image

"MSS zijn een dienst, geen verzekeringspolis" (Interview)

woensdag 27 september 2006, 16:48 door Redactie, 2 reacties

Deze week draait om managed security services providers. We hebben al gekeken wat de voor- en nadelen zijn, maar wat hebben MSSPs zelf te melden? Waar moeten bedrijven op letten. hoe ga je als MSSP om met een andere bedrijfscultuur en kun je beter alles uitbesteden of slechts een gedeelte? Wij vroegen het Jos Nijsen, Managing Director van Internet Security Systems Benelux.

Waarom kies je er als bedrijf voor om je beveiliging te laten managen, zulke essentiele bedrijfsonderdelen wil je toch binnenshuis houden?

Nijsen: Beveiliging is heel zeker essentieel maar het is een grote misvatting te denken dat je als bedrijf, door te opteren voor een managed beveiliging, de controle zou verliezen over die beveiliging. Een degelijke MSSP (Managed Security Services Provider) zet niet enkel de beste security experten in om van op afstand het netwerk zijn klant te beveiligen, hij zorgt er tevens voor dat alle beveiligingsinformatie (events, incidenten, requests, updates, ...) via een centrale toegang beschikbaar blijft voor de eindgebruiker. Bij ISS is de MSS Portal de hoeksteen van de service en blijft de klant de controle houden.

Vandaag is de meest voorkomende reden om buitenhuis te gaan gebrek aan security expertise. Als bedrijf wordt het steeds moeilijker om dure security experten in dienst te hebben en te houden.
ISS heeft vandaag vele duizende sensoren onder management. Die sensoren staan opgesteld in de netwerken van onze klanten, verspreid over zowat de hele wereld. Dit betekent dat de ISS operators continu met de meest uiteenlopende aspecten van beveiliging worden geconfronteerd en dat zij zich in een steeds vernieuwend leerprocess bevinden. Ook al heb je als bedrijf de beste mensen aangeworven, gelijke tred te houden met de wereld van de hackers is voor hen niet mogelijk. Bovendien staan deze individuele experten steeds alleen in hun analyse wanneer zich een nieuw incident op het netwerk voordoet. Zij kunnen niet terugvallen op de ervaring van collega’s of hun probleem escaleren naar gespecialiseerde teams.

Een tweede, snel groeiende, reden om een MSSP aan te spreken is “compliancy”. Steeds meer bedrijven worden door de overheid, vakorganizaties, partners, zusterbedrijven, ... gedwongen een bepaald niveau van beveiliging te hebben om onderling te communiceren. Het uitbesteden van de beveiliging aan een MSSP bezorgt hen die certificatie.

Tenslotte nog dit. Een gevestigde MSSP biedt verschillende niveaus van outsourcing; gaande van het analyzeren en centraal rapporteren van de security informatie van de klant, over het monitoren en escaleren van incidenten tot en met het volledig management van een netwerk segment (al dan niet met een garantie voor beveiliging – zie verder). Indien een bedrijf wenst zijn beveiliging toch binnenshuis te houden, en daar dan ook de nodige investeringen wil voor opbrengen, kan het nog steeds opteren om de MSSP “over de schouder te laten meekijken” of om tijdelijk (’s nachts of tijdens het weekend) expertise bij te vragen (Securty on Demand).

Kies je voor managed security, dan ben je dus altijd afhankelijk van een aanbieder?

Nijsen: Tot op een bepaald niveau is dit correct. Daarom is het ook erg belangrijk de juiste keuze te maken. Bij ISS staat elke service (denk bijvoorbeeld aan een Managed & Monitored Firewall) duidelijk beschreven in een “Service Description”; een document van een pagina of 30 waar precies wordt opgesomd wat de service omvat en wat niet. Bij een Service Description horen SLAs (Service Level Agreements) die weerom eenduidig bepalen welke penaliteiten zullen gelden indien een welbepaald engagement of commitment niet werd behaald.
Service contracten worden afgesloten voor 12, 24 of 36 maanden. Sommige klanten verkiezen aan te vangen met een kortere periode om zo de MSSP beter te leren kennen en/of de mogelijkheden van de service te ontdekken. Aan het einde van de eerste periode stapt men dan over op een langere, en mbt de maandelijkse service fee goedkopere, service.

