Bedrijven en organisaties besteden de beveiliging van webdreigingen steeds vaker uit aan een externe partij, stelt John Proctor, vice president cybersecurity van ict-dienstverlener CGI. 'Ook security beweegt richting cloud- en partnermodellen.
‘Bedrijven delen niet graag dat ze op het gebied van security met externe partners samenwerken. Ze zijn bang dat cybercriminelen dan juist de pijlen op hen richten’ vertelt Proctor, die eind april 2015 Nederland bezocht voor een rondje langs klanten en kennismakingen bij bedrijven. ‘We hebben al een aantal grote klanten. Bijvoorbeeld een Nederlandse multinational in de maakindustrie. We praten ook in Nederland met banken over uitbesteding van securitydiensten. In Noord-Amerika is dat al gemeengoed. Veel grote banken in de VS hebben cybersecurity ondergebracht bij een externe partij. Maar opdrachtgevers delen dat liever niet met de buitenwereld.’
Volgens Proctor liggen de ontwikkelingen rondom de uitbesteding van security in Europa anderhalf tot twee jaar achter op Noord-Amerika. ‘Daar worden beslissingen over de inrichting van security steeds vaker genomen door de directie. Het hoger management benadert security vanuit het strategische belang voor de bedrijfsvoering. In Europa wordt cybersecurity nog vaak gezien als een zaak voor de ict-afdeling, terwijl incidenten verstrekkende gevolgen kunnen hebben voor de bedrijfsvoering.’
‘Cio’s in Europa willen security nog grotendeels in eigen handen houden. Maar ook in Europa verschuift die situatie snel. Europese bedrijven kijken vaker naar de mogelijkheid om security als dienst af te nemen. Net als in Noord-Amerika zie je dat steeds vaker ict-beslissingen genomen worden door de ceo of cfo. Het is dan wel van belang dat een cio (chief information officer) of ciso (chief information security officer) de directie kan overtuigen van de noodzaak van de aanschaf van bepaalde security-diensten.’ Proctor stelt dat in het meest ideale scenario een ceo zelf aanklopt bij zijn cio en ciso om te vragen wat de grootste bedreigingen zijn en wat er nodig is om die problemen aan te pakken.
Security as a service
Proctor: ‘Na software as a service (SaaS) en infrastructure as a service (IaaS), zie je dat security steeds vaker wordt uitbesteedt aan derden. SaaS wordt security as a service’, zegt hij, verwijzend naar de afkorting die wordt gebruikt voor software as a service.
Volgens de beveiligingsexpert draait het bij bedrijven steeds meer om de strategische inzet van ict. ‘Onderhoud en het in de lucht houden van technologie wordt dan vaker ondergebracht bij een derde partij. En uiteraard kunnen dienstverleners ook helpen met adviezen. Bedrijven die de operationele security in een eigen Security Operation Center (SOC) onderbrengen zijn meestal vooral gericht op het onderhoud en draaiend houden van systemen. Er is geen tijd om een duidelijke toekomststrategie uit te stippelen. Door die operationele taken onder te brengen bij een derde partij kunnen ze zich veel beter richten op hun eigen bedrijfsvoering en een strategische toekomstvisie nastreven.’
Meest uitbestede security-diensten volgens CGI
Minder technische focus
De CGI-expert benadrukt dat security veel verder gaat dan de implementatie van ict, maar ook ingrijpt op de bedrijfsvoering en processen. ‘Je moet de procedures aanpassen, incident response en service management. Vragen die spelen zijn: ‘Waar moet ik bij de introductie van nieuwe diensten of producten op letten?’ en ‘hoe richt ik de aansturing en het beheer in?’ Je ziet dat veel bedrijven daar nu moeite mee hebben. Ze benaderen security vanuit de technische kant van ict en kijken meer beheermatig naar het onderwerp, terwijl steeds meer de vraag is: wat zou de impact van die security-incidenten betekenen voor mijn bedrijfsvoering en hoe bouw ik een strategie die gericht is op de toekomst?’
