Veel bedrijven hebben hun IT al uitbesteed, maar houden de cybersecurity liever in eigen hand. Zij zijn immers zelf verantwoordelijk voor de beveiliging van hun data. Een goede cyberbeveiliging realiseren tegen alle mogelijke dreigingen wordt echter steeds moeilijker. Cybersecurity vraagt om diepgaande kennis en brede ervaring. Het valt niet mee om zelf die kennis bij te houden en de nodige ervaring op te doen. Daar komt nog bij dat cybersecurityspecialisten schaars zijn en dus lastig te vinden en te behouden.
Het dreigingslandschap verandert sterk. Cybercriminelen hanteren steeds geavanceerdere aanvalsmethoden. En bedrijven krijgen te maken met cyberbedrijfsspionage, gesteund door al dan niet vijandelijke mogendheden, tegenstanders met in principe onuitputtelijke middelen en tijd. Wie zich tegen alle mogelijke dreigingen wil wapenen, staat voor een enorme uitdaging. Uitbesteden van de cybersecurity ligt daarom voor de hand, aldus Leo Lans, sales director van Fox-IT. ‘Het fijne van uitbesteding is dat het bedrijf zelf de regie houdt, ook al wordt de securityafdeling in feite gerund door een gespecialiseerd bedrijf. Gespecialiseerde securitybedrijven hebben kennis van zaken en veel meer ervaring met incidenten dan individuele bedrijven en ze bieden uitdagender werk aan de benodigde cybersecurity-experts; een win-win situatie.’
Research
De outsourcing van IT is al lang gangbaar en veel bedrijven hebben die zelfs compleet uitbesteed. Dat gaat om zaken als IT-infrastructuur, software, onderhoud en helpdesk. Lans: ‘Ik zie dat deze bedrijven nu een stap verder gaan door ook de informatiebeveiliging uit te besteden. Het securityvraagstuk is voor hen te complex geworden. En het wordt steeds moeilijker om een cyberbeveiligingsteam samen te stellen met de juiste experts, gezien de huidige schaarste aan goede mensen. Daar komt nog bij dat bedrijven niet alleen mensen moeten zien binnen te halen, maar ook weten te behouden.’ Een extra uitdaging is het up-to-date houden van de securitykennis. ‘Dat vergt veel research, waar wij ons werk van hebben gemaakt en onze organisatie op hebben gebouwd. Die researchinspanning is voor veel bedrijven inmiddels te veel gevraagd. Het is een van de redenen waarom security bij veel bedrijven een sluitpost is geworden. Totdat zich een incident voordoet…’
Driehoeksverhouding
Natuurlijk kan de dienstverlener waaraan een organisatie haar IT heeft toevertrouwd, op zijn beurt de beveiliging weer uitbesteden aan een gespecialiseerd bedrijf. Lans ziet echter vaker een driehoeksverhouding: ‘Het bedrijf heeft een relatie met een IT-dienstverlener en besteedt daarnaast zelf de beveiliging uit aan een specialist. Want dat bedrijf heeft niet alleen behoefte aan een partij die al zijn online communicatie kan monitoren maar ook aan securityadvies. Als er tevens cloudpartners in het spel zijn, kan de security nog complexer worden. Zeker in zo’n situatie is het verstandig dat het bedrijf zelf de regierol houdt, ook om niet alle IT-verantwoordelijkheid bij één partner te leggen. Een externe securityspecialist kan niet alleen het bedrijf maar ook diens IT-dienstverlener scherp houden.’
Toenemende vraag
Zo ziet Lans zogeheten cyber defense centres ontstaan. ‘Een bedrijf krijgt misschien eens in de maand met een serieus incident te maken. Maar een securityspecialist zal voor een aantal bedrijven werken en veel vaker incidenten tegenkomen, die bovendien ook erg verschillend van aard zullen zijn. Daardoor worden de kennis en kunde van specialisten voortdurend in de praktijk getoetst. Alleen nog de heel grote organisaties zullen in een vergelijkbare situatie verkeren. Die hebben soms securityafdelingen die groter zijn dan heel Fox-IT.’ Voor andere bedrijven is uitbesteding een verstandige zet, wil Lans maar zeggen. ‘We zien de vraag bij de wat kleinere bedrijven dan ook toenemen.’
Fox-IT is over de volle breedte van het securityvraagstuk actief en beschikt in Delft over een security operations center dat 24/7 de security van klanten monitort. Daarnaast heeft Fox-IT een incident response team, dat optreedt in geval van cyberincidenten. ‘We komen graag in actie als het moet, maar het is natuurlijk veel beter om dreigingen proactief te signaleren en dan tegen te houden. Daar ligt voor ons ook een rol weggelegd: bedrijven adviseren over wat zij moeten doen om hun organisatie veilig te maken en te houden.’