Voordat je als bedrijf kunt beslissen of je de beveiliging uitbesteedt moeten de voor- en nadelen worden afgewogen. In dit artikel bekijken we verschillende redenen waarop beslist kan worden om een managed security services provider (MSSP) in te huren of het juist zelf te doen, en wat de voordelen hiervan zijn. Volgens de Carnegie Mellon University zijn de resultaten die via een gerespecteerde en competente MSSP bereikt kunnen worden veel beter dan een bedrijf alleen kan halen.

Voordelen

Kosten
De kosten van een managed security service is meestal minder dan het aannemen van een vaste beveiligingsdeskundige. Een MSSP kan de kosten van analisten, hardware, software en faciliteiten over meerdere klanten uitspreiden, waardoor de kosten per klant omlaag gaan.

Personeel
Een gebrek aan gekwalificeerd beveiligingspersoneel is een probleem waar veel automatiseringsafdelingen en bedrijven mee te maken hebben. Dit zet druk op de IT-afdeling om dit soort personeel aan te nemen, te trainen, compenseren en te behouden voor het bedrijf. De kosten van een interne netwerk security expert kunnen zo hoog zijn dat het een last voor het bedrijf is, of dat er zelf wordt afgezien om iemand voor de functie aan te nemen.

Als men kiest voor outsourcing, zijn de kosten voor het aannemen, trainen en behouden van ervaren personeel de verantwoordelijkheid van de MSSP. Een MSSP kan beveiligingsexperts behouden door het bieden van allerlei carriere mogelijkheden en functies binnen de organisatie.

Kan een bedrijf bepaalde vaste en herhalende beveiligingsonderdelen zoals monitoring en bescherming uitbesteden, dan kan men zich meer richten op belangrijkere bedrijfsonderdelen en processen.

Vaardigheden
Een vaste medewerker die zich alleen op part-time basis met beveiliging bezighoudt of alleen met een aantal beveiligingsincidenten te maken krijgt, is waarschijnlijk niet zo competent als iemand die hetzelfde werk full-time doet, en bij verschillende klanten in verschillende omstandigheden met beveiligingsincidenten te maken krijgt. De full-time IT-security professional moet in dit soort gevallen ook met beveiligingsoplossingen komen die breder inzetbaar zijn.

MSSPs hebben, gebaseerd op hun ervaring, inzicht in tal van situaties, en krijgen elke dag met honderden of duizenden bedreigende situaties te maken. Daarnaast zijn ze erg bedreven en ervaren in het gebruik van beveiligingssoftware.

Faciliteiten
Managed Security Services Providers kunnen de beveiliging van een klant ook verbeteren door de faciliteiten die ze aanbieden. Veel MSSPs hebben op verschillende plaatsen speciale "security operations centers". Fysiek beveiligde locaties met de nieuwste infrastructuur die door getraind personeel beheerd worden.

Objectiviteit en onafhankelijkheid
Een organisatie kan meerdere, ad hoc oplossingen hebben om hetzelfde beveiligingsprobleem op te lossen. Het kan zijn dat er binnen het bedrijf geen beveiligingsstrategie of beveiligingsmanagement aanwezig is. Door het kiezen voor een MSSP kan de beveiligingsstructuur van het bedrijf versterkt en vereenvoudigd worden. Een MSSP kan een onafhankelijk perspectief bieden op de beveiligingstructuur van een bedrijf en helpen bij het beheren van een systeem van "checks and balances" met het al aanwezige personeel. Ook kan een MSSP een meer geintegreerde en samenhangende oplossing bieden, waardoor redundante pogingen, hardware en software voorkomen wordt.

Beveiligingsbewustzijn
Het is erg moeilijk voor een bedrijf om alle potentiele dreigingen en kwetsbaarheden alsmede aanvalspatronen, hackertools en geldende best practices bij te houden. Een MSSP is vaak in staat om van tevoren over nieuwe beveiligingslekken en tegenmaatregelen gewaarschuwd te worden. Daarnaast kan een MSSP adviseren hoe andere bedrijven dezelfde soort beveiligingsproblemen aanpakken.

Een MSSP heeft vaak ook contact met gespecialiseerde beveiligingsexperts alsmede andere MSSPs. Deze middelen kan men gebruiken voor het oplossen van de problemen waar een bedrijf mee worstelt.

Vervolging
De MSSP heeft meestal contact met politiediensten en andere instellingen over de hele wereld en begrijpt welk forensisch bewijs en analyse nodig zijn voor het ondersteunen van juridische zaken.

Services Prestaties
Als een bedrijf haar beveiliging laat monitoren, kan die dienst bijna op elk moment, 24 uur per dag, 7 dagen per week en 365 dagen per jaar informatie over de huidige status geven. Dit is een groot verschil als men het eigen personeel de beveiliging laat monitoren, en daardoor alleen tijdens werktijd dit soort informatie kan opvragen. MSSPs kunnen aansprakelijk worden gehouden voor de diensten die ze leveren, en garanderen vaak zaken als beschikbaarheid en financiele vergoeding als een service level agreement niet wordt nagekomen.

De operationele procedures van een MSSP zijn zo ontworpen dat de dienstverlening gegarandeerd kan worden. De MSSP heeft daarnaast de verantwoordelijkheid om haar software en hardware te upgraden en haar netwerk goed te beveiligen. Omdat MSSPs contractuele verplichtingen met hun klanten aangaan en om hun reputatie op de marktplaats te beschermen, zijn procedures nauwkeurig gedocumenteerd en worden zorgvuldig nageleefd.

Service security en technologie
Beveiligingsoplossingen en technologieen zoals firewalls, intrusion detectie systemen, virtual private networks, en vulnerability assessement tools zijn veel effectiever als ze door ervaren security professionals beheerd en gemonitord worden.

