Deze week draait om managed security services providers. We hebben al gekeken wat de voor- en nadelen zijn, maar wat hebben MSSPs zelf te melden? Waar moeten bedrijven op letten. hoe ga je als MSSP om met een andere bedrijfscultuur en kun je beter alles uitbesteden of slechts een gedeelte? Wij vroegen het Marco Geerinck, Vice President Sales van Consul risk management.
Waarom kies je er als bedrijf voor om je beveiliging te laten managen, zulke essentiële bedrijfsonderdelen wil je toch binnenshuis houden?
Geerinck: Beveiliging is geen core competency van een bedrijf, het is een bijkomende zorg. IT security is ook schieten op een bewegend target en daarom heeft het steeds veel tijd en investering nodig.
Kies je voor managed security, dan ben je dus altijd afhankelijk van een aanbieder?
Geerinck: 1 aanbieder? Ja, men heeft IT security gespecialiseerde service providers maar men kan ook security outsourcen aan de algemene OT outsourcer (ATOS, IBM, Getronics).
Hoe manage je iemand anders z'n beveiliging? Het gaat tenslotte om een ander bedrijf, andere cultuur en omgeving?
Geerinck: Afspraken van duidelijke SLA’s maken en deze per kwartaal bespreken. Het bedrijfsspecifieke beveiligingsbeleid zal door het bedrijf zelf up to date gehouden moeten worden en moeten worden gecommuniceerd aan de service provider.
Waar moeten bedrijven op letten als ze hun beveiliging willen uitbesteden en is het raadzaam om toch een gedeelte zelf te doen, of is het beter om alles uit handen te geven?
Geerinck: Security word vaak gezien als een verzekering waar men aan het eind van de outsourcingprocedure aan denkt. Dan gaat men hierop bezuinigen, omdat de budgetten op zijn. Dit moet men ten eerste voorkomen.
Daarnaast moet men een duidelijk beveiligingsbeleid definiëren en de security provider moeten ten alle tijde controleren op de uitvoering van security (dit d.m.v. dagelijkse/wekelijkse/maandelijkse rapportage). Dit laatste kan m.b.v. Consul Insight security manager.
Wat als een bedrijf dat haar beveiliging heeft uitbesteed gehackt wordt. In hoeverre kan dit bedrijf zich dan achter de managed security aanbieder verschuilen?
Geerinck: Dat ligt helemaal aan het contract tussen de klant en de provider.
Vertrouwen is een sleutelwoord als het gaat om het managen van beveiliging, een mooi woord, maar hoe kun je nu als bedrijf er zeker van zijn dat ingehuurde aanbieders hun zaakjes op orde hebben?
Geerinck: Dit kan door metingen, SLA afspraken en rapportage.
Hoe voorkom je dat als je als managed service provider gehackt wordt, de aanvaller niet meteen toegang heeft tot de firewalls en andere appliances van alle klanten?
Geerinck: Door goede interne security. Het moet natuurlijk niet zo zijn dat wanneer een hacker binnenkomt hij meteen bij ALLE aanwezige data kan komen (dit kan ook in de werkelijkheid niet!).
Kun je een aantal veel gemaakte fouten noemen die bedrijven maken bij het uitbesteden van hun beveiliging?
Geerinck: De grootste fout is dat ze er niet aan denken om over security te praten. Veel bedrijven outsourcen hun IT en hebben geen controle over de security. Ook bij de meeste outsourcers is security een kostenpost waarvoor de klant niet betaalt en dus wordt verwaarloosd.
Security is een bewegend doel dus men moet dit periodiek aanscherpen. Een eenmaal geïnstalleerde firewall moet zeer vaak ge-update worden en het beveiligingsbeleid dient continue aangescherpt te worden.
Geen definitie van welke gebruikers mogen wat met de data en hoe controleer je dat?
Geerinck: Bij elk bedrijf zijn er zogenaamde supergebruikers, ofwel de priviliged users. Dit zijn gebruikers met speciale rechten, die toegang hebben tot het gehele netwerk (zoals de beheerders). De vraag is “wie controleert deze mensen?”
Wat moet een bedrijf zich afvragen als het de beveiliging of een deel hiervan wil uitbesteden?
Geerinck: Hierover heb ik geen mening, met goede contractuele afspraken kan alles afgedekt worden, maar het draait om controle. Bewijs dat je ‘in control’ bent.
Deze posting is gelocked. Reageren is niet meer mogelijk.