ENISA over Managed security services (MSS)

In juni van dit jaar is door ENISA een MSS marktanalyse gepubliceerd. De analyse heeft tot nu toe weinig aandacht gekregen, en dat ondanks het feit dat het vrij beschikbaar is en verspreid kan worden.

ENISA, ziet Managed security services (MSS) een steeds grotere rol krijgen bij het verhogen van de cybersecurity voor vrijwel alle soorten klanten. Klein, groot, privaat, publiek overal spelen MSS een rol.

Dat ENISA hier naar kijkt komt door de Cybersecurity Act (CSA). De CSA zal namelijk moeten leiden tot heldere definities en indirect tot een certificeringsschema. Dit rapport behandelt de markt voor MSS, zowel aan de vraag- als aan de aanbodzijde. Het bespreekt MSS-gebruikspatronen, naleving en vaardigheidscertificering, bedreigingen, vereisten, incidenten en uitdagingen met betrekking tot MSS, evenals trends in de MSS-markt en onderzoek.

Tegelijkertijd is het doel om marktgerelateerde gegevens te leveren ter ondersteuning van andere activiteiten binnen de EU, zoals de CSA-wijziging en de EU-Cybersecurity Reserve zoals voorzien in de Cybersolidariteitswet , binnen de reikwijdte van de rol van het Agentschap van de Europese Unie voor Cybersecurity (ENISA) daarin.

Methodiek en beperking

Voor deze analyse ENISA een enquête uit onder de belangrijkste typen belanghebbenden in het MSS-ecosysteem. De respons van de vraagzijde (organisaties die MSS afnemen via een dienstverlener) is te gering gebleken. Daarom worden geen harde uitspraken gedaan.

Het is goed dat ENISA deze beperking duidelijk benoemd. De lezer (zowel vraag als aanbodzijde) weet daarmee dat de bevindingen en trends nader onderzocht moeten worden. Desondanks is er een aantal conclusies verwoord in het 51 pagina's tellende document:

• De meeste entiteiten besteden minder dan 10% van hun budget aan MSS.
• De voorkeur voor hybride oplossingen aan de vraagzijde en periodieke inkoopbeoordelingen suggereren een evenwicht tussen stabiliteit en aanpasbaarheid, waardoor beveiligingsinvesteringen worden afgestemd op operationele behoeften op de lange termijn.
• De belangrijkste belemmeringen voor de invoering van MSS zijn onder meer kosten, gebrek aan interne expertise.

Expliciet genoemd zijn ook providergerelateerde problemen rond het aanpassen van SLA's.

Niet in balans

ENISA noteert verder dat dienstverleners meer investeren in informatiebeveiligingsmanagementsystemen en kwaliteitssystemen, terwijl de vraagzijde meer oog heeft voor specifieke gebieden zoals auditing van die systemen (“De huidige regelgevingskaders voor MSS leggen de nadruk op technische controles, zoals detectie- en responsmechanismen, met een secundaire nadruk op governance-kwesties”).

Hier staat dat vraag en aanbod niet in balans zijn. Wat goed is voor de operatie van de aanbodzijde is niet per se waar de vraagzijde mee geholpen is.

De perceptie van cyberdreigingen per bedrijf verschilt en dat is onvermijdelijk, maar ENISA vindt dat wel een risico. Het kan leiden tot hiaten in de invoering en implementatie van MSS. Dit creëert blinde vlekken in strategieën voor bedreigingsbeheer, wat uiteindelijk de algehele veerkracht beïnvloedt. De laatste conclusie van ENISA luidt: “er is een kloof in de invoering van operationele processen tussen vraag en aanbod. Dit kan leiden tot onevenwichtigheden tussen technische implementatie en operationele beveiligingsgovernance, waarbij laatstgenoemde vaak noodzakelijk is voor veerkracht en serviceprestaties op lange termijn.”

Behulpzame tabellen en grafieken

Net als de rest van de analyse is dat geen makkelijk te lezen uitleg. Dat zal ook een van de redenen zijn waarom de pers hier weinig aandacht aan heeft besteed. Het is echter mogelijk de inhoud te begrijpen zonder te verzanden in het taaie taalgebruik. De talloze tabellen en grafieken maken namelijk precies duidelijk wat er is gevraagd en vastgesteld.