Mkb-klanten zullen hun beveiligingsreseller steeds meer nodig hebben als adviseur. Vooral bij beveiliging zal het belang van hosted services de komende jaren namelijk flink toenemen. CRN vroeg de markt naar deze en andere security-trends.
"Vooral mkb-klanten kijken met belangstelling naar hosted security en hosted back-upoplossingen", zegt Ian Walker, sales manager Benelux voor enterprise distribution & smb van Symantec. "Security bereikt het mkb (25-250 werkplekken) via twee aanbodlijnen, die naast elkaar bestaan. Ruim 90 procent van het mkb wordt beveiligd op de klassieke manier met software in licentie, geïnstalleerd op de eigen locatie. Minder dan 10 procent gebruikt een hosted oplossing. Het interessante is dat de verkoop van die laatste oplossingen snel groeit, waardoor dat marktaandeel binnen een jaar denk ik zal verdubbelen tot 20 procent."
De reseller speelt als vertrouwde adviseur volgens Walker een belangrijke rol bij de afwegingen en de keus van de klant, vooral als sprake is van een ‘local cloud’. "We krijgen een toenemend aantal vragen van resellers te verwerken. Als een klant overgaat van het ene naar het andere beveiligingsmodel, speelt de reseller een sleutelrol. Zijn inspanningen zijn dan ook mede bepalend voor de snelheid waarmee de klanten zullen overstappen op het managed model." De redenen voor mkb-klanten om die overstap te maken zijn volgens Symantec kostenbesparing op hardware, omzeilen van kostbaar beheer en zorg om schaars beschikbare expertise van specialisten.
Niet op de radar
Alex de Joode van LeaseWeb is geen rechtstreekse aanbieder van security. "LeaseWeb levert IaaS, infrastructure as a service." De Joode is security officer bij de webhosting provider. "We leveren een beveiligde internet-presentie aan onze klanten. In die rol zijn we tegelijk afnemer en wederverkoper van security: we leveren in ons aanbod een dienst mee van een derde partij of verhuren daarin een security appliance. Wat mij opvalt, is dat grote ondernemingen beveiliging zien als een standaardonderdeel van een tender, terwijl bij het mkb beveiliging niet echt op de radar staat. Die bedrijven zijn nog steeds puur gericht op hun eigen core business."
Hij vervolgt: "Het mkb ziet beveiliging als een kostenpost, niet als een verzekering tegen onheil. Driekwart ziet daarom af van beveiliging en kiest bewust voor een lagere prijs en hoger risico. In die groep schuilt dus een enorme markt voor de reseller, mits hij erin slaagt de klant bewust te maken van de risico’s en hem op te voeden. Hij moet de waardepropositie van security uitleggen zoals een brand- of inbraakverzekering. Zodra een dergelijke onderneming beschikt over een eigen systeembeheerder zal dat wat makkelijker lukken. Die is beter in staat de meerwaarde van beveiliging in te schatten en heeft wellicht voldoende invloed bij de directeur om de added value te verduidelijken."
Walker en De Joode zijn niet de enigen die managed en hosted security in de lift zien zitten. Ook Gerrit Pot, portfolio manager security van Atos Origin, ziet het belang toenemen van beveiliging die als hosted service wordt afgenomen. "Bedrijven vonden dat in eerste instantie een beetje eng, maar nu merken we dat security steeds vaker wordt uitbesteed. Dat heeft te maken met de wens om op kosten te besparen, maar ook met expertise. Het is niet simpel meer om security in te richten en vooral goed ingericht te houden. Een bedrijf moet meebewegen met de bedreigingen. Hoewel grote ondernemingen zich een eigen security-organisatie kunnen veroorloven, gaan ook zij steeds vaker over tot uitbesteding. "
Volwassen markt
Bastiaan Bakker, business development manager bij Motiv, ziet op beveiligingsgebied veel ‘business as usual’ bij zijn klanten. "Het gaat om zaken als firewalls, verantwoord internet en veilig telewerken. Wij leveren dat als managed service aan de klant. Het is een volwassen markt van bedrijven die security graag uitbesteden aan specialisten. Bedrijven staan open voor additionele diensten als het up-to-date houden van besturingssystemen en applicaties, maandelijkse rapportages en risicoanalyses van hun beveiliging." Toch houden sommige klanten vast aan de traditionele manier van beveiligen. Bij de overheid is security als managed service vaak niet haalbaar, andere bedrijven hebben soms al te veel geïnvesteerd in hun beveiligingstechnologie.
