image

Whitepaper: Wanneer is een MSS echt veilig?

donderdag 28 september 2006, 14:08 door Redactie, 9 reacties

Er zijn goede redenen voor het uitbesteden van de IT-beveiliging. Toch zijn veel bedrijven huiverig om zaken als viruscontrole en security beheer uit handen te geven. Deze bedrijven vragen zich met recht af of de managed security service die ze afnemen ook wel veilig is.

Er is een aantal punten waarop gelet moet worden bij het kiezen van een beheerpartij om te voorkomen dat de problemen worden verplaatst in plaats van opgelost. In het whitepaper Wanneer is een managed security service echt veilig? van Unit4Agresso worden de volgende 5 punten gegeven:

1. Zijn de medewerkers gecertificeerd?
2. Wat is de gebruikte technologie?
3. Welke (wijzigings) beheer-en-escalatie-procedures worden gehanteerd?
4. Zijn er geheimhoudingsverklaringen?
5. Hoe ziet de SLA eruit?

Reacties (9)
28-09-2006, 16:39 door Skizmo
Wanneer is een MSS echt veilig?
nooit. .. veiligheid bestaat namelijk niet .. het enige dat
je kunt doen is het de tegenpartij zo moelijk mogelijk maken.

Het wordt eens tijd dat sommige bedrijven dat gaan
realiseren, ipv allerlei blaat-uitspraken te maken.
29-09-2006, 08:35 door Anoniem
Een gecertificeerde OMGEVING lijkt me belangrijker dan een
gecertificeerde MEDEWERKER.
29-09-2006, 09:21 door sjonniev
"gecertificeerd"...
Liever iemand met tig ervaring.
29-09-2006, 10:01 door Anoniem
Gecertificeerd?? laat me niet lachen je moest eens weten hoe daar mee
gesjoemeld wordt.
01-10-2006, 10:01 door wimbo
Certificering... Kennis en ervaring is vele malen
belangrijker. Een schoolverlater neerzetten met een
certificaat versus iemand met 10 jaar on the job ervaring
zonder certificaat.
Het eerste is vragen om moeilijkheden. Certificeringen wil
alleen maar zeggen dat iemand een boek kan lezen en wat
vragen kan beantwoorden.
02-10-2006, 17:01 door NuncaMAS
Wat ik echt mis in dit zeer magere stuk is CONTROLE. Hoe kun je als
uitbestedende partij uitgaan van papier? Op papier kun je alles wel
roepen; uiteindelijk gaat het om het ervaren en controleren dat wat op
papier staat ook daadwerkelijk gehaald wordt.

Security is een cyclisch proces, net zoals kwaliteit. Dit houdt in dat je dus
altijd aan de hand van rapportage over geleverde werkzaamheden audits
zult moeten (laten) uitvoeren. Penetratietests, audits, social engineering op
de leverende partij etc. etc.

Daarnaast: mijn medewerkers zullen gebruik gaan maken van de
infrastructuur. Die medewerkers hebben rechten op het netwerk en de
applicaties. Gaan zij daar bewust of onbewust verkeerd mee om? En hoe
voorkom ik dat? AWARENESS!

Nogmaals: een zeer mager stuk wat meer lijkt op een offertetekst dan een
white paper...
02-10-2006, 21:57 door Anoniem
"Deze bedrijven vragen zich met recht af of de managed security service
die ze afnemen ook wel veilig is."

Ik vind het nog al riskant een bedrijf in te huren en die persoon compleet
zonder toezicht te werk te laten gaan.Als ik een eigen bedrijf had konde ze
nog zo goed zijn maar binne komen ze niet.Dan maar wat meer kwijt voor
een ict profecional en desnoods nog die leuk virusjes kan scannen de
hele dag maar een bedrijf van buiten af nee.
03-10-2006, 10:51 door Anoniem
Door NuncaMAS
Wat ik echt mis in dit zeer magere stuk is CONTROLE. Hoe kun je als
uitbestedende partij uitgaan van papier? Op papier kun je alles wel
roepen; uiteindelijk gaat het om het ervaren en controleren dat wat op
papier staat ook daadwerkelijk gehaald wordt.

Het lijkt me dat je daar die SLA voor hebt, daar moet dat in zijn beschreven.
Het is aan de opdrachtgever om die controle uit te oefenen. Je kunt als
bedrijf wel taken uitbesteden, maar je blijft uiteindelijk zelf verantwoordelijk.
Uitbesteding en verantwoordelijkheid moeten niet worden verward, maar je
ziet dat veel IT-managers eigenlijk het allerliefste de verantwoordelijkheid
willen doorschuiven...
03-10-2006, 12:36 door Anoniem
Een certificaat zegt uiteindelijk niks over de kwaliteiten van de beheerder.
Maar daartegenover staat dat een beheerder 'met tig jaar ervaring' nog veel
minder zegt over het niveau. Ik ken beheerders die al tien jaar rondlopen
en feitelijk alleen maar systemen kunnen herstellen door er een Ghost
overheen te jassen. Met een certificaat heb je in ieder geval een beetje
houvast. Het zijn trouwens altijd de ongecertificeerde beheerders die
schamperen over een certificatie-eis. gek he? ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.