Naar de cloud? Delegeren is controleren.

– Door Steven Dondorp – Algemeen Directeur

Er is nauwelijks nog een organisatie te vinden die geen (delen van) ICT heeft uitbesteedt. We delegeren hosting en beheer en vertrouwen daarbij op externe partijen. Dat vinden we heel normaal. Maar veel minder goed gebruik is het nog om de partij aan wie we uitbesteden actief te controleren. Bijvoorbeeld als het gaat om de mate waarin die partij omgaat met beveiliging.

Vandaag de dag hebben we vrijwel alles gedigitaliseerd. We verwachten een hoge mate van flexibiliteit en transparantie tegen de laagst mogelijke kosten. Standaardiseren en uitbesteden vormen sleutelbegrippen in deze ontwikkeling. ICT dienstverleners spelen natuurlijk in op deze behoefte met compacte ‘all-in’ proposities ‘in de cloud’. Klanten delegeren graag steeds meer van hun ICT taken. Dat is immers geen core business… En precies daar ontstaat een spanningsveld.

Ik spreek wekelijks met klanten die hun ICT hebben uitbesteed. Bijna zonder uitzondering erkennen ze dat ze in hoge mate vertrouwen op hun leveranciers als het gaat om de gedelegeerde ICT taken. Vrijwel zonder uitzondering leeft de overtuiging dat met dat uitbesteden ook de verantwoordelijkheid voor de informatieveiligheid is uitbesteed. “Dat zullen ze toch wel goed geregeld hebben neem ik aan…”

DE SLAGER EN ZIJN VLEES…

Daarmee staan we oog in oog met het grote dilemma ten aanzien van dit thema. Het monster heet tegenwoordig al lang niet meer ‘automatisering’, maar ‘digitale criminaliteit’. En dat probleem is groot, omdat de impact groot is. De bedrijfscontinuïteit staat bij privacy incidenten en digitale hacks meteen op het spel. Daarbij is cybersecurity complexe materie, zijn de mensen schaars en de oplossingen duur.

Dat alles staat van nature haaks op het business model,  de werkwijze en het specialisme van ICT service providers. Dus waarom laten we outsourcingpartijen over zichzelf verklaren dat ze veilig zijn? En belangrijker: tolereren we tijdverlies bij een serieuze hack?

Als u een goede regie wilt kunnen voeren op uw outsourcingpartij, dan hoort daarbij ook het meten van beschikbaarheid, vertrouwelijkheid en de borging van de integriteit van de data. U blijft per slot zelf eindverantwoordelijk (en zelfs bestuurlijk aansprakelijk) voor een datalek. Door security monitoring, detectie en Incident Response uitbesteden aan een onafhankelijke partij, borg je de regie op je outsourcingpartij. Uitvoering en controle worden gescheiden.

SAMENWERKEN LEVERT BETERE RESPONSE

Outsourcing en Hostingbedrijven zien dit vraagstuk zelf ook. Gelukkig mogen we een groeiend aantal van hen rekenen tot onze klantenkring. Je hoeft niet de beste te zijn in Informatiebeveiliging om goede ICT diensten te leveren. Northwave helpt outsourcingsbedrijven bij het behalen van hun security certificeringen zoals ISO 27001 en het beheren van 24*7 Monitoring & Detectiesystemen en Incident Response & CERT diensten.

Daarin zit een enorme bonus voor hun klanten. Voor een snelle en adequate reactie op een incident is de samenwerking tussen de security analisten en de ICT beheerders namelijk van doorslaggevend belang. Door deze samenwerking goed in te regelen en scherp te houden, profiteren alle klanten van zowel het vier ogen principe als een adequate response bij cyber calamiteiten. En daar is iedereen bij gebaat.

Meer over zo’n samenwerking leest u hier: NEH neemt beveiliging bloedserieus.

Steven Dondorp is oprichter en CEO van Northwave.