Een extra paar ogen om uw digitale veiligheid te vergroten

IT-beveiliging is een specialistisch vakgebied, waarin de ontwikkelingen elkaar in een razend tempo opvolgen. Niet iedere organisatie heeft de benodigde kennis in huis om hun IT-omgeving adequaat te beveiligen en te voldoen aan alle relevante wetgeving. Een managed security services provider helpt hierbij en levert een onafhankelijke blik op de informatiebeveiliging. Lieuwe Jan Koning, CTO van managed security services provider ON2IT, legt uit wat de toegevoegde waarde van managed security services providers is, en waar u op kunt letten bij het selecteren van een provider.

  • IMG_5681-bw-groot-300x266 Lieuwe Jan Koning
  • “Wie kiest voor een managed security services provider kiest ervoor op het gebied van IT-security ontzorgd te worden. Je weet in dit geval dat er te allen tijde een specialist meekijkt die indien nodig direct kan ingrijpen”, aldus Koning. “IT-security is een complex vakgebied, waarvoor specialistische kennis noodzakelijk is. Omdat security maatregelen zoals firewalls en anti-ransomware oplossingen zeer snel veranderen, is het haast onmogelijk om je IT-omgeving te beveiligen tegen de nieuwste bedreigingen. Tenminste, wanneer security niet je focus en specialisme is. Dit wordt nog versterkt doordat de gehele IT ook verandert. Zo zien wij vaak dat de beveiliging van cloud omgevingen onvoldoende aandacht krijgt. Dit terwijl deze omgevingen steeds vaker in rechtstreekse verbinding staan met de on-premise IT-omgeving van een organisatie. In omgevingen als Amazon Web Services en Microsoft Azure, die voor veel organisaties nieuw zijn, werken zaken als firewalls en netwerken nét even anders. Hoe maak je die net zo veilig als de bestaande IT-omgeving en breng je ze onder een managementparaplu?”

Waarom uitbesteden?

“Medewerkers die verstand hebben van security, zijn niet eenvoudig te vinden en te behouden. Verder dienen ze continue te worden geschoold om bij te blijven. Security is echter dermate belangrijk dat het vraagt om focus. Een managed security services provider richt zich volledig op IT-beveiliging. Dit in tegenstelling tot een interne IT-afdeling, die bijvoorbeeld onder druk kan staan nieuwe software en features snel beschikbaar te maken. Door deze druk kan de verleiding ontstaan concessies te doen op het gebied van digitale veiligheid. Een managed security services provider wordt juist afgerekend op eventuele beveiligingsproblemen bij de klant. Er ontstaat zo een gezond spanningsveld. Een managed security services provider richt zich dus volledig op IT-beveiliging en zorgt hierdoor dat security altijd een topprioriteit is.”

De afgelopen jaren is een positieve verschuiving zichtbaar in de houding van bedrijven ten opzichte van IT-beveiliging. Voorheen waren veel organisaties bang dat een te hoog veiligheidsniveau de business te veel zou beperken. Deze misvatting is gelukkig verleden tijd.

Wetgeving maakt noodzaak groter

“Daarnaast merken we de laatste jaren dat op bestuurlijk niveau de druk steeds hoger wordt om bewijsbaar veilig te zijn, onder andere door de introductie van nieuwe wetgeving. Denk hierbij aan de meldplicht datalekken, die bedrijven verplicht bij de Autoriteit Persoonsgegevens melding te maken van ernstige datalekken. Wie dit niet doet kan forse boetes opgelegd krijgen”, legt Lieuwe Jan Koning uit.

“Een ander voorbeeld is de Europese General Data Protection Regulation, die in mei 2018 wordt ingevoerd. Deze Europese wetgeving trekt databeschermingswetten in lidstaten van de Europese Unie gelijk en verplicht bedrijven data van gebruikers adequaat te beveiligen. Wie dit niet doet kan een boete opgelegd krijgen die kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Met het oog op dergelijke wetgeving is het voor organisaties van cruciaal belang zich bewust te zijn van hun beveiligingsniveau, eventuele beveiligingsrisico’s in kaart te brengen en aan te kunnen tonen dat zij hun IT-beveiliging op orde hebben.”

Soorten managed security services

Managed security services kunnen hierbij helpen. Koning: “Deze diensten zijn beschikbaar in verschillende vormen en varianten. Denk hierbij aan dienstverlening die zorgt dat security controls die binnen de organisatie aanwezig zijn op de juiste manier beheerd worden en zijn voorzien van de juiste policies. Een concreet voorbeeld is het adequaat inrichten van een firewall die bijvoorbeeld voor Microsoft Azure wordt geplaatst, zodat deze optimaal presteert. Je kunt immers de beste firewall inzetten, maar zonder de juiste configuratie en voldoende onderhoud kan deze zijn werk niet efficiënt uitvoeren en is je IT-omgeving niet goed beveiligd.”

Een andere belangrijke dienstverlening die managed security services providers leveren is monitoring. “Beveiligingsoplossingen verzamelen doorgaans een enorme hoeveelheid informatie. Niet alle informatie is echter even relevant en vereist direct ingrijpen. Een managed security services providers kan deze informatie voor de klant monitoren en hierin onderscheid maken. Hierdoor is direct inzichtelijk welke alerts actie vereisen en wordt zeker gesteld dat tijdig adequaat wordt ingegrepen. Ligt bijvoorbeeld een bepaalde applicatie opvallend veel onder vuur? Dan kan dit een aanwijzing zijn dat deze applicatie een kwetsbaarheid bevat die actief wordt uitgebuit en kan het noodzakelijk zijn maatregelen te nemen om deze dreiging te mitigeren. Actieve monitoring maakt het mogelijk ‘direct terug te schieten op de aanvallers’.

