Security uitbesteden is logisch, maar valt opvallend vaak tegen

Over security en IT valt altijd wel wat te zeggen. Het is een markt die een ongekende groei doormaakt. Het aantal redenen meer aan security te doen neemt eerder op uurbasis toe dan op dagbasis. Verder is het een terrein waar enorm veel specialistische kennis vereist is. Die is zoals bekend schaars, zeer schaars zelf.

Schaarste leidt tot outsourcing

Die schaarste is een van de hoofdredenen waarom bedrijven en overheden delen van de sores om security willen outsourcen. Het is niet alleen een kwestie van willen, het is in de meeste gevallen ook een kwestie van moeten. Outsourcing is een bekend principe. Met een beetje fantasie is zelfs elke vorm van hosting te voorzien van dat label. Dat is dan ook direct een voorbeeld van outsourcing waar weinig over te doen is. In de meeste gevallen is daar weinig negatiefs over te melden.

Logische ontwikkeling

Met die ervaring en kennis enerzijds en de opkomst van cloud anderzijds is het logisch dat ook steeds IT gebruikers nadenken over het outsourcen van delen van de IT security. Voor de aanbieders is ook logisch. Daarnaast is het vanwege de verminderde marges door cloud een welkome verbreding van het portfolio. Of de huidige aanbieder zelf de security maatregelen op zich kan nemen, of dat daar een derde partij voor wordt ingeschakeld is daarbij even niet verder aan de orde.

MSSP

De term die in deze context gebruikt wordt is MSSP – de Managed Security Services Provider. Wat dat precies is en hoe dat functioneert in een aantal Europese landen, waaronder Nederland, in februari onderzocht. Pierre Audoin Consultants (PAC) deed het werk en het werd mede mogelijk gemaakt door Computacenter. 200 CIO’s, CISO’s, CSO’s en CTO’s werkzaam in de commerciële sector werden hiervoor benaderd.

De conclusie van PAC bestaat uit 7 punten en die zijn allen beschreven vanuit het klant perspectief. Zo lezen we dat de specifieke eisen er toe leiden dat de gewenste oplossing altijd maatwerk zal bevatten. Een bank heeft een andere boodschappenlijst dan een zuivelfabriek. Dat door dat maatwerk de gehoopte snelheid van uitvoering, kostenvoordeel et cetera anders zijn spreekt voor zich. Tegelijk zijn dat punten waar je als aanbieder zelf ook wat mee kunt. Sterker nog, met dit onderzoek als leidraad kun je via maatwerk en sector kennis je USP’s verder uitbouwen.

Wat verder heel duidelijk naar voren komt: ISO 27001 o.i.d. is allang niet meer genoeg. Soft skills en in het bijzonder in staat zijn goed met de klanten te communiceren worden boven aan elke shopping lijst gezet.

Niets is zeker

Tenslotte is er nog een waarschuwing voor wie vermoedt dat security bieden aan zijn klanten gouden business is. Er is geen garantie dat de vraag per klant stabiel of voorspelbaar is. PAC heeft genoteerd dat maar liefst 31% van de benaderde ondernemingen al weer delen van de uitbesteedde IT security werkzaamheden in huis heeft gehaald. Ook een puntje om te onthouden dus, helemaal als je prospects benaderd met een aanbod hun IT security over te nemen. Het kan zomaar zijn dat ze daarmee al de nodige mindere ervaring hebben.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen