MSP-er: security is geen product, het is een proces!

03 dec MSP-er: security is geen product, het is een proces!

Naarmate informatiebeveiliging aan populariteit wint gaan ook steeds meer IT-dienstverleners zich bezig houden met dit onderwerp. Dat is een positieve ontwikkeling, we gaan de komende jaren namelijk niet genoeg security-specialisten vinden on het werk uit te voeren. Alle hulp van IT-dienstverleners op dit vlak is dus welkom!

Tijdens mijn gesprekken met Managed Services Providers merk ik dat er verschillende visies op informatiebeveiliging zijn. Ook merk ik dat men te veel gericht is op het product in plaats van de oplossing. Hierdoor wordt het er voor de klant niet veiliger op en dat is jammer!

Not invented here syndrome

Er zijn MSP-ers die sowieso kritisch staan tegenover alles dat ze niet zelf bedacht en ontwikkeld hebben. Of het nu vanuit eigenwijsheid is of vanuit de overtuiging dat zij het zelf beter kunnen, inkopen is de laatste optie. Hoewel deze houding deze bedrijven ver gebracht hebben, ben ik van mening dat het met betrekking tot informatiebeveiliging geen zin heeft om je zo op te stellen.

Informatiebeveiliging is een enorm breed thema. Niet alleen moet je aandacht hebben voor de factoren mens, proces en technologie, ook moet je nadenken over preventieve, mitigerende en herstellende maatregelen. Als MSP-er of IT-dienstverlener word je ook nog eens geconfronteerd met verschillende strategieën; de afdeling HRM en Finance kunnen bijvoorbeeld ieder hun eigen belang hebben op het gebied van informatiebeveiliging. Voor veel MSP-ers en IT-dienstverleners is het simpelweg te veel om alles op te pakken, zij zullen keuzes moeten maken. Het is dan aan te raden om gebruik te maken van de ‘lessons learned’ van andere IT-dienstverleners en daarop door te ontwikkelen.

Buy or build

Een andere afweging die veel IT-dienstverleners maken is het kopen of zelf ontwikkelen van security oplossingen. Het zelf ontwikkelen van security oplossingen heeft verregaande consequenties. Dit hangt deels samen met voorgaande punt, maar gaat veel verder dan dat. Wanneer je zelf oplossingen gaat ontwikkelen, dan ben je niet alleen verantwoordelijk voor het ontwerp en de realisatie. Het werk begint dan echt pas: de dienst moet verkocht en gemanaged worden. Er zijn MSP-ers en IT-dienstverleners die de capaciteit hebben om een eigen security dienst in de lucht te houden, maar in de Nederlandse markt zijn dat er niet veel. Er zijn gewoon te weinig securityspecialisten in de organisatie aanwezig om een dergelijke dienst rendabel zelf te exploiteren.

We zien gelukkig dat steeds meer MSP-ers en IT-dienstverleners de voordelen van een managed platform inzien. Je koopt daarmee niet alleen een groot stuk technologie en diensten in, ook het managen van het platform wordt uit handen genomen. Daardoor kunnen de IT-specialisten zich meer richten op wat belangrijk is voor klanten: het zoveel mogelijk voorkomen van incidenten!

Een ander voordeel van een managed platform afnemen is dat je als organisatie niet met allerlei point solutions aan de slag hoeft te gaan. Via een platform kunnen meerdere diensten geleverd worden, waardoor deze ook met elkaar geïntegreerd zijn en je niet handmatig allerlei controles hoeft te doen om overzicht te behouden.

Productverkoop vs. dienstenverkoop

Wat ik ook merk is dat veel IT-dienstverleners in de basis nog steeds product-verkopers zijn. Office365 wordt weliswaar in een abonnement verkocht, maar na een eenmalige verkoop van het abonnement leveren veel IT-dienstverleners geen aanvullende diensten meer. Zaken zoals Firewalls, End-Point Security en andere hard- en software leveren een leuke piek in de cashflow op, maar een maand later zie je daar niets meer van terug.

Security is bij uitstek iets dat als dienst aangeboden zou moeten worden. Netwerken zijn niet meer zo statisch als ze in het verleden waren. Door bring your own device, thuiswerken, flexplekken, gedeeld beheer, outsouring en shadow IT verandert de te beheren scope doorlopend. Je zult er als IT dienstverlener dus continu alert op moeten zijn dat deze dynamiek internetcriminelen geen nieuwe kansen biedt om een organisatie binnen te dringen.

Natuurlijk lever je niet elke maand een nieuwe firewall, maar je moet wel minimaal eens per maand checken of de firewall nog goed is geconfigureerd. Een poortje per ongeluk open laten staan of de firewall vergeten te updaten is namelijk zo gebeurd. Hetzelfde geldt voor andere netwerkcomponenten: zijn de laatste patches en updates geïnstalleerd, zijn de componenten goed geconfigureerd en is de hardening op orde? Ook het menselijke aspect moet continu aandacht krijgen: gebruiken mensen sterke wachtwoorden en zijn ze niet vatbaar voor phishingaanvallen?

Mijn oproep aan MSP-ers en IT-dienstverleners is dan ook: benader informatiebeveiliging niet als product dat je eenmalig verkoopt, maar een proces waar je continu aandacht voor hebt!