Privacy
Omdat wet- en regelgeving rondom privacy en security sterk per land verschilt, zet de dienstverlener sterk in op regionale teams. Proctor: ‘De verschillen tussen de VS en Europa zijn groot. ‘Europa heeft veel strengere privacy-wetgeving. In wetgeving is vastgelegd wie de eigenaar van data is. Bedrijven kunnen vaak pas na uitdrukkelijke toestemming met die gegevens aan de slag. In de Noord-Amerika weegt privacy minder zwaar. In Europa zie je bijvoorbeeld dat er allerlei privacy-issues opgelost moeten worden voor een leverancier smart-meter-diensten kan aanbieden. Vaak zijn er allerlei restricties opgesteld door de juridische afdeling van het bedrijf. In Noord-Amerika hebben energiebedrijven meestal geen privacy-officer.’
Hij legt uit dat web content filtering in de VS bijvoorbeeld vrij eenvoudig door te voeren is. ‘In sommige staten is het al voldoende om personeel in te lichten via een email. De melding dat hun dataverkeer op onderdelen wordt gecontroleerd is voldoende. In Europese landen is dat vaak heel anders. Privacy-wetten zijn anders, de rechten van medewerkers zijn sterker verankert in wet- en regelgeving.’
Lokale vertegenwoordigers
Omdat die wet- en regelgeving zelfs per land of staat sterk kan verschillen zet de dienstverlener sterk in op lokale vertegenwoordigers. Zij zijn expert op het gebied van de daar geldende wet- en regelgeving. Proctor: ‘Lokale aanwezigheid is belangrijk om managed security te implementeren in de specifieke situatie van een bedrijf. Het draait om vragen als: ‘Hoe zorg je dat je die security kan implementeren? Wat betekent dat voor de dienstverlening en producten van dat bedrijf? Wat zijn de gevolgen voor medewerkers en hoe stuur je het aan?’
Hij benadrukt dat die lokale vertegenwoordigers ook van belang zijn voor CGI. ‘Ze weten wat er op de politieke agenda staat en of het nut heeft om in dat land in bepaalde diensten te investeren. We moeten weten welke kant bepaalde wetgeving opgaat. Anders investeren we in diensten die niet kunnen worden uitgevoerd doordat ze in strijd zijn met lokale wetgeving, richtlijnen of privacy-zaken.’
Verschillen per branche
Er zijn ook grote verschillen per branche, licht de security-expert toe. ‘Om bij bedrijven binnen te komen moet er natuurlijk wel een bepaalde vertrouwensband worden opgebouwd. In sommige sectoren duurt dat langer dan in andere. Bijvoorbeeld in de financiële sector gaat er meer tijd voorbij voordat partijen hun security durven onder te brengen bij een externe partij. Producenten zullen iets sneller informatie delen omdat er in hun bedrijfsmodel in principe grote risico’s zijn.’
Hij wijst erop dat de manier waarop security-leveranciers te werk gaan de afgelopen jaren enorm is veranderd. ‘In het verleden was de aanpak gericht op het verzamelen van informatie over webdreigingen. Veel mensen kennen wel de threat-alerts en rapporten. Klanten kregen periodiek zo’n overzicht opgestuurd maar wisten eigenlijk niet goed wat ze met die rapporten aanmoesten. Er werd bijvoorbeeld een overzicht gegeven van de wereldwijde dreigingen. Maar het was onduidelijk welke informatie voor hen van belang was.’
Threat reports
Hij vertelt dat klanten nu een veel persoonlijker inzicht krijgen voorgelegd. ‘Ze zien of systemen veilig zijn en of er incidenten hebben plaatsgevonden, in plaats dat zij zich druk moeten maken over mogelijke incidenten die ergens in de wereld plaatsvinden en waarvan niet duidelijk is of het ook impact heeft op hun eigen ict-omgeving.’
