Outsourcing in opkomst door complexe beveiligingsvraagstukken

  1. 28 jan 2015
  2. 0 reacties
Theo-Schutte-Fortinet

CIO’s vinden het steeds moeilijker om de gegevens en systemen van hun bedrijven te verdedigen tegen cyberaanvallen. Tegelijkertijd worstelen zij met de bescherming van privacygegevens. Uit onderzoek dat werd uitgevoerd namens Fortinet, blijkt dat veel CIO’s daarom nadenken over managed security services: het uitbesteden van beveiligingstaken aan externe dienstverleners.

Fortinet betrok ruim 1.600 CIO’s en andere beslissingsbevoegden rond IT-vraagstukken in grote ondernemingen in het wereldwijde onderzoek. Het merendeel van hen vindt managed security services een aantrekkelijk model. De IT-beslissers kregen onder meer de vraag voorgelegd wat het meest belangrijke initiatief is om het hoofd te bieden aan de complexiteit en omvang van cyberbedreigingen. Voor een kwart van hen is dat ‘het uitbesteden van enkele of alle taken rond IT-beveiliging’ aan een managed security service provider (MSSP).

Ruim driekwart van de CIO’s zegt dat functies zoals de firewall, IPS en e-mailbescherming heel geschikt zijn voor outsourcing. Dat is op zich niet verrassend, want dit zijn op zichzelf staande basistaken die men eenvoudig kan uitbesteden. De IT-beslissers overwegen nu echter ook meer ingewikkelde en geavanceerde beveiligingsmaatregelen, zoals authenticatie, ATP Sandbox en zelfs DDoS-risicobeperking, te outsourcen aan een MSSP.

Volgens negen van de tien CIO’s is de reden voor die verandering dat IT-beveiliging aanzienlijk moeilijker is dan het 12 maanden geleden nog was. Dit komt voornamelijk doordat bedreigingen in de tussentijd veel geavanceerder zijn geworden en veel vaker voorkomen. Ook spraakmakende verhalen in de media over aanvallen en schandalen rond IT-beveiliging vergroten de druk op CIO’s. Die druk komt vooral uit de directiekamers, waar men zich inmiddels ook bewust is van de vraagstukken rond IT-beveiliging en waar men betrokken wil zijn bij de aanpak daarvan.

Volgens de respondenten van het onderzoek is de ‘bemoeizucht’ uit de directiekamer in de afgelopen 12 maanden minstens met een derde toegenomen. Beveiliging is nu een topprioriteit en een urgenter onderwerp dan andere bedrijfsinitiatieven. Het gebruik van mobiele apparaten en de intrede van nieuwe technologieën, zoals big data, verzwaren de last op de schouders van de CIO nog verder. Door de toenemende zorgen over privacy en big data voelt 90 procent van de IT-beslissers zich bijvoorbeeld genoodzaakt om te kijken naar nieuwe investeringen en aanpassingen in de strategie voor de beveiliging van hun IT-omgeving. Zij moeten daardoor hun doelstellingen bijsturen om weerstand te kunnen bieden aan meer complexe, omvangrijke en frequente cyberbedreigingen.

Hierdoor zijn de kosten of het personeelsgebrek niet langer de leidende factoren bij de overstap naar managed security services. CIO’s overwegen uitbesteding omdat men altijd online moet zijn en de beveiliging de hoogste prestaties moet leveren op alle fronten. De helft van de respondenten noemt dit als de belangrijkste reden om contact op te nemen met een MSSP. Dit wordt gevolgd door vraagstukken over de bescherming van privacygegevens. Pas daarna noemt men kostenbesparing en het gebrek aan voldoende opgeleid personeel als reden voor uitbesteding.

De argumenten voor en de voordelen van het uitbesteden van de IT-infrastructuur en applicaties zijn al lang bekend. Toch werd het uitbesteden van beveiligingsfuncties vaak tegengehouden omdat veel CIO’s dit niet konden of wilden ‘loslaten’. Nu de IT-managers dagelijks te maken hebben met de realiteit van de strijd tegen steeds frequentere en complexere bedreigingen, verandert die houding.

Als het gaat om hun persoonlijke keuzes voor beveiliging, zegt 56 procent van de respondenten dat zij hun eigen gegevens best zouden toevertrouwen aan een dienstverlener die de IT-beveiliging overneemt. Men neemt tegenwoordig privé al veel diensten af 'as-a-Service', dus misschien voelen de IT-managers zich gesterkt door de toenemende acceptatie en succesvolle adoptie van cloud services. Zij herkennen in elk geval dat IT-beveiliging ook geschikt is voor dit model, natuurlijk met de juiste voorbereiding en voorwaarden.

Er is veel vertrouwen en geruststelling nodig voordat men de zakelijke IT-beveiliging in handen geeft van een externe dienstverlener. Dat geldt vooral voor de complexe beveiligingsmaatregelen. Niet voor niets noemen de IT-beslissers de reputatie van de MSSP als de belangrijkste factor in het selectieproces. Reputatie is voor hen zelfs nog belangrijker dan het dienstenportfolio, de wereldwijde omvang van de MSSP-organisatie en de betrouwbaarheid van de SLA.

De evolutie van de bedreigingen gaat de afgelopen 12 maanden erg snel. Daarom is het niet verrassend dat bedrijven van elke omvang het MSSP-model overwegen om zeker te zijn van voordelige, complete beveiligingsoplossingen en, misschien nog wel het belangrijkste, continue risicobeperking.

Voor directies geeft uitbesteden nog een extra zekerheid. Wet- en regelgeving, gedragscodes en richtlijnen voor goed bestuur eisen dat zij zich bewust zijn van de risico’s rond IT. Dat vraagt ook om inzicht in, en aantoonbare maatregelen tegen bijvoorbeeld advanced persistant threats (APT). Daarvoor moeten zij beveiligingsspecialisten werven en beschikken over de benodigde informatie om te reageren op dreigingen. In dat licht bezien is het uitbesteden van beveiligingsmaatregelen aan een MSSP essentieel voor de bedrijfsstrategie.

Theo Schutte is country manager Fortinet Nederland