Het is een beetje afhankelijk van de kosten die er aan
verbonden zijn. Als het voordeliger is om een ICT'er aan te
nemen met voldoende kennis en ervaring op het gebied van
Security, is het aan te raden de securiy zelf te regelen.

Bij kleine ondernemingen is dit vaak niet rendabel en voor
hen is het dan ook verstandig dit gedeelte uit te besteden
aan een 3e partij om zo toch de veiligheid te garanderen.

Het is in mijn ogen niet nodig alle aspecten v an de beveiliging van een
organisatie, zowel fysiek als informatiebeveiliging, in eigen beheer uit te
voeren. Inhuur van derden kan uitstekend functioneren, doch uitsluitend
als de organisatie zelf de eisen ten aanzien van de beveiliging goed en
eenduidig heeft gedefinieerd. Indien eisen goed gedefinieerd zijn, kan ook
de prestatie van de leverancier gemeten worden en afwijkingen in een
vroeg stadium gedetecteerd. Hierdoor is voor kleine en middelgrote
bedrijven een goede beveiliging haalbaar.

Beveiliging moet goed gebeuren. Als je het intern erg goed
kunt oplossen, doordat er voldoende capaciteit en kennis is,
moet je het vooral doen.
maar veel bedrijven missen vooral de kennis, maar ook de
mensen om het beveiligingsbeleid goed uit te voeren, en dan
is het erg raadzaam om dit uit te besteden.

Lijkt me voor kleine bedrijven geen optie. Expertise in
house hebben kost veel geld, je hebt sowieso minimaal twee
man(/vrouw) nodig, die moeten regelmatig op training en om
voldoende ervaring te houden moet er ook genoeg gebeuren
binnen het bedrijf. Voor grote bedrijven valt dit wel aan te
raden, maar dan in combinatie met externe audits en evt.
penetration tests.
Het drama van beveiliging is altijd dat als je het (erg)
goed doet er weinig van te merken is, dus je moet als
security specialist ook weer zorgen voor rapportages en
overzichten om aan te tonen hoe goed je je werk wel niet doet.

zelfde mening ja, voor kleine bedrijven is het gewoon niet
realistisch te verwachten dat ze dat allemaal zelf kunnen of
daarvoor eigen mensen gaan aanstellen.

Voor grote bedrijven kan het zelfs een voordeel zijn om een deel door een
ander te laten beheren, bijv. je IDS door een andere partij en je Firewall's
door jezelf. Op deze manier kan je wel zelf je beheer uitvoeren maar een
andere partij controleert je beveiliging.

En zoals de andere ook al zeggen. Als je het zelf goed kan dan moet je het
ook zelf doen. Echter denk ik dat veel bedrijven en beheerders wel eens
een te grote ego op dit vlak hebben. Bijv. 24x7 monitoring, maar gebeurt er
s'nachts ook actief iets? Worden zware incidenten ook direct opgepakt of
blijft het bij smsje?

Ik denk uiteindelijk dat de waarheid ergens in het middenlicht te vinden is
afhankelijk van de organisatie.

Als je te klein bent om het zelf te regelen, dan is het toch geweldig dat er
providers zijn die het voor je kunnen regelen? Zelfdoen wordt alleen
interessant als je bedrijf voldoende schaalgrootte heeft en als je IT een
kritiek onderdeel vormt van je bedrijfsproces. En soms moet je kwaliteit
van buiten inhuren, is helemaal niet erg.

Third Party Memorandum eisen en
daarnaast zelf ook regelmatig op bezoek gaan. En nooit je IT voor 100%
uitbesteden, altijd minimaal 1 man/vrouw overhouden die je IT partners
goed kan aansturen :-)

De stelling gaat er m.i. over of je de security in z'n
geheel moet uitbesteden aan een bedrijf dat dan al je
dataverkeer gaat filteren en beveiligen en zo, a la
Messagelabs. Misschien zijn er vergelijkbare bedrijven die
je firewall gaan runnen? Kahuna doet dat bijvoorbeeld.

De vraag is dus:
- moet je de hele zaak uitbesteden
- moet je de beveiliging in house draaien, met hulp van
externe deskundigen
- moet je het helemaal zelf doen.

