"Beveiliging is een bijkomende zorg" (Interview)
Deze week draait om managed security services providers. We hebben al gekeken wat de voor- en nadelen zijn, maar wat hebben MSSPs zelf te melden? Waar moeten bedrijven op letten. hoe ga je als MSSP om met een andere bedrijfscultuur en kun je beter alles uitbesteden of slechts een gedeelte? Wij vroegen het Marco Geerinck, Vice President Sales van Consul risk management.
Waarom kies je er als bedrijf voor om je beveiliging te laten managen, zulke essentiële bedrijfsonderdelen wil je toch binnenshuis houden?
Geerinck: Beveiliging is geen core competency van een bedrijf, het is een bijkomende zorg. IT security is ook schieten op een bewegend target en daarom heeft het steeds veel tijd en investering nodig.
Kies je voor managed security, dan ben je dus altijd afhankelijk van een aanbieder?
Geerinck: 1 aanbieder? Ja, men heeft IT security gespecialiseerde service providers maar men kan ook security outsourcen aan de algemene OT outsourcer (ATOS, IBM, Getronics).
Hoe manage je iemand anders z'n beveiliging? Het gaat tenslotte om een ander bedrijf, andere cultuur en omgeving?
Geerinck: Afspraken van duidelijke SLA’s maken en deze per kwartaal bespreken. Het bedrijfsspecifieke beveiligingsbeleid zal door het bedrijf zelf up to date gehouden moeten worden en moeten worden gecommuniceerd aan de service provider.
Waar moeten bedrijven op letten als ze hun beveiliging willen uitbesteden en is het raadzaam om toch een gedeelte zelf te doen, of is het beter om alles uit handen te geven?
Geerinck: Security word vaak gezien als een verzekering waar men aan het eind van de outsourcingprocedure aan denkt. Dan gaat men hierop bezuinigen, omdat de budgetten op zijn. Dit moet men ten eerste voorkomen.
Daarnaast moet men een duidelijk beveiligingsbeleid definiëren en de security provider moeten ten alle tijde controleren op de uitvoering van security (dit d.m.v. dagelijkse/wekelijkse/maandelijkse rapportage). Dit laatste kan m.b.v. Consul Insight security manager.
Wat als een bedrijf dat haar beveiliging heeft uitbesteed gehackt wordt. In hoeverre kan dit bedrijf zich dan achter de managed security aanbieder verschuilen?
Geerinck: Dat ligt helemaal aan het contract tussen de klant en de provider.
Vertrouwen is een sleutelwoord als het gaat om het managen van beveiliging, een mooi woord, maar hoe kun je nu als bedrijf er zeker van zijn dat ingehuurde aanbieders hun zaakjes op orde hebben?
Geerinck: Dit kan door metingen, SLA afspraken en rapportage.
Hoe voorkom je dat als je als managed service provider gehackt wordt, de aanvaller niet meteen toegang heeft tot de firewalls en andere appliances van alle klanten?
Geerinck: Door goede interne security. Het moet natuurlijk niet zo zijn dat wanneer een hacker binnenkomt hij meteen bij ALLE aanwezige data kan komen (dit kan ook in de werkelijkheid niet!).
Kun je een aantal veel gemaakte fouten noemen die bedrijven maken bij het uitbesteden van hun beveiliging?
Geerinck: De grootste fout is dat ze er niet aan denken om over security te praten. Veel bedrijven outsourcen hun IT en hebben geen controle over de security. Ook bij de meeste outsourcers is security een kostenpost waarvoor de klant niet betaalt en dus wordt verwaarloosd.
Security is een bewegend doel dus men moet dit periodiek aanscherpen. Een eenmaal geïnstalleerde firewall moet zeer vaak ge-update worden en het beveiligingsbeleid dient continue aangescherpt te worden.
Geen definitie van welke gebruikers mogen wat met de data en hoe controleer je dat?
Geerinck: Bij elk bedrijf zijn er zogenaamde supergebruikers, ofwel de priviliged users. Dit zijn gebruikers met speciale rechten, die toegang hebben tot het gehele netwerk (zoals de beheerders). De vraag is “wie controleert deze mensen?”
Wat moet een bedrijf zich afvragen als het de beveiliging of een deel hiervan wil uitbesteden?
- Hoe veilig moet je zijn als bedrijf?
- Heb ik de kennis in huis ja of nee?
- Heeft de managed service provider werkelijk de kennis in huis (van mijn bedrijfsspecifieke beveiliging?)
- Is dit een beslissing voor 2-3 jaar minimaal ja of nee ? Indien nee, niet doen.
- Wat is, als ik aan beveiliging denk, mijn grootste nachtmerrie en hoe kan ik die het best voorkomen, intern - extern?
Geerinck: Hierover heb ik geen mening, met goede contractuele afspraken kan alles afgedekt worden, maar het draait om controle. Bewijs dat je ‘in control’ bent.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.