Bakker waarschuwt de resellers de overstap naar het aanbieden van beveiliging als managed service niet te licht op te vatten. "Dat vergt een lange opstarttijd en de transitie is kostbaar. Wellicht dat partneren met derde partijen kan bijdragen aan een oplossing van dat probleem. Motiv was een early adopter, dus we weten hoe kostbaar het is een portfolio in managed services op te bouwen. Denk alleen al aan het beprijzen van je dienstverlening: hoeveel kost het beveiligen van een e-mail? Een prijslijst is snel te vinden op internet, maar er steken jaren van ervaring in het waarmaken van de kwaliteit van de service voor die listprijs", aldus Bakker. "Maar als dat lukt, kan de managed service een goed renderend deel gaan uitmaken van het portfolio van de reseller." Managing director Sander Nieuwstraten van Westcon Security komt het hosted aanbod van security services steeds vaker tegen in de prijslijsten van de leveranciers. "Nog dit jaar komen we er zelf ook mee op de markt."
Utm-applicaties (unified threat management) hebben snel een aanzienlijke zichtbaarheid in de markt veroverd. Atos Origin komt ze vooral tegen bij kleinere bedrijven en op bijkantoren van grotere ondernemingen. Pot: "Die hebben vaak voldoende aan de wat mindere functionaliteit van dit soort devices. Bij veel grotere klanten wordt echter een combinatie van specifieke security-functies als managed service aangeboden." Nieuwstraten heeft dezelfde ervaring: "Ze moeten passen in het totaalconcept van veiligheid, inclusief networking. Utm’s tref je vooral aan bij kleine klanten met veel vestigingen." Volgens Bakker ligt het daarom voor de hand dat ze afkomstig zijn van resellers die over een minder uitgebreid dienstenpakket beschikken. "Maar voor winkelautomatisering heeft utm wel degelijk een toegevoegde waarde." Ook Walker ziet de kansen voor utm vooral in het mkb. "Ter plaatse bij de klant, of als onderdeel van de local cloud die de reseller voor hem inricht."
Smartphones
Netbooks, laptops en smartphones verdienen een even zware beveiliging als ‘endpoints’ die aan een kabel hangen. Toch krijgt Walker nog niet veel vragen van zijn partners naar security op smartphones. "Dat contact gaat rechtstreeks met de leverancier van de hardware: smartphones en servers." Pot: "Ondernemingen hebben te maken met een toenemende diversiteit aan apparatuur en besturingssystemen. Als aanvulling op bestaande beveiligingsmaatregelen is het daarom verstandig de veiligheid daarvan aan de perimeter van de onderneming te checken met Network Access Control."
De Joode: "Wij streven ernaar onze content virusvrij bij de klant af te leveren. Wij beveiligen onze eigen smartphones en mobiele devices via vpn tot aan de server. Daar vandaan gaan we het reguliere internet op. Dat is een aanpak die we ook adviseren voor de bedrijfsorganisatie van onze klanten. Enterprise-klanten hebben hun beveiliging veelal al op orde en willen daar de vpn-faciliteiten graag bovenop hebben. Bij internet-pro’s is vpn al heel gewoon geworden, maar een mkb’er weet vaak nog niet wat dat is. Daar ligt dus nog een mooie taak voor de reseller."
"De nadruk komt de laatste jaren meer te liggen op het voorkomen van inbreuken op de veiligheid door preventief op te treden", aldus Pot. "De klant kent zijn bedrijfsprocessen en wij kunnen ondersteunen bij het inschatten van de risico’s. Hierbij gaat het er ook om hoeveel kosten hij wil maken om een acceptabel veiligheidsniveau te bereiken. Als organisaties opener worden, groeit de noodzaak om identity management en access management goed te regelen."
Data in beweging
Dat brengt Pot op het bredere thema van dlp (data leakage prevention). ‘Data in beweging’ speelt een almaar zwaardere rol in de beveiliging, blijkt uit zijn woorden. "Welke gegevens mogen zich waar bevinden: op externe harde schijven, op mobiele devices, op usb-sticks, in mail-attachments? En wie mag toegang hebben tot deze data? Voorop staat uiteraard dat gegevens versleuteld moeten zijn. Om dlp te kunnen toepassen worden de gegevens vervolgens geclassificeerd. Wij richten ons bij onze dienstverlening op tools ter ondersteuning van dit proces."
