image

Column: Een goed idee is niet genoeg

woensdag 27 september 2006, 09:56 door Redactie, 1 reacties

Managed Security - mijn gedachten gaan terug naar de tijd dat Gartner dit concept een grootse toekomst voorspelde. In 2002 voorzag Gartner dat Managed Security het grootste segment zou worden van de totale Infosec. En in 2003 heette het dat in 2005 60 % van alle grote bedrijven delen van de bewaking zou hebben uitbesteed.

Nu, vier jaar later, leven we nog steeds onder het juk van de dozenschuivers en dominees: het leeuwendeel van de taart gaat naar leveranciers en adviseurs. Blijkbaar ging er iets vreselijk mis? Nee hoor. Ik voorspel - à la Gartner "met een waarschijnlijkheid van 90%" - dat in 2010 Managed Security nog steeds een zeer beperkte nichemarkt zal zijn die juist hoofdzakelijk kleine en een paar middelgrote bedrijven bedient.

Uitbesteding is in de praktijk vaak een vlucht naar voren. We doen niet meer zelf wat toch al niet lukte! Een andere reden voor uitbesteding is dat het elegante manier kan zijn om van een vergrijsde en uit haar krachten gegroeide IT-afdeling te komen. Ze doen niet wat we willen maar de markt zal ze wel leren. Bovendien geldt bij dit soort uitbestedingen een omgekeerde gouden handdruk: de organisatie krijgt geld toe en ze hoeven ook niet langs het UWV voor een aanvraag voor collectief ontslag.

Voor beveiliging zijn dit soort redenen niet aan de orde. Niets doen, of een beperkte symboolpolitiek voeren werkt meestal prima. Het is bovendien goedkoop, dus dat houd je dan maar binnenboord. De enige situatie waarin je zult besluiten structureel beveiligingstaken uit te besteden, is als je toch al georganiseerd omgaat met beveiliging. Dit vraagt een behoorlijke maturiteit van de ICT en haar relatie met het bedrijf. De basis moet stevig zijn: een behoorlijk inzicht in wat van waarde is, van wat er eigenlijk allemaal is aan data en infra, een structureel budget en een heldere verdeling van rollen, taken en
verantwoordelijkheden. Als de organisatie hiermee vervolgens afdoende ervaring heeft opgedaan, wordt het wellicht mogelijk te bepalen of en zo ja, welke, bewakingstaken en beveiligingsrollen zich lenen voor uitbesteding.

Op zich is Managed Security een goed idee. Je legt immers voor een aantal jaren vast dat een bewakingsfunctie door een professionele partij wordt uitgevoerd. Maar een goed idee is niet genoeg.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (1)
    06-10-2006, 10:37 door Anoniem
    Het grootste voordeel van managed security is m.i. dat de
    interne it-afdeling veilig kan vingerwijzen naar de andere
    partij. Ze hebben immers op papier alles prima geregeld
    (sla, ola, en een x aantal <foo>managers). Het leuke bij
    effect is dat zo een onbekende faktor (wat is de aanval van
    morgen) ineens managable lijkt te zijn, en het uitmanagen
    van risico verpakt in een elevator-pitch doet menig
    <foo>-manager rustig verder slapen.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.