Managed Security: Meer voor- dan nadelen?
Welkom bij de laatste Themaweek van dit jaar, met een onderwerp dat nog altijd "hot" is, namelijk managed security. Niet alleen worstelt nog menig bedrijf met de vraag of men de informatiebeveiliging zelf moet doen of uitbesteden, maar ook waar je op moet letten wanneer je deze keuze hebt gemaakt. Welke technologie is onmisbaar, hoe verloopt de implementatie en op welke grond kies je je service providers en ga je hiermee om. En niet alleen bedrijven, ook consumenten kunnen steeds meer van hun beveiliging uitbesteden via internetprovider en andere partijen.
Maar kent het uitbesteden alleen maar voordelen? Managed Security providers noemen kostenbesparingen, toegenomen produktiviteit en een centraal vergaarpunt van kennis als belangrijke redenen. Tegenstanders willen de kennis juist in eigen beheer hebben, tenslotte wil je niet iedereen in je keuken laten kijken.
Security.NL kijkt deze themaweek naar nieuwe technologieen, interviewt experts en geeft tal van tips. We zijn benieuwd hoe onze lezers hun beveiliging geregeld hebben. Wat zien jullie als voor- en nadelen, welke keuzes maken jullie in de dagelijkse praktijk, waar let de werkgever op bij het kiezen van een managed security provider en natuurlijk de altijd aanwezige vraag; uitbesteden of zelf doen?
Alle input is van harte welkom, drop een reactie of stuur een e-mail naar redactie@security.nl.
uitbesteden van de complete informatie beveiliging is namelijk onmogelijk,
omdat binnen informatie beveiliging duidelijk rollen zijn toegekend voor de
eigenaar (owner) van de informatie: bv classificatie. Waar ligt dus de knip?
Wat valt binnen "Managed Security" ?
binnen informatie beveiliging duidelijk rollen zijn toegekend voor de
eigenaar (owner) van de informatie: bv classificatie. Waar ligt dus de knip?
Je bedoelt in jouw boekje over beveiliging? Beveiliging is geen boekje
en classificatie is geen beveiliging als het ueberhaupt al bestaat.
security, met SAS type II verklaringen, om onder hun SOX
verplichtingen uit te komen.
zijn?
wetten eindverantwoordelijk. Het uitbesteden verschoond je niet van WBP,
SOX, MiFiD, WTx, etc.
Je kan door het definieren van de juiste controls, Pakket van Eisen, KPI
en / of SLA de juiste dienstverlening afspreken met je leverancier. Deze
eisen zouden vanuit een risicomanagement cycles / classificatie door een
informatie / asset eigenaar moeten worden gedefinieerd.
Indien je security management gaat uit besteden dan dien je als bedrijf
dus eerste te bepalen wat je gaat uitbesteden en hoe ga je de leverancier
zodanig controleren dat je compliant bent aan wetgeving en je interne
eisen.
Hiervoor zijn meerdere constructies mogelijk.
Dus uitbesteden kan ook voor security management mits de juiste eisen /
controls in KPI's en een SLA wordt afgedekt en daarbij genoeg
mogelijkheden blijft bestaan voor de klant om de security taken bij de
leverancier (onafhankelijk van de leverancier) te kunnen controleren op de
goede werking.
Indien een leverancier een ISO 2700x, ISO 20K, etc gecertificeerd is en een
SAS 70 of TPM kan en wil afgeven over de gevraagde controls dan heb je
redelijke vooruitzichten op een goede dienstverlening.
Gr RFV
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