Kleinere partners bieden vaak niet meer dan point solutions, zoals een encryptie-oplossing, aldus Pot. "Maar de sleutel voor een effectieve oplossing ligt in het totaalplaatje. Om een bedrijf te kunnen adviseren over een uitgebalanceerd security-landschap is meer kennis nodig. Daarom komen verzoeken om adviezen-op-maat vaak bij een grotere partij als Atos Origin terecht." Dlp is een onderwerp waarover veel wordt gesproken, merkt ook Nieuwstraten. "Het wordt ook wel verkocht, maar het is erg lastig te implementeren. Ik denk wel dat het een groeimarkt is, met oplossingen die bovenop de traditionele grensbescherming komen. In de toekomst zie ik periferiebescherming en dlp in één pakket of suite terechtkomen."
Afzakken
Walker ziet nog een andere beweging. "Dlp is nu nog een zaak die vooral speelt bij de enterprises. Ik zie dat afzakken naar de onderste segmenten van de markt. Dlp is binnen een jaar of twee ook in het belang van de kleinere mkb-gebruiker. Het is een van onze focuspunten en bovendien een concept dat zich goed laat uitleggen aan het resellerkanaal. Endpoint-protectie alleen is niet voldoende. Dlp in de vorm van nac (network access control) en encryptie is een aanvulling op endpoint security." Dlp levert een interessante verkoopmogelijkheid op voor het partnerkanaal, zegt Walker. "Maar dan moet de reseller zorgen voor meer expertise in zijn organisatie. Daarom geven we veel trainingen op het gebied van encryptie en dlp."
Bakker onderschrijft die mening van harte. "Er wordt veel over gepraat en geschreven, maar het wordt nog niet vaak geïmplementeerd. Veel projecten zijn vanwege de crisis doorgeschoven. Voor 2011 verwacht ik echter veel van dlp. Het is een nieuw gedachtegoed, een nieuwe technologie. Dat is kost voor specialisten die over veel expertise beschikken. Voor de reseller is het zaak die expertise snel op te bouwen. Want als hij volgend jaar van de kansen wil profiteren, dan rest hem niet veel tijd meer."
Sociale media
"Het zakelijke gebruik van sociale media neemt zeker toe", zegt Pot. "Het is een onderdeel van de maatschappij waarvoor een bedrijf de ogen niet moet sluiten. Het inperken van de risico’s lijkt daarbij een betere aanpak dan het blokkeren van de ontwikkelingen. Een bedrijf moet zijn medewerkers bewust maken van de risico’s die eraan verbonden zijn en bedreigingen afvangen door de verkeersstromen van dit soort media te analyseren. Beveiligingsaspecten van sociale media staan bij bedrijven nog niet bovenaan het prioriteitenlijstje van de cso, maar de belangstelling is wel groeiende."
Bakker is dezelfde mening toegedaan. "De toegevoegde waarde van sociale media staat buiten kijf, maar een bedrijf moet zich wel bewust blijven van de dreigende gevaren. Ik zou bedrijven adviseren sociale media wel degelijk toe te staan, maar tegelijk de juiste beveiligingsmaatregelen te treffen. Er zijn op dat gebied zeker ontwikkelingen gaande, maar tot volwassen oplossingen is het nog niet gekomen."
Bewustzijn
Bakker treft in de markt nog geen groot bewustzijn aan van de potentiële risico’s die kleven aan het gebruik van sociale media. "Het is zeker nog geen punt bij de klanten. Niet-gebruikers van sociale media hebben overigens totaal geen zicht op de mogelijke gevaren; die zouden er echt onbeschermd instappen. Het lijkt een beetje op het kopen van een auto zonder dat je over een rijbewijs beschikt." En er kleven serieuze gevaren aan Web 3.0. "Linkjes in dergelijke media kunnen zorgen voor een snelle verspreiding van malware over allerlei platformen."
Ook Nieuwstraten wijst op het belang van het op gang komen van een bewustwordingsproces. "Sociale netwerken als Hyves en Facebook zijn met webfiltering af te schermen, en het doorlinken naar malwaresites valt ook te blokkeren. Maar het verschijnsel sociale media kun je moeilijk compleet gaan afschermen. Gebruikers die zich bewust zijn van de gevaren: dat is een betere garantie tegen misbruik."
Resellers doen er volgens Bakker goed aan serieus naar de kansen te kijken die de beveiliging van sociale media biedt. "Dat begint met het zelf gebruiken van dat soort media om te begrijpen waarover het gaat en vervolgens de ontwikkelingen nauwkeurig te observeren en naar mogelijkheden te zoeken, zelfstandig of in combinatie met andere partijen."
