Security-as-a-Service
Bedrijven moeten zich niet meer met security bezighouden, stelt Pieter Lacroix, managing director bij Sophos Nederland. Net zoals water en energie als utiliteit worden afgenomen, moet dat ook voor security gaan gelden. “Waarom zou je je nog langer druk maken over iets dat geen kerntaak is voor de organisatie en dat zo snel verandert dat het bijna niet bij te benen is?”
Uit een rapport van adviesbureau Deloitte bleek onlangs dat het Nederlandse bedrijfsleven een mogelijke schadepost van 10 miljard euro heeft als het gaat om cyberdreigingen. De risico’s van cybercriminaliteit zijn onder te verdelen in onderbreking van de bedrijfscontinuïteit, verminderde betrouwbaarheid van producten en diensten en diefstal van intellectuele eigendommen of strategische informatie. Deloitte liet in het Financieele Dagblad weten dat het gros van de raden van bestuur niet goed weet of ze voldoende investeren in de digitale veiligheid van hun organisatie. Deze conclusies staven zijn stelling, meent Lacroix. “Security is als dienst vanuit de cloud leverbaar. Veel zaken die geen kerntaak van een organisatie vormen, worden uitbesteed. Neem de schoonmaak, de catering, maar ook de water- en energievoorziening. Waarom zou je je als bedrijf dan nog wel verdiepen in security? Een marktsegment dat rap verandert en waarin de dreigingen zich zo mogelijk nog sneller ontwikkelen. Voor een bedrijf dat security niet als kerntaak heeft, is dat vrijwel niet meer te doen.”
Utiliteit
Maar het volledig in externe handen leggen van de digitale veiligheid van een organisatie kan voor veel bedrijven nog wel eens een aarzeling opleveren. Die aarzeling begrijpt Lacroix niet helemaal. “Houd je je als bedrijf bezig met waterwinning? Vertel je tegen je energieleverancier dat ze meer moeten inzetten op windenergie en adviseer je dan ook nog welk type windmolen je voorkeur heeft? Nee, wat die twee utiliteiten betreft is het al geaccepteerd dat dit door gespecialiseerde partijen wordt gedaan. Organisaties zullen diezelfde stap moeten maken wat betreft security. Ze leggen de veiligheid van hun organisatie in handen van goed aangeschreven experts die ze vertrouwen. Het zal niet lang duren voordat het bedrijfsleven deze stap heeft gezet, want steeds meer bedrijven komen erachter dat deze wereld zo snel verandert dat het niet bij te houden is.”
Buikgevoel
De grootste aarzeling van organisaties om security uit de cloud af te nemen is buikgevoel. Een grote uitdaging, zegt Lacroix. “Het ontkrachten van buikgevoel is heel lastig. Als iemand de sterke overtuiging heeft dat hij zijn eigen security on premise wil regelen, dan is het lastig om dat uit zijn hoofd te praten.” Een tweede aarzeling wordt vaak ingegeven door bestaande investeringen en omgevingen. Zeker bij grote organisaties die vaak tientallen it-securityspecialisten in dienst hebben en al decennia lang diverse pakketten aan elkaar hebben geknoopt, is het lastig om met een leeg vel papier te starten om de meest optimale security-situatie te schetsen. “Uiteraard zijn er bedrijven die complexe omgevingen nodig hebben, maar de praktijk wijst uit dat er ook organisaties zijn die nu eenmaal gewend zijn om in complexe omgevingen te denken. Voor hen is het vaak lastig om de omschakeling te maken naar een gebruiksvriendelijke cloud-omgeving.”
Lappendeken
De lappendeken aan security-oplossingen die bij veel organisaties draait, is volgens Lacroix juist een reden tot zorg. “Deze oplossingen praten vaak niet met elkaar en overlappen veelal. Het kan rustgevend zijn om een serie groene lampjes te zien op een security-dashboard, maar dat zegt nog niets over de security van de gehele omgeving. Het zegt alleen dat alle op zich staande oplossingen aangeven veilig te zijn. Zolang de systemen onvoldoende met elkaar communiceren en integreren, kan een bedrijf niet van die groene lampjes op aan.” Een cloud gebaseerde totaaloplossing bevat zinvolle communicatie tussen de werkplek, de cloud en het netwerk. Endpoint, server, firewall, web gateway, mobile, encryptie, context aware security en e-mailsecurity zijn allemaal onderdelen die naadloos met elkaar zouden moeten integreren. “Ik raad ieder bedrijf aan om eens met een blanco vel te gaan zitten en zich niet te laten beperken door bestaande investeringen en omgevingen. Teken op dat blanco vel de ideale situatie. Natuurlijk is het voor veel bedrijven niet mogelijk om in een paar dagen of weken naar die situatie te komen, omdat je vast zit aan bestaande contracten. Maar het geeft je wel een einddoel waar je modulair naartoe kunt werken.”
“Security uit de cloud is niet eng; de configuratie, het beheer en gebruik is een stuk eenvoudiger en de terugverdientijd zeer beperkt. Vraag jezelf serieus af: Wil je je als organisatie daadwerkelijk nog zelf met security bezighouden of wil je het inkopen als dienst?”