Het lijkt me zoals Jeroen al zegt, dat het afhangt van de
grootte van de organisatie en het budget dat je hebt. Ik kan
me heel goed voorstellen dat een heel klein bedrjf zegt
"alles uitbesteden" en dat een multinational zegt "we doen
alles zelf".

Hoewel zelf doen natuurlijk heel mooi is, moet je de kennis
bij kleinere bedrijven niet overschatten. Voor kleinere
bedrijven is het niet lonend om de juiste kennis in te huren
of op te bouwen. Een extern bedrijf dat remote monitort is
dan handig en goedkoop.

Beveiliging zelf doen... Het netwerk van mijn werkgever is zo slecht
beveiligd, dat ik letterlijk de beveiliging van de computers die ik in beheer
heb zelf doe.

De kans dat je gegevens op straat komen te liggen is zo groot dat ik zelfs
surf via een SSL tunnel.

Het uitbesteden van beveiliging aspecten voor het bedrijfsleven is in steeds
grotere mate iets dat (bijna) vanzelfsprekend is.

Naar mijn bescheiden mening zou het voor velen een uitkomst zijn als deze
vanzelfsprekendheid ook van toepassing is op de computersystemen van
thuisgebruikers.

Gecompromiteerde systemen van thuisgebruikers zijn een potentieel risico
voor ondernemingen, als (grote) ondernemingen deel zouden nemen in het
beperken van dit risico zal dit resulteren in een kostenbesparing voor (grote)
ondernemingen en daarnaast werkgelegenheid creeren. Ook beperkt men
hiermee het risico van fraude via gecompromiteerde systemen van
thuisgebruikers.

Een Win, Win situatie?

B

imho moet het uitbesteden van security tot een minimum
beperkt worden. Externen hebben vaak weinig belang bij een
veilige klant. Ze willen $$.

Ook voor kleine partijen zal de basis moeten liggen bij het
bewustzijn van de gebruikers. Security is meer dan
eenFirewall en een virusscanner. Dat gedeelte kan alleen
vanuit de organisatie komen. Hoe kan dat volgens mij bereikt
worden:
- Security bewustzijn bij het management
- IT-ers met security kennis en een secure werkwijze
- Goede periodieke controles

Alleen bij het derde punt zo een externe partij betrokken
kunnen zijn.

Ja, en als je graag een dure Firewall en virusscanner wilt
hebben, dan kan je dat ook bij een externe partij aanschaffen.

Brunel heeft vandaag mensen zitten spammen.
Opzich geen probleem, je denkt je stuurt een mailtje terug.

Blijkt return path geen brunel.xxx te zijn.

Kijken wie die organisatie blijkt te zien, e.a. vaag kleine toko, die proberen
te bellen om te vragen hoe ze aan je gegevens zijn gekomen. Alleen een
externe telefoniste, die niet wil erkennen dat het een kleine bedrijfje is en
dat er niemand opneemt bij dat bedrijf.

Vervolgens Brunel bellen, vragen naar security officer of privacy officer,
hebben ze niet, door verbonden met legal, zelfde vraag stellen. Weet niet
van bestaan van een dergelijke functie.

Aangegeven waar het om gaat, mevrouw begrijpt niet zal intern gaan
rondvragen.

Voor de zekerheid nummer bellen dat in mailtje staat, wel brunel, maar
niet de betreffende individu, daar vragen naar security/privacy officer. Weet
wel dat zo een functie zou moeten bestaan maar weet niet wie binnen hun
organisatie, krijg een naam en nummer van iemand.

Blijkt project manager te zijn, die weet te vertellen dat Brunel veel heeft
geoutsourced, maar weet ook niet wie de rol van security/privacy officer
heeft. Vervolgens naam en nummer van hoofd automatisering.

Deze man zag geen probleem in het spammen gedeelde en zag niet in dat
het verstrekken van persoonlijke gegevens aan derden zonder
toestemming verboden is.
Op verzoek mailtje met probleemstelling gemaild.

Moreel van dit verhaal indien je dingen uitbesteed onderzoek dan wel
welke juridische en morele verplichtingen je zelf blijft behouden, want
outsourcen ontslaat je niet van je verplichtingen.

Enfin, zoiets verwacht je niet van een organisatie als Brunel.