Beveiliging aan de grenzen van het netwerk is niet langer afdoende om bedrijfsnetwerken te beschermen tegen aanvallen en misbruik. De technologische vooruitgang stelt hogere eisen aan security en nieuwe, steeds complexere oplossingen volgen elkaar daarom in hoog tempo op. Resellers die de kansen van deze groeimarkt willen benutten, zullen flink moeten investeren in kennis rondom deze ontwikkelingen, maar is dat nog rendabel?
Beveiligingsleverancier Decru eist van zijn resellers dat zij gecertificeerd zijn, omdat het om gespecialiseerde producten gaat, zowel inhoudelijk als qua toepassing, zegt Philip van der Wilt, salesmanager Benelux van Decru. ‘We hebben hiervoor trainingen opgezet die we aanvankelijk zelf, maar op korte termijn via een pan-Europese trainingspartner, geven aan de resellers. We verwachten in maart de eerste partners te certificeren, en gemeten naar het aantal aanmeldingen dat bij onze distributeurs in Nederland en België binnenkomt, zullen dat er heel wat zijn.’
Van der Wilt geeft leiding aan het nieuwe kantoor van Decru voor de Benelux, dat op 1 januari 2005 de deuren opende. Decru was echter vanuit de kantoren in Duitsland en Engeland al langer actief in Nederland. Inmiddels wordt het productaanbod van Decru onder meer via distributeur ACAL en reseller ISIT in de markt gezet. Decru levert de DataFort-productreeks, die bestaat uit security-appliances waarin encryptie, toegangscontrole, authenticatie en de controle hierop gecombineerd zijn. De producten zijn speciaal bedoeld voor opslagomgevingen, zoals SAN, NAS, DAS, iSCSI en tape.
Beveiligingsbeleid
De complexiteit en diepgang van security-oplossingen maken trainingen essentieel, meent Van der Wilt. ‘De oplossingen staan namelijk niet op zichzelf, maar moeten beheerd worden en maken bovendien onderdeel uit van het beveiligingsbeleid van de eindgebruikers. Dat beleid is zo sterk als de zwakste schakel, en resellers zullen daarom een goed inzicht moeten hebben in de beveiligingseisen en systeemomgeving van hun klanten.’
De security-producten die de grenzen van het netwerk beveiligen, zoals VPN’s, firewalls en antivirussoftware, kunnen volgens Van der Wilt weliswaar bijna ‘uit de doos’ geïnstalleerd worden en vereisen daarom minder technische kennis van resellers en eindgebruikers. ‘Maar wanneer mensen of medewerkers eenmaal binnen het netwerk actief zijn, spelen andere beveiligingsvraagstukken een rol. Vaak hebben ze dan vrij spel en kunnen ze toegang krijgen tot alle gegevens en bestanden. Uit onderzoek blijkt dat het merendeel van het misbruik van of de aanvallen op deze systemen van binnenuit de organisatie komt. Bedrijven moeten zich daarom bezinnen op het beveiligingsbeleid en zullen daarvoor eerder bij een system integrator of consultancybedrijf aankloppen.’
Deze bedrijven leveren in veel gevallen niet alleen de producten, maar voeren ook een scan uit en adviseren een fundament voor de oplossingen, weet Van der Wilt. ‘Dit moet vervolgens binnen het bedrijf goed beheerd worden. Onze trainingen richten zich daarom op onze partners, maar ook op de eindgebruikers. In de toekomst komt daar ook trainingsondersteuning bij.’
Volgens Hendrik Blokhuis, technisch directeur van Cisco Systems in Nederland, staat bij security de technologie niet los van de organisatie. ‘Beveiliging is vaak geen technologisch, maar een organisatorisch probleem. Resellers hebben dus veel kennis nodig van de security-oplossingen en de onderliggende technologie, maar ook van het beleid, de cultuur en de rol die beveiliging speelt binnen een organisatie.’
Wat betreft het beveiligingsbeleid moet er bij bedrijven nog veel gebeuren, aldus Van der Wilt. ‘Veel organisaties zitten in de ontkenningsfase en worden verrast als er iets gebeurt. Nu is het vaak een kwestie van brandjes blussen en achter de feiten aanlopen, terwijl security pro-actief toegepast kan en moet worden. Bij klanten in de grootzakelijke markt staat dat veel hoger op de agenda. Grote ondernemingen zien hun bedrijfspand niet langer als een kasteel, maar als een vluchthaven, waar veel bezoekers fysiek of elektronisch toegang hebben of op doorreis zijn. We verwachten dan ook dat het daar op korte termijn vandaan gaat komen.’
Bij distributeur NOXS ziet salesmanager Edwin Beerentemfel eveneens dat de vraag naar training rond security in de grootzakelijke markt groter is dan in het midden- en kleinbedrijf. ‘Daar spelen ook meer vraagstukken dan in het MKB, zoals thuis- en telewerken, ontsluiting van bedrijfskritische applicaties naar mobiele apparatuur, het beheer van internetgebruik en beveiliging van het interne netwerk.’
