Durf je security management uit te besteden!
Het is zover, Beatrix besteedt haar koningschap uit. ‘Koning
Willem Alexander’ en ‘koningsdag’ daar zullen we aan moeten wennen. Dat ze 75
jaar wordt en dat Nederland 200 jaar een koninkrijk is lijken aanwijzingen dat ze
bewust het stokje overgeeft aan haar zoon, de ‘Prins van Oranje’. De vraag is
of er voldoende criteria tegen het licht gehouden zijn om te spreken van een ‘weloverwogen’
beslissing.
Gesteund door Maxima, heb ik wel vertrouwen in de komende 33
jaar met Lex. Met een gedegen microkredietaanpak weet Lex prima de spaarpotten
van de prinsesjes te managen. Ook de waterschappen zullen opleven onder het
bewind van de Global Water Manager Lex. Alleen nog maar Chaudfontaine en Vittel
uit de kraan!
De vraag is hoeveel vertrouwen jij hebt in je Managed
Security Provider?
Sinds de jaren negentig zijn IT-managers naarstig op zoek
naar de goedkoopste en meest efficiënte beheeroplossingen voor hun IT-infrastructuur.
Operational Excellence maakt dat op procesmatige wijze afwijkingen van de norm
zo goed mogelijk worden voorkomen. Veel IT-beheer wordt geoutsourcet naar lage-lonen-landen.
Dit werd in 2003 nog eens aangemoedigd door een artikel van Nicholas Carr ‘ITdoesn’t matter’.
Nu wil je als klant echter ook wel eens buiten de grenzen
van het ‘wurgcontract’ met je outsourcingspartner treden. Klassiek neemt die
partner voor de laagste prijs het beheer van de bestaande IT-infrastructuur
over. Daar staat tegenover dat iedere wijziging extra geld kost en enorm veel
ophef oplevert om door te voeren. Standaardisatie voert de boventoon, en jij
wilde voor een dubbeltje op de eerste rang zitten.
Een beetje Fyra-gevoel bekruipt mij hier toch wel!
Laten we eens kijken naar IT-security.
Security betekent in veel gevallen vertrouwen. Lekken we
geen gevoelige data? Is het klantenbestand wel versleuteld? Mag die persoon wel
bij die informatie? Hoe weten we zeker dat onze outsourcingspartner geen
ongeoorloofde acties uitvoert op de systemen? Hoe weet ik zeker dat het Elektronisch
Patiënten Dossier onder de Patriot Act wel veilig is bij de Amerikaanse
outsourcingspartner? Dit zijn slechts enkele voorbeelden.
Omwille van Operational Excellence steekt menig IT-Manager
nog wel eens de kop in het zand als het om dit soort vragen gaat. Lekker
goedkoop en efficiënt, daar wint hij de oorlog mee.
Naar mijn mening is het niet mogelijk om al je security
management uit te besteden onder die condities. Allereerst blijf jezelf
verantwoordelijk. Uitbesteding van security is een maatregel om goed
tegengewicht te bieden aan risico’s die de organisatie loopt. Te weinig
resources, kennis, ervaring, capaciteit of tijd zijn goede redenen om te
outsourcen. De verantwoordelijkheid blijft echter bij de organisatie zelf!
Als het gaat om beheer van de firewall kun je gerust onder Operational
Excellence de boel outsourcen. Die firewall wordt echter steeds slimmer en
houdt zich bezig met de hogere lagen van het OSI-model. Ook worden er steeds
meer functies op die firewall geconsolideerd. Die situatie brengt twee nieuwe
ontwikkelingen met zich mee:
- De intelligentie die nodig is om gelogde
informatie van de firewall te analyseren vraagt kennis van jouw business en de
bijbehorende processen. Zonder context geen advies over jouw veiligheid.
- De technieken die geconsolideerd op de firewall
functioneren brengen leercurves, finetuning en organisatorische inbedding met
zich mee. Intrusion Prevention en Data Loss Prevention staan bekend om hun
false-positives. Die moet je gedurende een aanloopfase terug managen.
Deze twee aspecten vragen een extra inspanning van jouw
Managed Security Provider (MSP). Hier redt je het niet met dienstverlening die
gekenmerkt wordt door Operational Excellence. Hier verwacht je meer en zal jouw
MSP aan de gang moeten met Customer Intimacy. Dan leeft de MSP zich in jouw
situatie in en weet exact wat je nodig hebt om jouw bedrijfsprocessen te
beveiligen.
Hetzelfde geldt voor diepgaande security analytics als het
gaat over Managed SIEM-dienstverlening. Het feit dat je het niet meer zelf
hoeft te managen maakt nog niet dat je een veilige dienstverlening hebt. De ‘tick-in-the-box’
is mooi om je auditor om de tuin te leiden, maar strookt niet met de ambitie
die je zou moeten hebben om veilige bedrijfsvoering na te streven. Je zult
jezelf moeten afvragen wat je nou verwacht van je MSP.
Een advies om in te grijpen op een kritiek punt in je
primaire bedrijfsproces, op basis van geconstateerde security events biedt gerichte
meerwaarde. Constateren dat er ‘iets mis’ is met een IT-systeem op basis van gecorreleerde
security events is niet meer dan een mededeling.
Voor degenen die de Operational Excellence en Customer
Intimacy niet uit elkaar weten te houden is onderstaand een overzicht met
kenmerken weergegeven. Ook Product Leadership is weergegeven.
Goed, je blijft dus in je maag zitten met een deel van dat
verdraaid lastige security management! Je blijft eindverantwoordelijk, je moet
gericht advies eisen van je MSP, die moet zich inleven in jouw specifieke
situatie, jij moet meer tijd kunnen spenderen aan security informatie in plaats
van beschikbaarheidsaspecten van de firewall, … Je moet voor een dubbeltje op
de eerste rang zitten, want niemand heeft de moeite genomen om te berekenen hoe
duur de kroonjuwelen zijn. En je moet de outsourcingspartner uitknijpen om meer
hoogwaardig advies los te krijgen.
Ik zeg: ‘geen gemakkelijke positie waar je in zit’.
Daarom wens ik je veel sterkte bij je beslissing security buiten
de deur te brengen. Vraag je echter wel af wat je exact verwacht van je MSP! Een
beetje Operational Excellence en een boel Customer Intimacy. Laat Product Leadership nog even links liggen.
Je wordt geen Messi door de beste voetbalschoenen! Security management leren
vraagt tijd, doorzettingsvermogen en incasseringsvermogen om saaie procesmatige
werkzaamheden uit te voeren.
Als het jou al zoveel moeite kost, waarom zou je dan voor
een habbekrats bij je MSP op de eerste rang willen zitten? Een beetje begrip
voor jouw situatie, een beetje inleving en een redelijke factuur voor net dat
beetje meer. Ik zou het doen! Pak de telefoon en nodig je MSP uit voor een goed
gesprek.
Zou Rutte de rekening
al opmaken voor zijn nieuwe Royalness Service Provider Willem Alexander? Gaat
de Groene Draeck toch nog zo’n 4 ton op jaarbasis kosten! (Terug te vinden
onder de post ‘regulier JSF-onderhoud’).