QSight IT laat business elementen meewegen in geavanceerd technisch platform
Bijna twee jaar geleden nam, volgens de Cyber Security Benchmark van KPMG, het bestuur van tweederde van de beursgenoteerde ondernemingen geen verantwoording voor beveiliging. Blijkbaar stond het onderwerp niet hoog op hun prioriteitenlijst. Nu calamiteiten aan de orde van de dag zijn, dreigen bestuurders door te schieten in hun denken over cybersecurity. Natuurlijk kan een virus het bedrijfsproces ernstig verstoren. Maar wat als het mitigeren van dat ene virus meer kost dan het financiële risico dat de organisatie loopt door de besmetting? Met een zorgvuldige kosten baten analyse, gegoten in een bewezen Managed Security dienstverlening, wil QSight IT praktisch en pragmatisch organisaties in een viertal bedrijfstakken ondersteunen op het security vlak.
”Ons vakgebied verschuift naar risicomanagement en risico acceptatie”, zegt Jelle Wieringa, Innovation Officer bij QSight IT. ”Wat is de actie en wat zijn daarvan de consequenties en wat zou de reactie moeten zijn? Die vragen willen wij voor onze klanten beantwoorden met een ’tailor made’ dienstverlening voor een vast bedrag per maand volgens een operationeel kostenmodel zonder verassingen achteraf. Daarbij helpen we ze de businesscase te maken op basis van hun bedrijfsdoelstellingen. Die moet in overeenstemming zijn met de realiteit, zoals het volwassenheidsniveau van de organisatie op het security vlak. Dus naast de technische informatie, leveren we inzicht in de business impact en de risico’s. Stel dat de kosten voor mitigerende maatregelen 120.000 euro bedragen, maar dat het financiële risico niet boven de 100.000 euro uitkomt, dat kan een directie zich afvragen of de investering wel noodzakelijk is. Wie thuis goudstaven bewaart, wil goede sloten op de zijn voordeur. Maar op de deur van het schuurtje met rommel zit misschien helemaal geen slot.”
Jeffrey de Graaf en Jelle Wieringa
Volwassenheidsniveau van cybersecurity
QSight IT, ontstaan uit de fusie tussen netwerkspecialist Qi ict en het cybersecurity bedrijf Onsight, kenmerkt zich door een technische, innovatieve cultuur. Geavanceerde monitoring- en managementdienst, gefaciliteerd in een SOC met zelflerende kunstmatige intelligentie, aangevuld met traditionele technologie zoals SIEM, leveren ’threat intelligence’ van hoog niveau. Toch is men bij het bedrijf van mening dat rapportage over het technische dreigingsbeeld voor de klantenkring onvoldoende is om tot een hoger volwassenheidsniveau van cybersecurity te komen. Daarvoor is het noodzakelijk om naast de techniek, ook bedrijfskundige elementen in de dienstverlening te betrekken. Bij QSight IT begrijpen ze de security techniek en weten ze wat er zich op dat vlak in de wereld afspeelt. De klanten brengen de kennis van hun branche in, waardoor de security specialisten inzicht krijgen in hun specifieke bedrijfsprocessen. Waarmee onderscheiden zij zich? Die vraagt stelt Jeffrey de Graaf, VP Sales bij QSight IT, consequent: ”We leveren geen doos met generieke oplossingen, maar een op de klant toegesneden dienstverlening in de context van de bedrijfsdoelstelling en van de dagelijkse praktijk en emotionele waardering.”
Succesvol beveiligen met voorbedachte rade
De door QSight IT geïnitieerde kennisexercitie draagt tevens bij aan de interne verantwoording bij de klanten. Niet ieder bedrijf kan het zich veroorloven om zo maar een ton of meer vrij te maken voor security. Wieringa: ”Er moet een door de business gedragen reden zijn. Daarmee worden de bedrijfsdoelstellingen leidend voor het security beleid. Het uitgangspunt is dus strategisch, terwijl de vraag wat je vervolgens gaat doen en hoe, een punt van tactisch operationele aard wordt. Heeft een organisatie langs die lijn zijn security georganiseerd, dan kan ze in de operatie snel handelen, want voor iedereen is het duidelijk wat er is afgesproken. Komt er een virus en er is besloten om het probleem onmiddellijk op te lossen, dan gebeurt dat direct. Je bedrijft cybersecurity met voorbedachten rade.”
“De beste vorm van succes is altijd met voorbedachte rade”, vult Jeffrey de Graaf aan.
Security strijdig met kernwaarde zorgsector
QSight IT richt zich met de dienstverlening op bedrijven in de zorgsector, de retailbranche, de financiële wereld en de zakelijke dienstverlening. De Graaf vertelt dat het account team voor de klant is samengesteld uit zowel technische specialisten als medewerkers met een business achtergrond. De kwaliteit is verder gewaarborgd door de betrokkenheid van service management, product management en R&D. De accountmanager heeft naast zijn commerciële verantwoordelijkheid ook een resultaat gericht target. Hij of zij blijft intensief betrokken tijdens de uitvoeringsfase van het project. In de zorgsector, waarin QSight IT meewerkt aan een snelle en veilige ontsluiting van data via patiëntenportalen voor een aantal cure en care instellingen, lijkt cybersecurity enigszins strijdig met de uitgangspunten van de behandelaars.”In die sector moeten ze grip zien te krijgen op een enorme hoeveelheid kritische data”, aldus Wieringa. ”De overheid legt allerlei verplichtingen op. Maar die staan op gespannen voet met de realiteit. De kernwaarde van de zorg is om mensen beter te maken. Artsen zijn gewend om in alle vrijheid hun keuzes te maken. Ze hebben een gezonde aversie tegen papieren procedures, ’use cases’ en andere stramienvormen, waar cybersecurity juist vol mee zit. Onze projecten in de zorg omvatten daarom veel afstemmingsessies met zowel technische medewerkers als behandelaars, zodat ze een balans weten te vinden in het patiënten belang en het belang van security.”
Dienstverlening wijzigt continu
Omdat het technische platform van QSight IT leunt op Big Data principes bestaan er nauwelijks capaciteitsbarrières om te interacteren met de applicaties van klanten. Loggen hun systemen bepaalde activiteiten, dan laat die informatie, evenals andere rapportage output zich probleemloos naar het platform halen voor verdere analyse. Het resultaat van de dienstverlening voldoet altijd aan de wet- en regelgeving en governance en compliance voorschriften in de betreffende bedrijfssectoren, evenals aan normenkaders als ISO 27001, NEN 7510, CobiT en Logius. Het streven is om afgestemd op de beschikbare resources en financiële middelen het maximale beveiligingsniveau te realiseren. Dat hoeft een organisatie van Jeffrey De Graaf en Jelle Wieringa niet in één keer te halen. Het is een proces met grote, afdeling en persoon overstijgende veranderingen. Zij zien het als een continu proces. De wereld van cybersecurity is een evoluerende markt. De dreigingen worden aldoor complexer, geavanceerder en sneller. De overeenkomst die klanten met QSight IT afsluiten, laat zich zonder meer aanpassen aan die dynamiek. Gaandeweg wijzigt de dienstverlening; er komen elementen bij of er vallen onderdelen weg.
Fred Franssen is journalist