We worden er dagelijks aan herinnerd: cybersecurity was nog nooit zo belangrijk voor uw onderneming als vandaag. Maar misschien moet u net daarom overwegen om de beveiliging van uw ict-infrastructuur uit te besteden aan een SECaaS (security as a service) provider. Dat is heus niet zo tegenstrijdig als het lijkt.
Zakendoen gebeurt steeds meer digitaal. De communicatie met de buitenwereld, de bedrijfsprocessen, en vaak zelfs de besluitvorming kunnen niet meer zonder uw ict-infrastructuur. It wordt als het ware een nutsvoorziening, maar dan voor bedrijfsprocessen. Dat heeft enorme voordelen inzake efficiëntie en reactiesnelheid: een goed draaiende organisatie kan heel wat kosten besparen en een grotere omzet draaien. Maar er is ook een keerzijde: als de ict-systemen uitvallen, dreigt de organisatie bijzonder veel geld te verliezen. Je verliest niet alleen de omzet van die dag(en), je loopt ook het risico dat een klant uit frustratie niet meer terugkeert, en dan is er ook nog de opgelopen reputatieschade natuurlijk.
Tegelijk is er de toegenomen aandacht voor privacy. Bedrijven dragen een zware verantwoordelijkheid voor de data van hun klanten. Het is dus in hun eigen belang en in dat van de klanten dat ze die data voldoende beschermen tegen elke vorm van gegevenslek: verlies, diefstal, blootstelling aan derden, …
Meer bedreigingen, meer te beschermen
In de praktijk blijkt het voor organisaties steeds moeilijker om zichzelf afdoende te beschermen. Hoe meer processen en gegevens worden gedigitaliseerd, hoe meer er te beschermen valt, dat spreekt voor zich. Maar de behoefte aan bescherming groeit ook door het groter aantal bedreigingen. Die bedreigingen nemen dan tot overmaat van ramp nog eens vele verschillende vormen aan: van klassieke malware over spyware tot DDoS-aanvallen en de zo gevreesde apt’s (advanced persistent threats), die niet alleen bijzonder gesofisticeerd zijn, maar ook verduiveld hardnekkig. Zulke bedreigingen kunnen zich soms maanden in je infrastructuur nestelen voor je ze hebt ontdekt of voor ze hun snode bedoelingen beginnen uit te voeren.
Bedrijven staan dus voor de haast onmogelijke taak om hun infrastructuur steeds beter te beveiligen, terwijl het aantal bedreigingen nog nooit zo groot en gevarieerd is geweest. Dat vergt niet alleen betere beveiligingssoftware en -hardware, maar ook steeds betere security-specialisten. Maar zulke specialisten zijn bijzonder schaars, en bovendien hebben weinig organisaties een fulltime baan voor deze witte raven. Om nog maar te zwijgen van de vele maanden opleiding die meestal nodig zijn om een nieuwe werknemer inzetbaar te maken, zelfs binnen de organisatie.
SECaaS, een verstandig alternatief
Managed security services kunnen dan een oplossing bieden. Een betrouwbaar Security Operations Center (SOC) heeft verscheidene ict-security experts in huis die de infrastructuur van de klant zo goed mogelijk beveiligen, maar ook 24/7 monitoren om in geval van inbreuken meteen te kunnen ingrijpen en de schade tot een minimum te beperken. Anno 2016 kan je met vrij grote zekerheid zeggen dat iedereen vroeg of laat het slachtoffer wordt van een geslaagde hack. De focus moet dus niet alleen liggen op het voorkomen van een inbraak, maar ook op het efficiënt ingrijpen wanneer het toch zo ver komt.
We zien dat het zelfs voor de allergrootste Belgische bedrijven niet evident is om een eigen, fulltime security team te hebben voor de beveiliging van de infrastructuur. SECaaS – security as a service – is dan ook voor zowat elk bedrijf een verstandig alternatief. Een managed security services provider kan het zich veroorloven om specialisten in huis te halen, omdat de kennis en de kosten voor het in dienst nemen kunnen worden verdeeld over verschillende klanten. Dat geldt ook voor het ontwerpen, implementeren, onderhouden en monitoren van de beveiligingsinfrastructuur.
En de kleinste bedrijven? Eerlijk gezegd: op dit moment zijn er nog wel bedrijven die enerzijds de kost van een eventuele downtime afwegen tegenover de kost om extra te investeren in security en dan toch bewust het risico op downtime willen lopen. Of bedrijven die eerst nog moeten investeren in de juiste devices vooraleer ze überhaupt voordeel halen uit een managed security service. Bij andere organisaties is dit plaatje dan weer helemaal anders en is de kost van één dag onbeschikbaarheid gelijk aan een volledig jaarabonnement op onze managed security services.
Vergeet ook niet dat de nieuwe Europese datawetgeving (GDPR) binnenkort overtreders een boete kan opleggen van 4 procent van de volledige omzet. Dit kan een bedrijf fataal worden…groot of klein.
SECaaS is dus niet zozeer afhankelijk van de grootte van de organisatie, maar eerder van de belangen die op het spel staan. Elke onderneming die van zijn ict-infrastructuur afhangt voor een goede werking van de organisatie, maar zich geen fulltime security team kan veroorloven, zou dit zeker moeten overwegen. U wellicht dus ook.