Omdat bedrijven kunnen groeien, downsizen of fuseren is voortijdige beëindiging van de service altijd mogelijk. De Service Description moet daarom ook duidelijk omschrijven wat er zal gebeuren bij eventuele stopzetting (op welke manier worden devices losgekoppeld van de MSSP, welke informatie wordt terug aan de klant bezorgd en onder welke vorm, ...) en de eventueel daaraan gekoppelde kosten.

Hoe manage je iemand anders z'n beveiliging. Het gaat tenslotte om een ander bedrijf, andere cultuur en omgeving?

Nijsen: Wanneer beveiliging professioneel wordt aangepakt valt op dat er eigenlijk heel wat gemeenschappeijk is over de verschillende klanten heen. (Om efficiënt te werken zal elke MSSP trouwens continu trachten de standardizatie verder door te voeren). Belangrijk voor een succesvolle MSSP echter is dat de unieke specificiteit van elke eindgebruiker niet verloren gaat.

Bij ISS wordt daarom de grootste zorg besteed aan de initiële faze of “deployment”. Een dedicated deployment engineer begeleidt de klant bij het in productie brengen van een of meerdere services. Eén van de stappen die doorlopen wordt is de “Information Gathering” waarbij heel wat essentiële informatie (netwerk diagramma’s, inventaris van de te beschermen assets, criticiteit van de assets, te volgen escalatieroutines, wie te bellen bij incidenten en op welke nummers, ...) wordt overgedragen naar ISS. Al deze informatie is op elk ogenblik on-line toegankelijk voor de security experten tijdens het monitoren en managen van het netwerk van de klant. Tijdens de looptijd van de service krijgt de klant ook een Customer Relation Manager toegewezen. Deze CRM behartigt de belangen van de klant intern bij ISS. Hij of zij zal er voor zorgen dat datgene wat de klant uniek maakt door de operators wordt nagevolgd.
Tenslotte worden op regelmatige tijdstippen conf call sessies opgezet tussen de SOC teams en de eindgebruiker om de service steeds opnieuw te verfijnen en aan te passen aan de (wijzigende) behoeften van de klant.

Waar moeten bedrijven op letten als ze hun beveiliging willen uitbesteden en is het raadzaam om toch een gedeelte zelf te doen, of is het beter om alles uit handen te geven?

Nijsen: Hangt echt af van geval tot geval. Heeft de klant de expertise in huis en vindt hij de investeringen in deze non-core activiteit aanvaardbaar?
(Zie ook de laatste paragraaf van antwoord op vraag 1).
Allerbelangrijkste is een MSSP te selecteren met een brede waaier aan services, met voldoende fianciële stabiliteit en slagkracht en die een grote reputatie op gebied van security en MSS geniet.

Wat als een bedrijf dat haar beveiliging heeft uitbesteed gehackt wordt. In hoeverre kan dit bedrijf zich dan achter de managed security aanbieder verschuilen?

Nijsen: Managed Security Services zijn een dienst, geen verzekeringspolis tegen cyber attacks. Wel bieden welbepaalde verzekeringsmaatschappijen een polis aan tegen sterk verlaagde premies op voorwaarde dat het netwerk door ISS wordt beveiligd.
Uniek in het aanbod van ISS is dat er naast de traditionele MSS, waarbij in het geval van een niet nageleefde SLA een premie wordt terugbetaald, ook een Managed Protection Service (MPS) bestaat waarbij ISS de beveiliging van het netwerk (of segment) garandeert. Indien deze garantie zou doorbroken worden is de volledige service voor die bewuste maand gratis (met een maximum van 25.000 US$).

Vertrouwen is een sleutelwoord als het gaat om het managen van beveiliging, een mooi woord, maar hoe kun je nu als bedrijf er zeker van zijn dat ingehuurde aanbieders hun zaakjes op orde hebben?

Nijsen: Er bestaan een aantal certificaties welke een MSSP kan verwerven. Zo is ISS “SysTrust” en “SAS70” certified. De MSSP kan een dergelijke certificatie aanvragen bij een derde (neutrale) partij (veelal een van de grotere audit bedrijven). Deze zal de MSSP doorlichten en ter plekke komen bekijken of de MSSP al dan niet voldoet aan de criteria (met uiteenlopende onderwerpen zoals “screening van personeel om te garanderen dat de experten bonafide zijn en geen hackersverleden hebben”, “welke fysieke toegangscontroles zijn er om de SOC binnen te gaan” of “welke back-up en uitwijkmogelijkheden zijn aanwezig”). Wanneer de MSSP voldoende scoort op alle onderdelen wordt de certificatie voor de duur van een jaar afgeleverd.

