Ondanks het bestaan van een massa mythen, is het antwoord op deze vraag relatief ondubbelzinnig. Met enkele aanpassingen komt het neer op de stelling: vooral outsourcing in cybersecurity beheerde detectie- en responsservices, is veel efficiënter en economischer voor bedrijven dan het hele proces in het algemeen te verzekeren door de krachten van een gespecialiseerde interne structuur.
De belangrijkste taak is om de kosten te minimaliseren
De meest hardnekkige mythe in cybersecurity wordt geassocieerd met het begrip kosten, de meest urgente en urgente kwestie voor het topmanagement: outsourcing is altijd duurder dan het hebben van specialisten in huis. Het verdrijven van deze mythe is niet zo moeilijk. Laten we doorgaan.
Het is de moeite waard om te beginnen met het feit dat cybersecurity zo efficiënt mogelijk werkt uitsluitend in het verbinden van mensen, technologie en processen. Alleen op deze manier, en niet anders, is het mogelijk om een volledige beschermingscyclus van het bedrijf te verzekeren tegen externe en interne cyberspace-bedreigingen.
Bij de beslissing om een budget toe te kennen voor cybersecurity, laat het management van het bedrijf zich vaak leiden door verouderde en fundamenteel onjuiste concepten. Alleen duidelijke en prioritaire kapitaalinvesteringen in technologie worden in aanmerking genomen. De duurste schakel in deze keten is immers, zo lijkt het op het eerste gezicht, de technologie. U kunt ze voelen en op zijn minst visueel het resultaat van financiële uitgaven beoordelen. Zelfs nu wordt het concept van een cyberbeveiligingsproject voor velen geassocieerd met de aankoop van specifieke beveiligingssystemen, die grofweg moeten worden gekocht, geïnstalleerd en in werking gesteld. Dit is de eerste en belangrijkste waanvoorstelling.
Technologie kopen is een eenmalige investering. Met andere woorden een redelijke en begrijpelijke investering. Een beetje onhandig maar constant, en als gevolg daarvan worden de volumekosten dieper verborgen.
De juiste mensen zijn de essentiële investering
Mensen zijn het duurste en tegelijkertijd het meest waardevolle bedrijfsmiddel. Om het proces te verzekeren, is het cruciaal om te begrijpen: of het zin heeft om binnen het bedrijf een multidisciplinair, zeer gespecialiseerd team te vormen (wat precies is wat het zou moeten zijn in de huidige omstandigheden van een zeer complexe verscheidenheid aan technologieën en bedreigingen) of dat het zinvol om dit proces geheel of gedeeltelijk toe te vertrouwen aan een externe competente uitvoerder die van A tot Z is gebouwd en gericht op het oplossen van dergelijke vraagstukken. In duidelijke taal, outsource en in professionele termen, meld u aan voor managed security DR-services (detectie en respons).
Daarom is het belangrijk om bij het plannen van investeringen in cybersecurity de kosten alomvattend en correct te berekenen. U moet in de eerste plaats rekening houden met niet eenmalige investeringen in vaste activa, maar met toekomstige operationele kosten voor het onderhoud ervan. Het leidt vooral tot extra investeringen in personeel en hun opleiding. Door alleen naar het eerste te kijken, slaagt het bedrijf er niet in de juiste balans te vinden, maar creëert het in plaats daarvan een illusoire beveiligingsefficiëntie door de accumulatie van technologieën. Tegelijkertijd is het onderliggende proces contraproductief en het resultaat waardeloos.
Veel bedrijven zijn in dezelfde situatie beland: ze zijn overwoekerd met dure technologische beveiligingscomplexen. Ze kunnen de operationele werklast van hun onderhoud niet aan. Het gaat niet alleen om service, maar het gaat niet alleen om service, maar niet alleen om service. Het gaat erom de resultaten van dergelijke systemen te analyseren en toe te passen om het operationele proces te verbeteren. Er zijn veel technologieën, maar de efficiëntie gaat richting nul.
Is het veilig om beveiliging in handen van iemand anders te geven?
De tweede hardnekkige mythe, die logisch en misschien zelfs onlogisch is, ontstaat in de situatie van informatiebeveiliging en klinkt meestal in de vorm van een retorische vraag: "Hoe kunnen we beveiliging uitbesteden als het beveiliging is?" Maar wacht, besteedt u uw zorg niet uit op de polikliniek? Besteedt u de zorg voor uw kinderen niet uit aan babysitters? Om de een of andere reden veroorzaken deze gebieden niet zulke gewelddadige debatten, geschillen, twijfels of diepe gedachten. Het is de moeite waard omdat een arts een specialist is, en u zult niet altijd zelf een diagnose stellen en u zult blindedarmontsteking niet verwijderen. Hoewel het op het eerste gezicht voldoende is om alleen een scalpel, watten en een verband te kopen, maar wat nu?
Outsourcing in cybersecurity is geen mooi klassiek voorbeeld van outsourcing in de vorm van het volledig overdragen van processen aan een externe opdrachtnemer. Het is altijd een synergie van de inspanningen van de klant samen met de acties van de beveiligingsprovider. Bovendien is het hele proces strikt gereguleerd en vastgelegd in de SLA (service level agreement), waarvan de garanties op geen enkele manier vergelijkbaar zijn met het verantwoordelijkheidsniveau van een specifieke medewerker uit het personeel van het bedrijf.
Meestal zien we een situatie waarin er "meerdere operators" in het bedrijf zijn, die zowel de systemen bedienen als rapporten genereren over de efficiëntie van de processen. Met andere woorden, een specialist die zichzelf taken oplegt, voert deze vervolgens zelf uit. Niet elke organisatie, ook niet een grote, kan het zich veroorloven om een groot team van specialisten en procesmanagers in dienst te hebben. Tegelijkertijd is het simpelweg onmogelijk om de resultaten van een enkele "multiprocessor" waarop alle processen zijn gebaseerd objectief te evalueren. Het management is immers meestal verre van competent op het gebied van cyberbeveiliging. Niemand beoordeelt de risico's die zich in dit geval voordoen en de gevolgen kunnen betreurenswaardig zijn.
Een bedrijf waaraan de beveiliging wordt uitbesteed, kan a priori de zaken van de klant niet schaden, aangezien dit een reputatiekwestie is. Bovendien hebben beveiligingsdiensten in feite niet direct betrekking op commerciële informatie.
Tegelijkertijd krijgt het klantbedrijf 24/7 volledige bescherming tegen bedreigingen, de beste technologieën tot nu toe en een bemand team van professionals. Deze laatste wordt precies in die verhouding en in die hoeveelheid aangeworven die overeenkomt met de reikwijdte en specificiteit van de technologieën die nodig zijn voor een bepaald bedrijf.
De urgentie van de keuze is vooral relevant in het licht van de recente gebeurtenissen. De ineenstorting van fragiele beveiligingssystemen deed het beseffen hoe belangrijk het is om multi-level en professionele beveiliging te vormen. Zelfgemaakte patches werken niet. Duizenden bedrijven hadden de kans om dit te zien. De kwestie van outsourcing verdween vanzelf. Het antwoord is duidelijk: ervaren specialisten aantrekken en hier en nu handelen is noodzakelijk.
laat een reactie achter
Heb je iets te zeggen over dit artikel? Voeg je commentaar toe en start de discussie.