Informatiebeveiliging binnen MSP’s, need to have of nice to have?

25 sep Informatiebeveiliging binnen MSP’s, need to have of nice to have?

Op vrijdag 26 juli 2019 organiseerden ESET Nederland en Guardian360 een ondernemersdiner met als thema “If Opportunity doesn’t knock, build a door”. Beide organisaties merkten dat security nog niet voor elke partner eenvoudig over de bühne te krijgen is; niet bij iedereen is het een kant en klare commerciële propositie. Ook is er nog onduidelijkheid over hoe de markt zich gaat ontwikkelen, terwijl van MSP’s wel verwacht wordt dat zijn een gidsfunctie voor hun klanten hebben. Hoe zorgen je er nou voor dat je als MSP security goed op de kaart zet?

Klanten gaan er vanuit dat hun IT dienstverlener ook de security regelt, en dat is terecht.

Dave Maasland en Jan Martijn Broekhof hadden een aantal stellingen voorbereid waarover de aanwezige ondernemers met elkaar in gesprek gingen. Op sommige momenten leidde het tot stevige discussie en boute uitspraken, mooi om te constateren dat er voor alle invalshoeken ruimte was.

De stellingen waren de volgende:

1. Klanten gaan er vanuit dat hun IT dienstverlener ook de security regelt, en dat is terecht.
2. Wat is de nummer één reden dat klanten niet willen investeren in security en hoe ga je daar mee om?
3. Het merendeel van IT dienstverleners in Nederland heeft zijn eigen security niet op orde
4. Welke diensten zijn belangrijk op midden- & lange termijn en wanneer ga je outsourcen?
5. Wat moeten security leveranciers doen om IT dienstverleners te ondersteunen?

Informatiebeveiliging, dat regelen jullie toch?

Tijdens het behandelen van de stellingen bleek dat de meningen verdeeld zijn over of IT-security te allen tijde verwacht mag worden van de IT dienstverlener. Dit hangt volgens de groep af van de situatie, type klant en type dienstverlener. De deelnemers snappen echter wel dat klanten dit van hen verwachten. De perceptie bij klanten is simpelweg dat IT al veilig is omdat er al geïnvesteerd is in diensten en doosjes.

Belangrijk is om daarbij ook in ogenschouw te nemen dat IT Security niet alleen uit techniek bestaat, maar dat beleid, processen en de mens kant minstens zo belangrijk zijn. In hoeverre kun je als technische dienstverlener verantwoordelijkheid dragen voor al deze aspecten? Vanuit de groep ondernemers werd gesteld dat een IT-dienstverlener vooral de basis op orde moet brengen en dat het daarna afhangt van de klant zelf welke diensten daar nog additioneel bij geleverd moeten worden. Grotere klanten hebben vaak een IT-security afdeling en hebben andere verwachtingen van de IT-dienstverlener.

Een risico gebaseerde aanpak is het beste om met de klant in gesprek te gaan.

De toegevoegde waarde van de IT dienstverlener wordt ter sprake gebracht als de grote vraag. Risico’s op het gebied van informatiebeveiliging zijn moeilijk in te schatten voor klanten zelf, hoe moet een IT-dienstverlener dat dan doen? Desondanks was het merendeel van de deelnemers het eens dat een risico gebaseerde aanpak het beste is om met de klant in gesprek te gaan.

Ook werd het tijdens de discussie duidelijk dat “De IT-dienstverlener” te generiek is en niet bestaat. Het verschilt per dienstverlener welke diensten worden opgepakt of geoutsourcet. De meeste ondernemers aan tafel houden zelf toezicht en dragen actief bij aan het verbeteren van de informatiebeveiliging binnen hun organisatie. Bepaalde dienstverleners bouwen eigen vaardigheden (SOC/SIEM) en hebben hier al in geïnvesteerd, andere zoeken naar partnerships. Security leveranciers moeten vooral niet zelf alles proberen te doen (best-of-breed wordt geprefereerd). De aanwezigen vragen zich wel af hoeveel IT-dienstverleners zelf ook nog werk aan de winkel hebben om de eigen onderneming te beschermen. Certificering en beleid lukt vaak wel, borging ervan is de grote uitdaging.

Als een klant niet voor security wil betalen, dan is dat een reden om de klant niet aan te nemen.

Een van de deelnemers gaf aan dat security een vast onderdeel is van de propositie van zijn organisatie. Wil een (potentiële) klant daar niet voor betalen, dan is dat voor de dienstverlener een reden om de klant niet aan te nemen.

Security leveranciers zouden altijd een paar stappen voor de partner moeten zijn om hen zo verder te faciliteren

De aanwezigen concludeerden dat kennis, die nodig is op security gebied, duurzaam is en nog lang nodig zal zijn. Dat het voor MSP’s geen optie meer is, is wel duidelijk. Een security leverancier die als one-stop-shop opereert wordt daarbij als voordeel genoemd. Van security vendoren wordt dan wel de juiste houding verwacht: “Security leveranciers zouden altijd een paar stappen voor de partner moeten zijn om hen zo verder te faciliteren”.