld waarin de bedreigingen blijven toenemen. Ook kan het verminderen van de interne complexiteit van de IT-omgeving een reden zijn. Welke reden een bedrijf ook mag hebben, duidelijk is dat de markt voor dit type diensten heel snel groeit. Onderzoekers voorzien een groei in omvang van deze markt van rond de 24 miljard dollar in 2018 naar ruim 47 miljard dollar in 2023. Daarbij zijn deze diensten steeds minder commodity en steeds meer maatwerk en gaat het om een partnership. Een goed doordachte RFP kan helpen om daar een succes van te maken.