10 jaar van MSSP

"Verandering is de enige constante", is het bekende citaat van de Griekse filosoof Heraclites. En hij heeft gelijk. Als deze stelregel ergens geldt, dan is het wel in het domein van Network Security platforms, applicaties, tools en in het bijzonder de managed services waarin deze worden toegepast.

Niet alleen hebben de onderliggende technologieën een snelle consolidatie en transformatie ondergaan, ook de MSSP'S van vandaag vertonen maar weinig gelijkenis met die van vroeger. Pakweg tien jaar geleden – toen het fenomeen MSSP opkwam - kon de MSSP volstaan met het bieden van een managed firewall en VPN om succesvol te zijn. De klanten profiteerden van de vele voordelen van de outsourcing van deze complexe materie, hetzij doordat ze de kosten van hoogwaardige, schaarse en dure expertise die nodig is om een 24x 7 x 365 uur veilige infrastructuur in de lucht te houden wilden beperken, hetzij doordat ze hun schaarse mensen wilden richten op het identificeren en invoeren van nieuwe security technologieën. MSSP’s genoten commercieel succes, wat hen in staat stelde hun mogelijkheden uit te breiden en ongeveer dezelfde productstrategie te volgen als hun klanten.

Zo’n zeven jaar later is internet diep doorgedrongen in de haarvaten van elke organisatie. Steeds meer bedrijven hebben internet aangewend voor de ondersteuning van steeds complexere IP-gebaseerde applicaties. De MSSP kon zijn profijtelijke managed firewall en VPN-diensten uitbreiden met nieuwe managed services zoals Web Filtering en Antispam, Intrusion Detection (IDS) en later Intrusion Prevention (IPS), en een hele vracht aan nieuwe diensten op het vlak van security ontwerp, assessment en beleid. Stilletjes aan kwamen ook traditionele Telco’s en Service Providers in alle vormen en maten – NSP, ASP, ISP, telewerken, hosting – hetzij op eigen kracht hetzij door middel van acquisitie met managed security proposities. De eindgebruikers werden daardoor in staat gesteld om hun security infrastructuur in grote stukken of in zijn geheel uit te besteden. Dit bracht het managed security concept vanuit een niche naar het hart van bedrijven van allerlei omvang en gedaante.

Momenteel zijn we weer drie jaar verder. De veranderingen zijn in nog hoger tempo doorgegaan. De security markt laat snelle consolidatie en convergentie zien van technologieën en managed services. Terwijl de gespecialiseerde pure play MSSPs – degenen die uitsluitend managed security services bieden aan een selecte klantengroep – wereldwijd nog steeds groeien, worden ze toch gezien als nog meer nichespeler dan ze in de aanvang al waren. Termen als best of breed en laser focus worden vaak gebruikt om dergelijke MSSPs te kenschetsen. De behoefte aan dedicated, security only outsourcing bestaat vandaag de dag in ruime mate. Dergelijke enkelvoudige dienstverlening is vaak de juiste keuze voor eindgebruikers ten gevolge van compliancy eisen, bestaande contractuele verplichtingen of andere aspecten van hun infrastructuur en resources. De grootste verandering van de MSSP- markt in de afgelopen drie jaar komt voort uit het feit dat de Telco’s en andere service providers na een rustige entree in de MSSP-markt nu op volle kracht managed security services ontwikkelen of uitbreiden tot aantrekkelijke oplossingen bovenop producten zoals access, private networking, hosting, datacenter, VoIP, mobility, WiFi LAN / HotSpot, mobiele telefonie – de lijst is oneindig. Door dergelijke services complementair aan andere gebundelde oplossingen aan te bieden wordt one stop shop outsourcing van complete bedrijfsfuncties aantrekkelijker dan ooit tevoren voor ondernemingen van klein tot heel groot. De mogelijkheid om slechts een point of contact te hebben voor de gesmeerde operatie van vele verschillende en complexe technologieën, en door een enkele provider op een kosteneffectieve manier beleverd en gefactureerd te worden is in veel gevallen een optie die niet langer te vermijden valt.