In het MKB draait het volgens Beerentemfel meer om oplossingen voor internetontsluiting, zoals firewalls en antivirussoftware, al dan niet geïntegreerd in een appliance. Deze producten laten zich relatief makkelijk installeren en beheren en vereisen daarom minder technische kennis. ‘Toch groeit ook onder resellers die deze markt bedienen het besef dat speciale aandacht voor beveiliging onderscheidend vermogen biedt,’ zegt Beerentemfel. ‘Zij zullen daarom wel investeren in trainingen, maar als hun klanten niet bereid zijn om te investeren in de oplossingen, houdt het op. Voor deze resellers bestaat dan de mogelijkheid om zelf of via partners de beveiligingsoplossingen van hun klanten over te nemen, bijvoorbeeld als managed firewall en antivirus. Dankzij de schaalgrootte van de dienstverlener kan de eindgebruiker tegen een goede prijs-kwaliteitverhouding, en zonder extra investering in training, het beheer van de beveiligingsproducten voor elkaar krijgen. De reseller krijgt hierdoor toch de omzet en kan de behoefte van zijn klant goed invullen.’
Ondersteuning van distributeurs
Leveranciers stellen volgens Beerentemfel hogere eisen aan de partners die hun producten mogen verkopen. Dat vertaalt zich vaak in de eis dat resellers gecertificeerd zijn. ‘Het dilemma is voor veel resellers dat de kosten voor de baten uit gaan,’ aldus de salesmanager. ‘Maar leveranciers zijn ook gebaat bij een gezond kanaal en willen niet graag omzet mislopen. Door onze medewerking aan een project kunnen onze resellers die de training nog niet gevolgd hebben toch aan de eis van certificering voldoen. Onze partners waarderen dat, want het blijft hun project, maar zij krijgen door onze inzet “training on the job”, waarmee ze praktijkkennis opdoen.’
Gert-Jan Schenk, vice-president partner management EMEA van Juniper Networks, vraagt zich af of het handig is wanneer distributeurs hun certificering inzetten om resellers aan nieuwe projecten te helpen. ‘Verkopen van een product houdt niet op bij het presales-traject. De distributeur helpt bij het binnenhalen van opdrachten, maar wie zorgt er voor het beheer en onderhoud, bijvoorbeeld het accuraat houden van updates, nadat de oplossing geïmplementeerd is? Bovendien kent de reseller de bedrijfsactiviteiten van de klant en weet hij hoe de organisatie in elkaar steekt. Zijn waarde is dus juist in het postsales-traject heel groot, maar daar moet dan wel de productkennis voor aanwezig zijn.’
Juniper heeft echter begrip voor het dilemma van resellers die de kosten en baten van trainingen en certificering tegen elkaar moeten afwegen. ‘Wanneer alle leveranciers certificering vereisen, kan een reseller zijn winst beter direct naar de trainingscentra overmaken,’ aldus Schenk. ‘Wij willen de resellers daarom tegemoet komen en investeren zelf ook agressief in de trainingen van onze partners.’ Medio februari lanceerde Juniper daarom het ‘J-Partner training initiative’, dat tot 30 juni 2005 loopt. ‘Aan het begin van dit jaar stelden we het ondernemingsplan op voor ons resellerbestand in Europa,’ vertelt Schenk. ‘Training is daarbij belangrijk, want de kennis van de reseller bepaalt zijn status in ons partnerprogramma, niet het volume. Wij hechten er veel belang aan dat onze partners kennis kunnen overbrengen op hun klanten, zodat zij ervoor zorgen dat niet alleen de juiste producten aangeboden worden, maar dat deze ook op de juiste manier gebruikt worden. Een rekensommetje leerde ons dat er binnen Europa in het eerste halfjaar van 2005 nog eens duizend gecertificeerde mensen bij moesten komen.’
Daarom nam Juniper het initiatief om zijn ‘Select’- en ‘Elite’-partners vouchers te geven om tegen een gereduceerd bedrag de training volgen. ‘Normaal gesproken kost deze training 2500 dollar, nu slechts 1000 dollar,’ zegt Schenk. ‘Daarnaast krijgen mensen die de training succesvol afronden een gratis product om mee te experimenteren. De waarde van dit product ligt boven 1000 dollar, dus in feite is de training gratis.’
