Column: Een goed idee is niet genoeg
Managed Security - mijn gedachten gaan terug naar de tijd dat Gartner dit concept een grootse toekomst voorspelde. In 2002 voorzag Gartner dat Managed Security het grootste segment zou worden van de totale Infosec. En in 2003 heette het dat in 2005 60 % van alle grote bedrijven delen van de bewaking zou hebben uitbesteed.
Nu, vier jaar later, leven we nog steeds onder het juk van de dozenschuivers en dominees: het leeuwendeel van de taart gaat naar leveranciers en adviseurs. Blijkbaar ging er iets vreselijk mis? Nee hoor. Ik voorspel - à la Gartner "met een waarschijnlijkheid van 90%" - dat in 2010 Managed Security nog steeds een zeer beperkte nichemarkt zal zijn die juist hoofdzakelijk kleine en een paar middelgrote bedrijven bedient.
Uitbesteding is in de praktijk vaak een vlucht naar voren. We doen niet meer zelf wat toch al niet lukte! Een andere reden voor uitbesteding is dat het elegante manier kan zijn om van een vergrijsde en uit haar krachten gegroeide IT-afdeling te komen. Ze doen niet wat we willen maar de markt zal ze wel leren. Bovendien geldt bij dit soort uitbestedingen een omgekeerde gouden handdruk: de organisatie krijgt geld toe en ze hoeven ook niet langs het UWV voor een aanvraag voor collectief ontslag.
Voor beveiliging zijn dit soort redenen niet aan de orde. Niets doen, of een beperkte symboolpolitiek voeren werkt meestal prima. Het is bovendien goedkoop, dus dat houd je dan maar binnenboord. De enige situatie waarin je zult besluiten structureel beveiligingstaken uit te besteden, is als je toch al georganiseerd omgaat met beveiliging. Dit vraagt een behoorlijke maturiteit van de ICT en haar relatie met het bedrijf. De basis moet stevig zijn: een behoorlijk inzicht in wat van waarde is, van wat er eigenlijk allemaal is aan data en infra, een structureel budget en een heldere verdeling van rollen, taken en
verantwoordelijkheden. Als de organisatie hiermee vervolgens afdoende ervaring heeft opgedaan, wordt het wellicht mogelijk te bepalen of en zo ja, welke, bewakingstaken en beveiligingsrollen zich lenen voor uitbesteding.
Op zich is Managed Security een goed idee. Je legt immers voor een aantal jaren vast dat een bewakingsfunctie door een professionele partij wordt uitgevoerd. Maar een goed idee is niet genoeg.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
interne it-afdeling veilig kan vingerwijzen naar de andere
partij. Ze hebben immers op papier alles prima geregeld
(sla, ola, en een x aantal <foo>managers). Het leuke bij
effect is dat zo een onbekende faktor (wat is de aanval van
morgen) ineens managable lijkt te zijn, en het uitmanagen
van risico verpakt in een elevator-pitch doet menig
<foo>-manager rustig verder slapen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