MSSP Best Practices
Dat alles gezegd zijnde staat u misschien voor de keuze hoe u uw beveiliging wilt outsourcen. De overvloed aan buzz words, hype en de voortdurende stroom aan waarschuwingen over opkomende dreigingen, de complexiteit van uw infrastructuur en de veelheid aan bedrijfsapplicaties maakt die keuze niet gemakkelijk.

Diverse vragen moeten worden beantwoord door de providers op uw shortlist voordat u een leverancier kiest aan wie uw security uitbesteed:

Welke onderliggende infrastructuur gebruikt deze om de Managed Security Services te kunnen leveren; is die infrastructuur in staat ook bescherming te bieden tegen de toekomstige bedreigingen van uw business? Wees ervan verzekerd dat alle opkomende dreigingen van toepassing zijn op uw bedrijf en dat u dringend behoefte zult hebben om specifieke dreigingen in te dammen. Het in kaart brengen van uw complete set aan applicaties en infrastructuur om vast te stellen welke managed services u precies nodig heeft is bepaald een uitdaging. Om beschermd te zijn tegen hetzij onbekende of onkenbare aspecten van uw huidige of toekomstige infrastructuur dient u zich ervan te vergewissen dat het platform dat uw provider gebruikt multi-services ondersteunt. Afzonderlijke security technologieën zijn zo snel geëvolueerd van enkelvoudige tot zeer complexe producten dat u om ze te doorgronden maanden aan security publicaties moet doornemen en de diverse opinies moet afwegen, terwijl u van meet af aan uitstekend geholpen bent met een veelzijdig security product. Vergewis u ervan dat uw managed security provider een platform gebruikt dat hem in staat stelt mee te bewegen met het dynamische karakter van de markt.

Mijn behoeften worden gedreven door slechts een paar applicaties, waarom zou ik dan een hele suite aan services afnemen? Laten we bij wijze van voorbeeld aannemen dat u een VoIP-implementatie in het verschiet heeft. Waarom zou u zich dan ook bezighouden met security? Aangezien het project in eerste instantie is gericht op data/spraak-conversie met outsourced IP als einddoel, komt security in veel gevallen pas achteraf. Extra security risico’s komen echter nooit achteraf, ze zijn er onmiddellijk. Het is veel kosteneffectiever om beide oplossingen – VoIP en security - direct af te nemen van de provider dan om later terug te komen om security er nog eens bij te nemen. Stel vast of er een groter risico is voor uw infrastructuur. Zo ja, kijk dan naar gebundelde VoIP + MSSP als de snelste weg naar de meest kosteneffectieve oplossing. Hetzelfde geldt voor andere managed services die u van plan bent in te voeren. Neem direct de security mee in de overwegingen.

Ik denk erover mijn complete applicatie-, WAN-, data- en telecominfrastructuur te outsourcen; zijn de oplossingen van de leverancier breed genoeg om daaraan tegemoet te komen? Ook al is het misschien nu nog niet voor de hand liggend, toch zijn er veel componenten van uw business die in aanmerking komen om onder het beheer van een managed services provider gebracht te worden. Weeg echter de voor- en nadelen af van het uitbreiden van een op zich al complex outsourcing project met de kosten van een serie aan additionele complexe projecten. In veel gevallen valt er niettemin veel te winnen met het outsourcen van het management van diverse aspecten van uw infrastructuur en uw security-behoeften aan een provider. Over het algemeen is gebleken dat dit de kosten drukt en de tijd verkort van het uitrollen van nieuwe, of het upgraden van bestaande systemen en applicaties.

De belangrijkste factor in het evalueren van een MSSP – ongeacht of dit een pure play MSSP is of een brede Managed Services Provider met een suite van multi-threat security services en meer, is vertrouwen. Vertrouwen neemt vele gedaanten aan. U moet erop kunnen vertrouwen dat uw provider het juiste niveau aan risicovermijding weet te bieden. Is er genoeg kennis en capaciteit aanwezig om u onderbouwde en gedetailleerde antwoorden te geven op bovenstaande vragen? Dan is dat de belangrijkste eerste stap richting een positieve outsourcingstraject van uw security behoeften aan een MSSP.

Door Harm-Jan Arendshorst, Manager Fortinet Benelux.