Risico's

Een MSSP mag dan meer ervaren personeel hebben om security services te managen, ze zijn mogelijk niet effectief in het toepassen van oplossingen voor specifieke problemen van de klant. Soms kan het voorkomen dat de oplossingen van een MSSP te algemeen voor de klant zijn. Daarnaast is soms het eigen bedrijfspersoneel beter in staat om de beste oplossing te kiezen.

Als een bedrijf voor een MSSP kiest, moet het bedrijf dit zien als een beslissing om het risico te delen. Ongeacht de rol van een MSSP, blijft de klant verantwoordelijk voor het oplossen van de gevolgen van een risico dat zich voordoet. Het bedrijf moet ook altijd voorbereid zijn op risico's die zich manifesteren.

Ondanks alle voordelen zijn er ook nadelen als men voor een MSSP kiest.

Vertrouwen
De uitdaging van het opzetten van een goede werkrelatie en het bouwen van vertrouwen tussen een klant en een MSSP blijft een grote hindernis in het beslissen om beveiliging uit te besteden. Elke MSSP heeft toegang tot vertrouwelijke informatie van de klant en details over zijn beveiliging en kwetsbaarheden. Het bewust of onbewust lekken van dit soort informatie aan het publiek kan de klant ernstig beschadigen. Het ondertekenen van een vertrouwensovereenkomst kan dit risico verkleinen.

Onafhankelijkheid
Een organisatie kan operationeel volledig van een enkele MSSP afhankelijk worden, en heeft daardoor te maken met de gezondheid van de aanbieder, andere klanten en zakelijke partners. Een mogelijke oplossing is het outsourcen naar meerdere providers, maar dit brengt extra kosten met zich mee en zorgt voor extra management verantwoordelijkheden. Een organisatie moet het voorstel van een provider goed begrijpen of ze tiered providers gebruiken en hoe die werken.

Aansprakelijkheid
Een klant blijft verantwoordelijk en aansprakelijk voor de beveiliging van haar operaties en infrastructuur, ongeacht wat voor diensten het van een MSSP afneemt. Een organisatie kan beveiligingszaken negeren omdat ze dit aan de provider heeft overgedragen. Het bedrijf moet er echter voor zorgen dat het haar verantwoordelijkheid en service level agreements kan nakomen. Als oplossing kan men informatiebeveiliging de primaire verantwoordelijkheid voor een of meer werknemers en managers maken en het regelmatig geven van trainingssessies.

Gedeelde omgeving
De gedeelde omgeving die door veel MSSPs voor meerdere klanten wordt gebruikt, geeft meer risico's dan een eigen omgeving. Het delen van data in één omgeving kan ertoe leiden dat de ene organisatie toegang heeft tot de vertrouwelijke informatie van de ander.

Implementatie
Het beginnen van een relatie met een managed security service provider kan een moeilijke overgang van mensen, processen, hardware, software en andere middelen van klant naar provider betekenen of andersom, die allen weer nieuwe risico's met zich meebrengen. IT en zakelijke omgevingen moeten mogelijk van nieuwe interfaces, aanpakken en verwachtingen voor dienstverlening voorzien worden. Rollen en verantwoordelijkheden moeten vaak opnieuw vastgesteld worden. Bedrijven moeten daarom aan de provider een plan en tijdslijn vragen wanneer de implementatie is afgerond.

Falende samenwerking
Een van de grootste gevaren is afkomstig van inadequate, incomplete planning en infrequente communicatie tussen het bedrijf en de provider. De samenwerking kan op elk moment uit elkaar vallen. Net als elke zakelijke samenwerking is aandacht, zorg en toewijding vereist.

Verborgen kosten en gevolgen
Bepaalde kosten worden overzien of genegeerd omdat ze lastig te bepalen zijn. Een organisatie moet dit in haar risico analyse en beslissingsproces meenemen voordat een MSSP wordt gezocht. Sommige van de verborgen kosten bestaan uit:

• Kosten die samenhangen met het opgeven van controle (ervaring, kennis, vaardigheden) over belangrijke onderdelen en beveiligingstechnologieen.
  
• Wat gebeurt er aan het einde van de contractspersiode? Wat gebeurt er als de provider failliet gaat, geen goede diensten levert of meer vraagt als zijn contract verlengd wordt? Wat zijn de kosten voor het overstappen naar een andere provider?
  
• Levert een MSSP dezelfde kwaliteit en grondigheid als een organisatie hetzelf zou doen?
  
• Hoe komt men tegemoet aan de wensen van de klant, en worden diensten voor meerdere klanten geleverd en hoe geeft de MSSP die prioriteit?

Juridische vraagstukken
Een bedrijf en een MSSP moeten mogelijke juridische vraagstukken die zich tijdens een beveiligingsincident bij een van beide partijen kan voordoen bespreken. De klant moet de jurisprudentie begrijpen waaronder de provider opereert, alsmede wetgeving en richtlijnen, en of deze wetten compatible zijn met de bedrijfsvoering van de klant en door hem geaccepteerd worden.

Conclusie
Het kiezen van een Managed Security Services Provider blijft een lastige opgave. Toch kiezen steeds meer bedrijven voor het uitbesteden van hun beveiliging. Volgens het Gartner rapport "European Managed Security Service Provider Market Overview 2006" groeit de markt voor Managed Security Service Providers tot 2009 met 15%. Steeds meer bedrijven zien outsourcing als de manier voor het snijden in de kosten en het focussen op de belangrijkste bedrijfsonderdelen. De marktonderzoeker laat verder weten dat bedrijven serieus moeten overwegen om operationale security services uit te besteden om bereik en effectiviteit te verbeteren.