Steeds meer organisaties besteden beveiliging uit om kosten te besparen en beveiligingsnormen te verhogen. Bedrijven hebben verschillende opties voor het uitbesteden van beveiliging - waaronder het kiezen voor beheerde en gehoste diensten. Deze zijn ideaal voor organisaties die niet over de nodige instrumenten, middelen en budgetten beschikken om deze kwesties intern aan te pakken.

Een veelgebruikte manier van uitbesteden is het gebruik van een managed security service provider (MSSP) die een reeks diensten kan leveren, waaronder contentfiltering, VPN's en gegevensback-up. We kijken naar de best practices voor het uitbesteden van security en de stappen die je moet zetten om te beginnen.

1. Houd rekening met je kosten

Sommige bedrijven beschikken niet over de middelen, het budget en de vaardigheden om alle beveiligingsfuncties intern uit te voeren.

Maar vooraleer je een besluit neemt over een bepaald veiligheidsplan, is een herziening van de begroting een cruciale stap. Dit geeft organisaties een beter inzicht in hun totale kosten en hoeveel beveiliging zij zich kunnen veroorloven.

Een noodzakelijk onderdeel van deze stap is het samenwerken met zowel finance executives, een lid van het IT-team, als het dedicated securityteam - als je er een hebt. Dit proces kan belangrijke verbeterpunten op het gebied van veiligheid aan het licht brengen en tegelijkertijd brengt het vaak, binnen de begrotingslimieten, een doeltreffende uitbestedingsstrategie aan het licht.

Het gebruik van een MSSP kan de organisatie een 24/7 dekking garanderen van hoogopgeleide professionals, terwijl het ook een maximale bescherming biedt voor bedrijfs-, werknemers- en klantinformatie.

Bedrijven moeten de kosten van een inbreuk op de beveiliging afwegen tegen de kosten van outsourcing. In sommige organisaties kan het de moeite waard zijn om een MSSP in te huren die de operationele kosten kan drukken en tegelijkertijd specifieke vaardigheden kan aanreiken die je organisatie mist.

2. Maak een plan

Bedrijven moeten een alomvattend plan ontwikkelen voor het uitbesteden van beveiliging om ervoor te zorgen dat de middelen niet worden misbruikt en dat alle betrokkenen kunnen beschikken over een volledige specificatie van de veiligheidsmaatregelen.

Volgens Harvey Nash heeft slechts 20% van de organisaties het gevoel dat ze voorbereid zijn op een veiligheidsincident. MSSP's kunnen bedrijven de ondersteuning en expertise bieden op gebieden van security waar zij wellicht geen vertrouwen in hebben, of op gebieden die sterk gestandaardiseerd zijn en dus veel haalbare opties voor outsourcing bieden.

De ondersteuning van een MSSP kan het welkome effect hebben dat een beveiligingsteam de tijd krijgt om aan andere, boeiender taken te werken. Zij zullen echter nog steeds een belangrijke rol moeten spelen bij het toezicht op hoe security wordt uitgevoerd.

3. Overweeg je opties

Door het huidige beveiligingsbeleid te herzien en penetratietesten uit te voeren, krijg je een beter inzicht in het bedrijf en in de manieren waarop je security kunt uitbesteden.

Het is essentieel om vooraf te onderzoeken bij het beslissen welke leverancier het meest geschikt is voor het uitbesteden van je security. Bedrijven zullen moeten beslissen wat ze zoeken in de MSSP-relatie en wat elke leverancier kan inbrengen.

Een MSSP kan bedrijven het beveiligingsniveau bieden dat zij nodig hebben en hen tegelijkertijd op de hoogte houden van de ontwikkelingen op het gebied van securitydreigingen.

Organisaties zouden een proefrun met verschillende leveranciers moeten voorstellen, zodat MSSP's kunnen aantonen hoe zij met bepaalde veiligheidsrisico's zouden omgaan. Dit kan de onderneming helpen om met kennis van zaken te beslissen welke onderneming zij moet kiezen.

4. Voer regelmatig penetratietesten uit

Volgens een onderzoek van Harvey Nash in 2017 is een derde van de organisaties de afgelopen 24 maanden het slachtoffer geweest van een groot veiligheidsincident.

Met "penetratietesten" wordt gedoeld op een geautoriseerde gesimuleerde aanval op een computer of netwerk die de beveiliging van een systeem test.

Voordat de beveiliging wordt uitbesteed, moeten deze tests regelmatig worden uitgevoerd om informatie te verzamelen over gebieden waarop verbetering nodig is en over andere potentiƫle zwakke punten. Dit zal een MSSP helpen een beter overzicht te krijgen in het systeem en de beveiligingseisen.

5. Investeer in vaardigheden

Een MSSP met een combinatie van securityvaardigheden, ervaring en inzicht in de beveiligingsgeschiedenis van de organisatie biedt de beste resultaten. Beveiligingsteams zouden er echter goed aan doen de werkzaamheden van de MSSP en de zich voortdurend ontwikkelende bedreigingen voor de veiligheid op de voet te volgen.

Het in eigen huis ontwikkelen van de relevante vaardigheden kan leiden tot een betere relatie met outsourcing-bedrijven, maar ook tot het ontwikkelen van een betere houding van werknemers ten opzichte van veiligheid binnen de organisatie.

6. Beslis wat je gaat uitbesteden

Een MSSP biedt een scala aan verschillende beschikbare diensten, afhankelijk van de behoeften van je bedrijf.

Bedrijven kunnen door het lezen van recensies en het onderzoeken van hun eerdere ervaring bepalen of de MSSP aan hun securityvereisten kan voldoen.

Firewalls en VPN's zijn twee gebieden die gewoonlijk aan MSSP's worden uitbesteed omdat ze 24 uur per dag en 7 dagen per week kunnen worden gemonitord.

Moderne firewalls zijn in staat om het gedrag van netwerkverkeer en gegevens van applicatielagen te analyseren. Voor organisaties die middelen verplaatsen naar AWS en derden kan het echter moeilijker zijn om veilig te blijven.

Beveiligingsmonitoring is een van de meest tijdrovende taken voor beveiligingsteams. Het bijhouden en beoordelen van securitylogs kan worden uitbesteed aan MSSP's die logaggregatie aanbieden, en aan meer geavanceerde diensten zoals het analyseren van hele beveiligingsincidenten en security information and event management (SIEM).

7. Maak tijd voor de leverancier

Zodra je je leverancier hebt geselecteerd, moet er wel duidelijke communicatie zijn. Zo moeten er realistische deadlines worden gesteld voor projecten. Dat helpt bij het ontwikkelen van een effectieve zakelijke relatie.