Hoe voorkom je dat als je als managed service provider gehackt wordt, de aanvaller niet meteen toegang heeft tot de firewalls en andere appliances van alle klanten?

Nijsen: Met de expertise van ISS en de bovenvermelde certificaties is de kans dat een MSSP zoals ISS zou worden gehackt uiterst klein. Maar zelfs in het geval een hacker zich een weg zou weten te verschaffen tot de kern van het systeem blijft elke klant op zich nog gescheiden van de anderen, met andere paswoorden, encrypties, communicatie kanalen en etc. Bovendien zijn de SOC operators opgesplitst in een matrix-structuur met meerdere niveaus. Hierdoor is het niet mogelijk dat een bepaalde medewerker (of hacker) een wijziging bij een klant zou kunnen doorvoeren zonder de controle of formele verificatie van een superieur.

Kun je een aantal veel gemaakte fouten noemen die bedrijven maken bij het uitbesteden van hun beveiliging?

Nijsen: Een MSSP kiezen zonder strategie en/of roadmap voor de toekomst waardoor men snel bij een andere partij moet gaan aankloppen.

Wat moet een bedrijf zich afvragen als het de beveiliging of een deel hiervan wil uitbesteden?

Nijsen: Wat zijn mijn doelstellingen op korte termijn (een bepaald segment beveiligd zien? Een certificatie halen? ..) en op middellange termijn (het totale risico verlagen? De beheerskosten van beveiliging drukken? Betere controle over hoe beveiliging in de verschillende vestigingen van mijn bedrijf wordt uitgerold?).

Welke bedrijfsonderdelen kunnen beter niet uitbesteed worden?

Nijsen: Geen

Reacties (2)
28-09-2006, 11:06 door Anoniem
Vandaag is de meest voorkomende reden om buitenhuis te gaan
gebrek aan security expertise

Hier ben ik het helemaal mee eens en komt ook vanwege de vergrijzing
van de ict opleidingen deze tijd denk ik. Doordat de verranderingen van de
ict zo snel gaan en de ict opleidingen zelf niet verranderingen.Om een
voorbeeld te geven zitten we nu in 2006 en zie ik het niet waarom je
als je een mbo of hbo opleiding de werking van een coax netwerk
moet kennen die allang niet meer in productie is. Wanneer iemand is
aangenomen bij een bedrijf moet deze allemaal cursusen gaan volgen
wat een bedrijf enorm veel geld kost gaat dit ten kosten van de expertise.

En dit vergroot het risico dat onprofecionele mensen taken uitvoeren
waarvan een bedrijf zelf denken dat het netwerk goed genoeg en
betrouwbaar is.En hier schuild een enorme bedreiging voor een
bedrijf.Want wanneer er een hacker dan op het netwerk komt en eenmaal
bezig is op een netwerk zit er een mogelijkheid in dat dan een netwerk
beheerder gewoon totaal geen idee heeft dat er iemand op een netwerk zit.
Met alle gevolgen van dien.En de ravage pas toon baar is achteraf het
bedrijf met enorme kosten wordt opgezadeld.Wat al eigenlijk te verkomen
was.

Ik denk waneer een security profecionals om de zo veel tijd bij een bedrijf
kunnen kijken of er iets gaande is dit een bedrijf enorm veel geld kan
besparen en zo serieuse bedreigingen eerder opgespoort kunnen worden.
Zo zou een klein bedrijf die niet veel geld heeft voor 24 uur netwek analyze
misschien wel eerder overstag gaan om een vaker profecionals in te
huren.

Een ander alternatief zou kunnen zijn een centrale voor security
profecionals die netwerk beheerders kunnen bellen wanneer ze
vermoeden of denken dat er een probleem zich voor doet. En zo
ook eerder een probleem kunnen worden opgelost.
29-09-2006, 10:53 door Anoniem
Mijn excuses trouwens trouwens voor de reactie hierboven ik was nog al
vermoeid.Maar wat ik eigenlijk bedoelde met het volgende

Wanneer iemand is
aangenomen bij een bedrijf moet deze allemaal cursusen gaan volgen
wat een bedrijf enorm veel geld kost gaat dit ten kosten van de expertise

Moest zijn "Wanneer iemand is aangenomen bij een bedrijf moet deze
allemaal cursusen gaan volgen wat een bedrijf enorm veel geld kost
en vaak hiervoor het geld niet beschikbaar wil stellen wat ten kosten gaat
van de expertise"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.