Het is lastig om het kaf van het koren te scheiden als het gaat om security-personeel – koren bovendien dat vaak net zo snel weer wordt weggekocht. De schaarste wakkert bij bedrijven dan ook het outsourcen of outtasken aan. In de praktijk neemt vooral deze laatste vorm aan populariteit toe. En terecht, omdat je met outtasking als organisatie zelf de regierol in handen houdt en specialistische kennis inkoopt. Aan de slag met outtasking? Vier tips.
Van time to respond…
Op het moment dat je een security-taak uitbesteedt, zit daar een bepaalde dienstenniveau-overeenkomst (service-level agreement; sla) achter. Overgewaaid vanuit andere it-disciplines, was van oudsher de time to respond de belangrijkste sla. Oftewel, de tijd waarbinnen de leverancier je een reactie geeft. Binnen cybersecurity vertaalt zich dit naar de snelheid waarmee incidenten worden opgepakt. Deze tijdsafbakening voor incident response ontbreekt echter vaak in leveranciersovereenkomsten. Maak daarom in je gesprekken met outtasking-partners goed duidelijk welke verwachtingen je hebt. Zo vindt de ene organisatie een responstijd van vier uur prima, terwijl de andere een halfuur als maximum ziet. Hier zit ook vaak een prijsverschil in. Vraag daarnaast duidelijk uit bij je leverancier welke stappen hij onderneemt om de SLA waar te maken en spreek af welk type incident wordt opgepakt. Alleen die met hoge urgentie of die kritisch zijn voor de bedrijfsvoering, of ook detecties die wat lager op de ladder staan?
... naar time to remediate
Misschien nog wel belangrijker dan de bovengenoemde time to respond, is de time to remediate. Deze sla wordt door veel bedrijven achterwege gelaten, maar is juist het belangrijkste punt dat je kunt stellen binnen cybersecurity. Je wil immers niet weten wanneer je een reactie krijgt, maar binnen welke tijd het probleem is opgelost. Oftewel: welke getallen kan de outtasking-partij aanleveren over hun gemiddelde time to remediate? En hebben ze hier ook garanties of richtlijnen voor?
Prik je tijdstip
Een ander aandachtspunt zijn de werkuren. Stem af op welke uren je outsourcingspartner actief is. Dit lijkt logisch, maar het is goed om dit helder af te bakenen zodat je weet wanneer je op deze partij kunt rekenen. Er zijn niet alleen in kosten, maar ook voor wat betreft risico duidelijke verschillen op te merken tussen bijvoorbeeld een acht-tot-vijf-afspraak of een 24/7-dienst. Evaluatiemomenten moeten als laatste punt op de sla-lijst worden afgevinkt. Hoe vaak en tot in welk detail wordt er geëvalueerd? Op deze manier houd je de vinger aan de pols bij je leverancier.
Auteur: Ronald Pool, cybersecurityspecialist CrowdStrike
Reacties
Outsourcing (of tasking, what's in the name) heeft paradoxaal het volgende effect:
- de kosten die wegvallen door de bespaarde mankracht, betaal je terug in de facturen van de externe dienstverlener
- de kennis die met grote schrede de organisatie verlaat heb jij juist nodig om de regie te voeren
Wel bekent onder de term outsourcingsparadox.
Alleen zwaar gestandardiseerde takken van sport kun je uitbesteden: schoonmaakwerk, telefoonbrigade, catering, datacenter diensten, maar security, hoe bedoel je gestandaardiseerd?
Dingen die moeilijk, ingewikkeld, vervelend enzo zijn, wil men ook graag uitbesteden.
De regie voer je door die "time to remediate" SLAs en die evaluaties.
Dwz dat is wat cybersecurityspecialist CrowdStrike vast voor ogen heeft.
Inderdaad wat moeilijker te controleren dan vinger op de kast vegen, belletje doen en keertje lunchen.
En hoe weet je dan of het prijskaartje klopt, maar weet je dat ook van je eigen medewerkers ?