Internetcriminaliteit neemt in sneltreinvaart toe en criminelen worden steeds sluwer. Bedrijven moeten daarom hun infrastructuur continu in de gaten houden en tegelijkertijd op de hoogte blijven van de nieuwste dreigingen, securitymaatregelen en wet- en regelgeving. Kunnen organisaties dit nog wel zelf of moeten zij hun security uitbesteden? En hoe kiezen ze de juiste partij? Op het ASMC 2018 (21 juni) wordt dit onderwerp uitgebreid behandeld.
Op het congres staat de veiligheid en veerkracht van samenwerkingsverbanden centraal. Want er zijn nog maar weinig succesvolle ondernemingen die autonoom functioneren. Ondernemingen hebben vaak een complexe value chain met honderden partners. Hoe onderken je als onderneming deze risico’s en welke stappen moeten gezet worden om de onderneming weerbaar te maken tegen fysieke en digitale dreigingen? Lees het programma en schrijf in.
Hacks veroorzaken financiële gevolgen en reputatieschade
Aanvallen met ransomware bij onder andere Maersk, TNT Post en MSD lieten in 2017 zien dat een serieuze hack enorme financiële gevolgen heeft en flinke reputatieschade veroorzaakt. Het einde van dit soort hacks is voorlopig niet in zicht. Integendeel zelfs: vanwege het lucratieve verdienmodel is ransomware booming business onder internetcriminelen. Op het dark web worden voor een grijpstuiver duizenden ‘doe-het-zelf ransomware kits’ aangeboden, door en voor internetcriminelen. Hierdoor ontstaan dagelijks nieuwe dreigingen, die de meeste bedrijven niet direct in het vizier hebben.
Als security niet de core business is van je bedrijf, is uitbesteden de meest logische keuze
Organisaties moeten daarom hoogopgeleide IT-specialisten met een zeer brede skillset in huis hebben om zélf de business impact te kunnen beperken bij een cyberaanval. Die mensen moeten continu bijgeschoold worden en mogen niet te snel weer vertrekken. Dit is voor de meeste organisaties praktisch onhaalbaar. De security outsourcen naar een Security Operating Center (SOC) is daarom een logische stap.
Drie bezwaren bij security uitbesteden
Toch blijkt uit onderzoek van Telindus onder meer dan 266 IT-beslissers dat nog steeds meer dan de helft (54 procent) verwacht dat zij security over drie jaar slechts beperkt of niet uitbesteden. Dit is zorgelijk, omdat organisaties over het algemeen onvoldoende kennis en mankracht in huis hebben om hun security op orde te houden.
Wat weerhoudt deze bedrijven ervan om uit te besteden? Het onderzoek laat de volgende top drie bezwaren zien:
- We willen zelf de volledige controle houden (33 procent)
- Onze data is erg (privacy)gevoelig (32 procent)
- Hoge kosten (20 procent)
Deze bezwaren zijn begrijpelijk, maar gelden niet altijd. Hieronder leg ik uit waarom niet.
ASMC 2018 over risico’s die ketens bedreigen
Er zijn nog maar weinig succesvolle ondernemingen die autonoom functioneren. Bedrijven kiezen, gefaciliteerd door de online markt en de invoering van wereldwijde normen, voor samenwerken in de zoektocht naar innovatie en kostenreducties. Ondernemingen hebben daarom vaak een complexe value chain met honderden partners, waaronder agentschappen en leveranciers van producten. Intensieve samenwerking met third parties is de norm geworden voor succes, maar het levert ook risico’s op. Hoe onderken je als onderneming deze risico’s en welke stappen moeten gezet worden om de onderneming weerbaar te maken tegen fysieke en digitale dreigingen? Lees het programma en schrijf in.
Bezwaar 1: Controle blijft bij bedrijf
Veel bedrijven vrezen dat ze de regie verliezen zodra ze hun security uitbesteden. Maar volledige outsourcing van security, waarbij je alle verantwoordelijkheden en risico’s overdraagt aan een externe partij, gebeurt sowieso niet. Het is onlogisch om te zeggen: “Jongens, doen jullie het maar voor mij, stuur me eens per week een rapportage en dan geloof ik het wel”, want als bedrijf blijf je uiteindelijk eindverantwoordelijk. Zelfs al zou je alle verantwoordelijkheid kunnen overdragen aan een externe partij, dan loopt je bedrijf bij een hack alsnog reputatieschade op. Kijk maar eens naar een gemiddeld security-incident: de media praten direct over het bedrijf dat getroffen is, niet over degene of de partij die verantwoordelijk is voor de security. Alleen een goede woordvoerder kan je bedrijf enigszins beschermen tegen reputatieschade.
