Nederlandse bedrijven schakelen steeds vaker de hulp in van externe, gespecialiseerde cybersecuritybedrijven. Of ze zijn van plan om dat de komende jaren vaker te doen. Door gebrek aan kennis binnen de eigen organisatie en onvoldoende mogelijkheden om experts aan te trekken, kiezen ze voor de outsourcing van securitydiensten. Dat blijkt uit een steekproef van adviesbureau op het gebied van management en technologie Eraneos (voorheen Quint).
Eraneos ondervroeg tientallen Nederlandse bedrijven over security en outsourcing. Een van de bevindingen is dat zo’n dertig procent (30,7 procent) van de Nederlandse bedrijven binnen nu en twee jaar veel meer gebruik wil gaan maken van gespecialiseerde bedrijven op het gebied van cybersecurity. De helft zegt er nog niet uit te zijn wat te doen of niets te wijzigen aan hoe het nu is geregeld. Slechts vier procent (3,8 procent) verwacht juist minder de hulp van externe partijen in te schakelen.
Eraneos ziet bedrijven kampen met steeds grotere digitale dreigingen. ‘Ze zijn in toenemende mate overgeleverd aan de grillen van it-diensten en maken zich zorgen over de toenemende afhankelijkheid van deze diensten’, licht Willem van der Valk, partner cyber security & privacy bij Eraneos toe.
Hij ziet ook dat het it-landschap steeds meer versnipperd raakt doordat bedrijven gebruik maken van allerlei verschillende technologieën van meerdere leveranciers. Daardoor wordt het aanvalsoppervlak steeds groter. ‘Dat maakt het beveiligen van de it-infrastructuur complex en het aantrekken van talent om organisaties veilig te houden, is bijna overal een punt van zorg’, aldus Van der Valk.
Bijblijven in ai en soar
Driekwart van de ondervraagde bedrijven noemt als belangrijkste reden voor uitbesteding dat zij hun serviceniveau willen verbeteren. Het gaat onder meer om detectie en respons en 24/7-beveiliging.
Schaarste aan cyberbeveiligingsexperts is voor bijna zestig procent (58,3 procent) de reden om te outsourcen. Ook geeft een meerderheid aan dat cyberdetectie en -response sowieso niet tot de kerntaken van de eigen activiteiten behoren.
Ook speelt de wens mee om bij te blijven met innovatieve ontwikkelingen. Bijvoorbeeld artificiële intelligentie en security orchestration automation & response (soar). Voor een kwart van de ondervraagde bedrijven zijn deze ontwikkelingen een reden om naar outsourcing te kijken. Ze denken dat gespecialiseerde partijen hier beter in zijn.
Wat ik me afvraag is, hoe regelt een in principe outsider de infra-structuurbeveiliging van zijn klanten, zoals bijvoorbeeld zero-trust netwerken installeren en inregelen. Weet iemand hier een antwoord op?
Door er van uit te gaan dat een service provider geen outsider is, maar onderdeel wordt van de IT afdeling van de klant.
Zelf kunnen we de mensen niet meer vinden of binden, maar bij die outsourcer zou dat wel lukken? Die vraagt veel meer centen natuurlijk want die moet ook nog eens extra mondjes voederen en dus weet je nu al, als de prijs gunstiger is te out sourcen dan het zelf op te pakken, je in de kwaliteit genaaid gaat worden. Same old same old…
@SWA er wordt nergens in het artikel gesproken over het behalen van een kostenvoordeel bij outsourcing. Waarom denk je dat een outsourcer niet in staat zou zijn personeel te vinden en binden? Heb je er over nagedacht wat het voor een organisatie betekent om een 24×7 detectie en response capability op te zetten? Welke skills je daar voor nodig hebt? Hoe veel mensen? Wat voor orde grootte investeringen daarmee gepaard gaat? Zet dat eens op een rijtje…
@ Robert D.: Ik denk dat ik begrijp wat je bedoelt met “Door er van uit te gaan dat een service provider geen outsider is, maar onderdeel wordt van de IT afdeling van de klant.” . In mijn wereld heet dat detachering.
Uitbesteden is in mijn ogen het aangaan van een contract met een onderliggend SLA. De outsourcer is zelf verantwoordelijk voor de kwaliteit van zijn dienstverlening, en is niet een onderdeel van zijn klantorganisatie. Vergelijk met catering of met autolease.
Blijft voor mij de vraag hoe zo’n decurity-outsourcing party enige strategisch invloed kan uitoefenen op het security-beleid van de uitbestedende organisatie, met name als het gaat om infrastructuur, netwerk, tijdig updates van software, etc. . En zeker, als die infra elders gehost wordt.
@Jaap Ik vind (mening) dat je wel een erg beperkte blik hebt op ICT outsourcing als je een stuk complexe dienstverlening wilt vergelijken met catering of autolease. Outsourcing is ook wezenlijk iets anders dan detachering.
Bedenk allereerst dat met het aangaan van een outsourcingsovereenkomst er geen accountability buiten de deur gezet wordt (AVG is hiervan een duidelijk voorbeeld). Daarmee valt het geoutsourcde werk gewoon onder de verantwoordelijkheden van de outsourcende organisatie (en daarmee wordt het dus deel van de outsourcende organisatie). Het maakt daarin niet uit waar de mensen hun werklocatie hebben, of op wiens loonlijst die mensen staan. Alleen de aansturing wordt anders, je zult als uitbestedende organisatie vooral regie moeten voeren.