Ruwe data vertalen naar concrete maatregelen

Om terug te kunnen schieten is het echter wel noodzakelijk dat verzamelde gegevens begrijpelijk worden gemaakt. “Veel managed security services providers bieden een Security Information and Event Management (SIEM) oplossing aan. In een dergelijke oplossing wordt alle security gerelateerde informatie voor de klant verzameld. Deze informatie is doorgaans echter complex en voor de gemiddelde klant niet eenvoudig te interpreteren. Het is dan ook van groot belang dat de informatie die in een SIEM wordt aangeboden voor de klant wordt vertaald, zodat direct duidelijk is welke maatregelen de gedetecteerde dreigingen vereisen.”

Koning: “Helaas ontbreekt deze vertaalslag bij veel SIEM oplossingen. ON2IT heeft daarom SIEM+ ontwikkeld. Dit is een slimme portal waarin de te nemen vervolgstappen centraal staan. We bieden klanten dus niet alleen inzage in ruwe data, maar vertellen de klant welke concrete maatregelen genomen kunnen worden om de gedetecteerde dreigingen te mitigeren”, aldus Koning. “Daarnaast worden deze maatregelen in belangrijke mate geautomatiseerd doorgevoerd, zodat dreigingen direct worden gemitigeerd.”

Kaf van het koren scheiden

Wie in zee wil gaan met een managed security services provider heeft tegenwoordig de keuze uit een breed scala aan bedrijven. Het is echter niet eenvoudig het kaf van het koren te scheiden en te kiezen voor de beste provider, stelt Koning. “In de praktijk zien wij helaas dat veel managed security services providers zich weinig proactief opstellen. Deze partijen beantwoorden vragen van hun klanten, passen indien gewenst een policy aan en leveren iedere maand een overzicht van bijvoorbeeld de meest aangevallen IP-adressen, zonder daadwerkelijk maatregelen te nemen op basis van deze informatie. Voor een klant heeft dit soort informatie echter weinig waarde. Zo hebben zij vaak moeite dergelijke informatie goed te beoordelen en is het voor hen lang niet altijd duidelijke welke maatregelen zij het best kunnen nemen om dergelijke dreigingen aan te pakken.”

Infographic-ON2IT-MSS_517x615-517x615

“Het is dus van belang dat een managed security services provider actief meedenkt en - op basis van aangeleverde informatie - concrete maatregelen voorstelt om de bron van het probleem aan te pakken. Daarnaast dient een provider deze maatregelen indien gewenst al dan niet geautomatiseerd voor de klant door te voeren en hen hierbij te ontzorgen”, aldus Lieuwe Jan Koning. 

Basiskennis is noodzakelijk

“Bij het selecteren van een managed security services provider is het in mijn ogen het belangrijkst voldoende door te vragen om duidelijk in kaart te brengen wat een provider precies levert. Probeer daarnaast -indien mogelijk- de dienstverlening uit zodat deze in de praktijk kan worden ervaren.”

Dit is overigens niet altijd eenvoudig, aangezien dit een zekere basiskennis over IT-beveiliging vereist. “Om bedrijven te helpen deze basiskennis op te doen organiseren wij jaarlijks Bright & Cloudy, een event waarop kennisdeling centraal staat. Deelnemers leren op Bright & Cloudy alles over de laatste ontwikkelingen op het gebied van zowel IT-beveiliging als cybercriminaliteit en ontdekken welke maatregelen helpen bepaalde dreigingen het hoofd te bieden. Meer informatie over Bright & Cloudy is te vinden op brightandcloudy.nl.” 

Waar moet ik op letten bij het selecteren van een managed security services provider?

  • Krijg ik begrijpelijke actionable items op basis van gedetecteerde problemen en risico’s waar ik wat mee kan?
  • Denkt mijn aanbieder mee hoe ik op andere gebieden mijn security kan verbeteren? Bijvoorbeeld door de inzet van een andere architectuur of de hybride cloud.
  • Is er sprake van transparantie en verifieerbaarheid? Heeft u bijvoorbeeld ongelimiteerd toegang tot logs en policy van apparatuur?
  • Is er sprake van een periodieke evaluatie van alle gevonden zaken en de opvolging daarvan?
  • Wordt er bij de correlatie externe threat intelligence toegevoegd aan uw eigen logging, om incidenten goed te kunnen duiden?
  • Op welke systemen staan de security gegevens en rapportages opgeslagen? En voldoen die systemen minimaal aan de eigen security eisen?
  • Is er sprake van een volwassen security proces bij de aanbieder? Bijvoorbeeld: is het statement of applicability van het ISO27001 voldoende relevant om uw gegevens te beschermen, en niet alleen die van de aanbieder?
  • Worden belangrijke bedreigingen automatisch geblokkeerd, dus zonder dat handmatig ingegrepen wordt?
  • Wanneer een infectie op uw netwerk ontstaat, wordt er 24x7 gereageerd?
  • Kan ik op grond van rapportages bewijzen dat ik geen datalek heb gehad?
  • Krijg ik een bewerkersovereenkomst?

Wouter Hoeffnagel is freelance journalist