Outtasken: bepaalde taken verschuiven naar een Security Operating Center
Ik heb het dan ook liever over ‘outtasken’: je verschuift bepaalde taken naar een Security Operating Center (SOC). Via een dashboard in het eigen kantoor behoud je realtime inzicht in wat er binnen je infrastructuur gebeurt. Het SOC alarmeert je en geeft terugkoppeling op prioriteitsniveau. Je onderneemt vervolgens zelf actie, op basis van de oplossingen die het SOC aandraagt. Dit betekent dat de keuze voor een SOC en de afspraken die je met zo’n partij maakt extreem belangrijk zijn.
Bezwaar 2: Onze data is erg (privacy)gevoelig
Met de GDPR (of AVG in het Nederlands) in aantocht, zijn veel bedrijven op zoek naar de beste manier om hun data te verwerken en te beschermen. Uitbesteden vinden zij geen logische optie, omdat dan meer partijen bij hun data kunnen en de risico’s op een lek groter worden. Dit is een misvatting, want wanneer je de security uitbesteedt aan een SOC blijft de data gewoon bij je bedrijf. Een SOC bekijkt slechts de metadata en loggegevens. Dat betekent dat een SOC niet de inhoud van een bestand kan zien, maar slechts om wat voor soort bestand het gaat, zoals een .pdf of .xls file. Het grote voordeel is juist dat een SOC gespecialiseerd is in de bescherming van privacygevoelige data. Zij zijn bijvoorbeeld al GDPR-compliant en ISO-gecertificeerd. De vraag is of organisaties zelf net zo goed voorbereid zijn.
Bezwaar 3: Hoge kosten
De kosten van uitbesteden werpen een flinke drempel op voor 20 procent van de respondenten. Iedereen wil zo min mogelijk uitgeven aan security. Maar de snelle groei van cybercriminaliteit en de enorme schade die daarmee gepaard gaat, maken duidelijk dat bedrijven sowieso meer moeten investeren. De Cyber Security Raad adviseert om minimaal 10 procent van het IT-budget te reserveren, maar gemiddeld besteden bedrijven slechts 2 procent van het IT-budget aan security.
Een SOC heeft de verantwoordelijkheid om de beste securityspecialisten in huis te halen
Wanneer een bedrijf zelf IT-specialisten aanneemt om de security te optimaliseren, vraagt dit een enorme investering in personeel en continue bijscholing. Bovendien is het personeelstekort en -migratie een groeiend probleem en moeten bedrijven dit op kunnen vangen. Dat kost extra geld, maar ook veel tijd en energie op een moment waarop je misschien liever bezig bent met de ontwikkeling van je organisatie. Met deze uitdagingen heb je niet meer te maken wanneer je kiest voor een SOC. Die hebben zelf de verantwoordelijkheid om de beste securityspecialisten in huis te halen, te trainen en te behouden.
Als security niet de core business is van je bedrijf, is uitbesteden dus de meest logische en efficiënte keuze. Maar dan is het zoals eerder genoemd wel belangrijk om de juiste partij te kiezen en daarmee goede afspraken te maken.
Een SOC kiezen
Wat je uiteindelijk verwacht van een externe partij, hangt af van de dienstverlening die je precies zoekt. In elk geval moet je erachter zien te komen wat voor vlees je in de kuip hebt. Een heldere service level agreement (SLA) en ISO-certificeringen zijn zéker van belang, maar uiteindelijk moet een SOC mensen met de juiste skillset in dienst hebben en in contact staan met betrouwbare bronnen. Er zijn slechts een handvol partijen in de wereld die gedegen onderzoek doen naar de ontwikkelingen op het gebied van security. Een SOC moet met die partijen samenwerken. Je mag dus best eisen dat ze laten zien wie er werken, hoe ze werken, waar ze hun informatie vandaan halen en hoe snel en met welke partijen ze in actie komen in het geval van een incident. Hoe beter dat gebeurt, hoe beter de bescherming.
Als we onze kinderen durven uitbesteden, dan lukt dat met security toch ook?
Vergelijk het eens met de keuze voor de juiste kinderopvang. Onze kinderen zijn ons kostbaarste bezit, maar we besteden de verzorging uit, omdat we meer met ons werk bezig willen zijn. We kiezen een kinderdagverblijf op basis van allerlei informatie: de reputatie van het bedrijf, de expertise, de visie en de mensen die er werken. Als ouder blijf je de regie houden over je kinderen door middel van gemaakte afspraken en realtime informatie over het welzijn van je kinderen. Ook met zeer kindspecifieke wensen, zoals een notenallergie, houdt een kinderdagverblijf altijd rekening. Hoe eng we het vaak ook vinden om ze achter te laten, bij een geschikte partij gaat het altijd goed.
Zeg nou zelf, als we onze kinderen durven uitbesteden, dan lukt dat met security toch ook?
Ron Hehemann schreef dit artikel Hij is security consultant bij Telindus.
> Op het ASMC 2018 (21 juni) wordt dit onderwerp uitgebreid behandeld. Lees het programma en schrijf in.
> Lees ook Fysieke beveiliging en cybersecurity: integrale aanpak vereist