Trainingen in security worden voor partners steeds zwaarder, aldus Blokhuis. ‘Als nieuwe technologieën geïntroduceerd worden, zoals intrusion detection systemen, moeten deze ook in de trainingen en certificeringen opgenomen worden.’ Dit vergroot het dilemma van resellers die de kosten van trainingen tegen de baten afwegen, want voor het vernieuwen van certificeringen moeten steeds intensievere trainingen gevolgd worden. Een aantal resellers haakt hierdoor af, beaamt Blokhuis. ‘De spoeling wordt dunner, maar de kwaliteit van de resellers wordt ook hoger.’ Daarmee neemt de waarde van resellers ook voor eindgebruikers toe.
Ook Cisco komt zijn partners tegemoet om de kosten van trainingen laag te houden, onder meer door e-learning en een aantal gratis trainingen. ‘Dat is ook in ons belang,’ aldus Blokhuis. ‘Maar de kosten-batenanalyse verschilt per reseller. Wie de training als investering ziet, zal eerder geneigd zijn deze te volgen dan wie het als kostenpost ziet. Een investering heeft een bepaald rendement, een kostenpost niet. Hopelijk zien onze partners training als een investering in hun dienstverlening die beloond wordt met een certificering die vertrouwen wekt bij hun klanten. Dat is een investering in continuïteit.’
Goudzoekers
Security is een groeimarkt en dat trekt onvermijdelijk resellers aan die een graantje willen meepikken van de investeringsbereidheid in het bedrijfsleven. Is de certificeringseis van leveranciers niet vooral bedoeld om deze partijen te weren? Niet volgens Van der Wilt van Decru: ‘Het is een kwestie van specialisatie. De combinatie van kennis van opslag, beveiliging en netwerken die nodig is voor de implementatie van onze producten kan alleen verkregen worden via training. Veel security-leveranciers hebben tegenwoordig producten voor beveiliging op applicatieniveau, maar gegevens worden vaak op tien verschillende plekken opgeslagen en een back-up op tape wordt nog steeds in veel gevallen onbeveiligd mee naar buiten genomen. In de opslagomgeving staat alles open. Dat beveiligt Decru door het versleutelen van de data, het authenticeren van gebruikers en het controleren van de administratieve handelingen op het netwerk, van client tot storage.’
Volgens Hendrik Blokhuis, technisch directeur van Cisco Nederland, leidt het geen twijfel dat security een groeimarkt is. ‘Dat zien we terug in de verkoopcijfers, maar het is ook verklaarbaar. Bij bedrijven is het belang van beveiliging toegenomen omdat organisaties tegenwoordig drijven op de netwerkinfrastructuur. Het bewustzijn over security is hierdoor tot in de directiekamers doorgedrongen.’
Volgens Blokhuis is security een integraal onderdeel van de infrastructuur. ‘Ik noem het wel eens het DNA van het netwerk. Net zoals bij mensen is het een zeer complex afweersysteem, dat intelligent genoeg moet zijn om zichzelf te verdedigen.’ Een trend die Blokhuis daarom waarneemt in de security-markt is dat specialisatie onontbeerlijk is. ‘Het is een bijzonder brede markt, want beveiliging speelt een rol bij onder meer gegevensverwerking, dataopslag, draadloze toepassingen en IP-telefonie, wat allemaal verschillende technologieën zijn. Wanneer een reseller actief wil zijn in de security-markt, zal hij daarom ook kennis moeten hebben van die onderliggende technologieën.’
Ook volgens Schenk is security geen markt voor mensen die op zoek zijn naar snel gewin op de korte termijn. ‘Alleen gespecialiseerde bedrijven zullen hier succes boeken. Het is tegenwoordig niet eens voldoende om te zeggen dat je security-getraind bent, want wat betekent dat? Vandaag de dag zijn er zoveel verschillende beveiligingsprotocollen en -technieken, en die behoeven allemaal een andere certificering. Resellers gaan te werk als doktoren: ze komen pas na een grondig consult tot een goed advies, en daarna komt ook het beheer en onderhoud om de hoek kijken. Certificering is daarom geen middel om resellers te weren, maar juist om die bedrijven die bereid zijn te investeren in deze specialisatie te belonen. Daarnaast is certificering voor eindgebruikers belangrijk, want het zegt veel over de kennis en kunde die een reseller in huis heeft. Het is een keurmerk op kennisvlak.’
Security is weliswaar een groeimarkt, en er liggen dus kansen, maar de benodigde training om die kansen te benutten is een aanzienlijke investering. Dat scheidt vanzelf het kaf van het koren onder potentiële resellers. Maar wat is voor resellers die serieus werk willen maken van security de uitkomst van de kosten-batenanalyse van trainingen? Beerentemfel: ‘Dat ligt vooral aan de reseller zelf. Als er alleen gekeken wordt naar de korte termijn of als security slechts af en toe wordt toegevoegd aan het producten- of dienstenaanbod, dan loont het waarschijnlijk niet om certificeringen te halen. Maar het is wel degelijk rendabel voor resellers die kennis willen opdoen om security tot speerpunt in hun portfolio te maken en te werken aan marktontwikkeling.’
