In de recent verschenen Automatiseringsgids nr. 48 staan diverse interessante artikelen over het outsourcen van IT-activiteiten. De AG-artikelen gingen niet specifiek over beveiliging maar de zaken die werden genoemd zijn de moeite waard om eens te bekijken in het licht van Managed Security Services.

Managed Security Services ontstonden zo'n 10 jaar geleden. De primaire
redenen voor de vraag ernaar waren:

• Het groeiende specialisme van het security vakgebied.
  
• Internet werd onderdeel van het bedrijfsproces en dus gingen zaken als continuiteit spelen.
  
• En last but not least: het wegvallen van algemene IT-beheerkennis en tijd.

In de eerst jaren van deze eenvoudige vorm van outsourcing waren er weinig problemen: het beveiligen van een organisatie was een kwestie van een firewall aan de rand van het netwerk plaatsen, een policy afspreken met de klant en dan het spul bewaken en ingrijpen als er problemen zijn. Maar bedrijven wisselden huurlijnen in voor VPN's, thuiswerken werd populair en nieuwe, meer risicovolle, toepassingen werden ontwikkeld. Denk aan VoIP, Chatten, PDA/Smartphone synchronisatie via Internet enzovoort.

Deze ontwikkelingen eisen dat de beveiliging van de IT-infrastructuur niet langer meer alleen maar via de perimeter geregeld moet worden. De beveiliging moet liefst niet alleen op de hele IT van toepassing zijn, maar er zelfs vanaf de bodem in verweven zijn. Natuurlijk hoort er een IT-kreet bij deze holistische visie: Unified Threat Management.

En daar beginnen de problemen. Bij het outsourcen raakte de opdrachtgever een redelijk overzichtelijk probleem “kwijt” voor een te voorspellen hoeveel geld. Doordat de IT beveiliging echter ook intern in de organisatie ging spelen, kregen de IT-managers het probleem weer terug op hun bord al realiseerden ze zich dat pas na incidenten of omdat er wensen ontstonden die niet in de afgesproken diensten waren afgedekt en dus extra geld dreigden te gaan kosten.
Een tweede probleem is dat bij veel organisaties informatiebeveiliging een relatief onbegrepen fenomeen is. Door gebrek aan sturing en betrokkenheid vanuit het management nemen veel IT-beheerders zelf maar maatregelen om de boel toch maar draaiende te houden. Die maatregelen sluiten niet per se aan bij de Managed Security Service en uit kostenoverwegingen is het vaak niet mogelijk de leverancier van die dienst structureel te betrekken bij de veranderingen die de organisatie eigenlijk nodig heeft.

Kan het erger? Helaas wel. Vanwege vele redenen, waaronder de bovenstaande worden IT afdelingen vaak beschouwd als oncontroleerbare eilanden met veelal eigenwijze mensen. Het uitbesteden gaat dan ook nog een stapje verder: werkplek- en netwerk-automatisering worden ook uitbesteed waarbij de dienstverlener vaak die lastige IT afdeling overneemt. De klant is in eerste instantie blij maar vaak zijn de marges van de dienstverlener zeer mager, moeten CAO's worden overgenomen en zijn er behoorlijk wat negatieve sentimenten bij de overgenomen IT-ers dus de dienstverlener heeft een uitdaging...

Het is met outsourcing eigenlijk net als met fusies: er zijn er maar weinig die werkelijk succesvol zijn. Is dat allemaal per se negatief? Wel als de outsource-motivatie is dat zo de lastige problemen zullen verdwijnen. En daar zit de crux. Want problemen verdwijnen niet als ze uitbesteed worden. Ze komen vroeg of laat weer terug (bij de uitbesteder). Meestal is dan de relatie met de dienstverlener al niet best meer.

Wat kan een organisatie dan wel doen om succesvol uit te besteden? Wat tips:

• Zorg dat de regie bij de uitbesteder blijft. Een organisatie die de regie uit handen geeft en/of eist dat een SLA in steen gehouwen is, werkt niet aan de relatie met de dienstverlener.
  
• Sta van beide zijden op regelmatig overleg. Dat kost geld, bezuinig er niet op, dus regel het van te voren.
  
• Word als dienstverlener onderdeel van het informatiebeveiligingsproces of zorg dat zo'n proces op gang komt.
  
• Probeer overgenomen IT-ers zo snel mogelijk aan andere accounts te laten werken, haal ze na een afgesproken periode weg bij de infrastructuur van hun oude werkgever. Daarmee wordt afgedwongen dat er met een onbevooroordeelde blik wordt gekeken naar de status quo. Vaak worden de betrokken ex-medewerkers er ook gelukkiger van.

Bovenstaande maatregelen kosten geld, Pas als het top-management betrokken wordt en het belang van informatiebeveiliging ziet, wordt de prijs van dienstverlening ondergeschikt gemaakt aan de kwaliteit en worden oplossingen uitbesteed in plaats van problemen.

Door Leo Willems, Chief Security Officer van TUNIX Internet Security & Opleidingen