Voorbeeld, als je als outsourcende partij bijvoorbeeld een stuk detectie en response-werk outsourced, dan zul je nog steeds moeten zorgen dat de output van dat werk op een zinvolle manier binnen de klantorganisatie (of bij een andere dienstverlener) verwerkt kan worden. Daar zul je afspraken over moeten maken, vaak met meerdere partijen. Wat is de flow van een security incident? Wie wordt hoe op welk moment ingelicht? Wanneer vindt escalatie plaats, en naar wie? (Wederom, denk aan de AVG).
Dan stel je de vraag hoe een security outsourcing partij enige strategische invloed kan uitoefenen op het security beleid van de uitbestedende organisatie. Wat mij betreft hangt dat af van de volwassenheid van de uitbestedende organisatie, de openheid voor suggesties van de dienstverlener en inrichting van contracten. In het kort, het gaat over de relatie die je met elkaar hebt. Vandaar ook mijn punt dat de service provider onderdeel is (wordt) van de IT afdeling.
Je snijdt patch management aan. Patch management is wat mij betreft een hygiene-factor. Verantwoordelijkheid ligt bij whoever de betreffende componenten in beheer heeft. Vulnerability management kan onderdeel zijn van een detectie & response-dienst. Middels die dienst kun je detecteren dat bepaalde componenten niet afdoende gepatcht zijn. Het is aan de uitbestedende organisatie om te realiseren dat de output van vulnerability management (waarschijnlijk een vorm van een rapport) op de juiste plaatsen terecht komt zodat de juiste acties genomen kunnen worden.
Voordeel van security uitbesteden is dat je iemand dan de schuld kan geven als je zelf stiekem firewalls opent en Welkom2020 wachtwoorden op admin accounts zet. En als je publieke organisatie bent, hoef je toch niet zelf te betalen.
Het aanvalsoppervlak is steeds groter. Connecting people & business is meestal een must, maar het is de laatste decennia ook steeds meer connecting hackers. En de laatsten hebben of zelf veel hack kennis en ervaring, of ze besteden het werk deels weer uit aan professionele aanbieders van bijvoorbeeld RAAS en DDoS. Volgens het CBS zijn in 2021 ruim 2000 bedrijven afgeperst met behulp van gijzel software. Dat is relatief weinig, want volgens de KvK zijn er 2,3 miljoen bedrijven. Het getal van geslaagde ransomware aanvallen lijkt me echter een grove onderschatting. En het aantal geslaagde hacks met datadiefstal is veel groter. Volgens ESET Nederland is de kans op een brand is 1:8.000, de kans op een inbraak 1:250 en de kans op een cyberaanval 1:5 voor bedrijven. ESET zal wel overdrijven (want zij behoren tot de partijen die oplossingen bieden). Maar toch, hoeveel risico wil je als bedrijf nemen? Weet je als ondernemer wel hoe aantrekkelijk je bent als cybercrime slachtoffer? Dat stukje marktonderzoek wordt zelden gedaan. Bijna iedereen krijgt vroeg of laat te maken met phishing mails. Wordt daar altijd 100% adequaat op gereageerd? Denk ook aan schade door datalekken en de AVG. Bij ransomware aanvallen wordt 2-5% van je jaaromzet als losgeld gevraagd. Via onderhandelingen kan je dat vaak nog halveren. Kan je de ransome betalen, kan je het herstel en oponthoud zonder betalen van ransome nog betalen? Vergelijk het risico dat wilt nemen op cybergebied met het risico dat je wilt lopen door fysieke inbraak, brand, interne fraude, et cetera.
Ik denk dat de meeste bedrijven niet in staat zijn om de beveiliging geheel zelf te regelen. 24×7-beveiliging regelen kunnen weinigen, terwijl 24×7 beschikbaarheid vaak wel vereist is. Dus gaan de meeste bedrijven security uitbesteden.
De aanbieder van security diensten is organisatorisch een onderdeel van de uitbestedende partij. Maar die uitbesteder blijft net zo verantwoordelijk als bij inhuren via detachering.
@robert
je raakt de clue van de paradox; of het is geen kosten bate analyse die nu [tijdelijk] een voordeeltje legt bij security outsourcen, of de materie is dermate complex en lastig en dan gaan ook die out source bedrijfjes voor gaas een keer. Ook die outsource bedrijven moeten mensen zoeken en opleiden enzv. en dat kost geld en tijd en die gaan ze terug verdienen aan al die luitjes die ge-outsourced hebben. Hoe je het ook keer op keer bekijkt, het outsource model is nooit een duurzaam model geweest kan hoogstens een tijdelijke strategie zijn om je eigen toko op de rails en orde te krijgen. Je eigen gebrek aan kennis kun je afkopen en er dus meer voor betalen en je kunt jezelf opwerken in die tijd. Het is immers geen rocket science wat ze doen. De meeste outsource tokos zijn eerder een gelikte glossy folder met beloften en een contract, dan dat er werkelijk kwaliteit geleverd wordt. Toch?
Kijk dit is dus wat ik bedoel: https://www.security.nl/posting/805896/Securitybedrijf+haalt+uit+naar+Microsoft+over+kwetsbaarheid+in+Power+Platform
al je eieren bij een ander in het schaaltje model… en maar hopen dat wat ze beloven ook daadwerkelijk leveren?