De websecurity-expert benadrukt dat degene die verantwoordelijk zijn voor security juist willen weten hoe hun organisatie beschermd is tegen dreigingen. ‘Vragen als: Heeft er een automatische patch plaatsgevonden? Beschikt mijn organisatie überhaupt over de juiste middelen om bepaalde aanvallen buiten de deur te houden. En wat als blijkt dat systemen geïnfecteerd zijn? Zijn veel relevanter dan die algemene threat reports.
Geautomatiseerde analyses
Hij legt uit dat de analyse van aanvallen grotendeels geautomatiseerd is. ‘Je krijgt veel beter inzicht in de datastromen en security. De analyse van patronen van aanvallen en grote databestanden en trends gaan veel sneller. Inzichten ontstaan sneller en daardoor kunnen we sneller handelen.’
Ook Incident response is volgens de security expert sterk verbeterd. ‘Het is niet meer zo van: ‘hier is uw probleem’. Maar de security-partner helpt de opdrachtgever ook met de oplossing van dat probleem. ‘Dat gaat als volgt: ‘Wat is het probleem?’, ‘Hoe lossen we het samen op? We begeleiden hoe dat moet gebeuren of voeren het uit. Dan hebben we het dus over security as a service.’
Voorspellende analyses
Afsluitend concludeert Procor dat het incasseringsvermogen bij webdreigingen om veel meer draait dan tooling en beschermende maatregelen. ‘Het gaat om mensen, processen en technologie. Het is belangrijk om een cyberstrategie door te voeren die gericht is op de lange termijn en ingaat op bedrijfsrisico’s die specifiek gelden voor jouw organisatie.’
Zijn advies: ‘Zorg voor een aanpak waarin voorspellende analyses centraal staan. Bijvoorbeeld door data over dreigingen, incidenten en aanvallen te combineren.’
Tot slot meldt hij: ‘Webdreigingen vormen een potentieel risico voor de groei en het concurrentievermogen van organisaties. In deze digitale wereld betalen investeringen in databeveiliging en beveiligingsoplossingen zich terug. Klanten, burgers en investeerders zullen namelijk meer vertrouwen hebben in partijen die hun cyber security goed op orde hebben.’
SOC’s van CGI
Het Canadese CGI telt wereldwijd ongeveer veertienhonderd mensen die zich richten op cybersecurity Ongeveer een derde van die groep houdt zich bezig met het groeiende aanbod van managed services. De dienstverlener heeft drie wereldwijde Security Operations Centers (SOC’s). Die richten zich op de globale dienstverlening rondom de beveiliging van ict-infrastructuren, data risk management, governance en compliance (wet en regelgeving) en zijn gevestigd in Parijs, Ottawa en Phoenix. Daarnaast zijn er momenteel zeven SOC’s voor de ondersteuning van individuele klanten in Noord-Amerika. In Nederland zijn ongeveer 120 consultants werkzaam op het gebied van cybersecurity.
In 2002 en 2006, even uit mijn blote hoofd, heb ik verschillende documenten geschreven over dit soort ontwikkelingen.
Kort en goed.
Security begint bij zwijgen. Elke informatie die openbaar word omtrent dit aspect is een ‘securitybreach’. Zo zou je zelfs dit artikel mogen benoemen. Chinese en Russische hackers die Nederlands kunnen lezen, jawel, ze bestaan echt, vinden dit een zeer interessant gegeven.
Dat er steeds minder IT professionals blijken te zijn die security in hun eigen pakket blijken te bezitten, is als gegeven ook zeer verontrustend. Dat betekend namelijk, voor midden en grote organisaties, dat je je wat dit aspect teveel en te afhankelijk op gaat stellen van kennis buiten je eigen organisatie. Ik denk niet dat dit wenselijk is.
Ik heb altijd gesteld dat er drie gezworen vijanden zijn van IT/ICT. Politiek, commercie en incompetentie. Wellicht iets om over na te denken.
Security uitbesteden is zoiets als de sleutel van je woning aan de buurvrouw geven en er op vertrouwen dat ze niet jouw woning doorzoekt.
Dat krijg je als directies ICT beslissingen gaan nemen met te weinig achtergrondkennis.