Blog #5 in een serie blogs over cybersecurity en digitale beveiliging
Wanneer besteed je security monitoring uit? Hoe selecteer je een geschikte leverancier?
Voor zorginstellingen is de IT-omgeving monitoren en eventuele dreigingen opvolgen geen kerntaak. Toch ontkom je er niet aan om je omgeving adequaat te beveiligen. Om te beginnen moet je voldoen aan richtlijnen als NIS2, maar je hebt ook de plicht je medewerkers, patiënten/cliënten en je gehele organisatie (digitale) veiligheid te bieden. De vraag is: kun je dat allemaal zelf? Zo niet, wat besteed je dan uit? En vooral, aan wie? In dit blog kijken we naar de keuzes en opties.
Ga je security monitoring zelf inrichten of uitbesteden?
Bij de keuze zelf doen of uitbesteden spelen drie factoren een bepalende rol:
- Capaciteit en kwaliteit
Beschik je over gekwalificeerd personeel met kennis van relevante software, netwerken en technologieën? Kijk hierbij zowel naar oplossingen die je binnen je eigen omgeving toepast als de nieuwste zaken die in de markt beschikbaar zijn. Hebben je mensen de juiste middelen tot hun beschikking en houden ze hun kennis actief bij? - Continuïteit
Je moet niet alleen beschikken over de juiste mensen, je hebt ook voldoende mensen nodig. 24 uur per dag, 7 dagen per week, 365 dagen per jaar. Security monitoring doe je er niet even bij. Ook verlof en ziekte moeten binnen het team opgevangen worden om continue bezetting te garanderen. - Kosten. Financieel moet het logisch zijn om een dienst uit te besteden.Wanneer je security monitoring zelf inricht, zijn dit de belangrijkste kostenposten:
• Aanschaf, onderhoud en vervanging van tooling en technologie.
• Personeelskosten om de juiste mensen aan te trekken, te ontwikkelen en te behouden.
Deze kosten kun je vervolgens afzetten tegen de kosten van uitbesteding van je security monitoring, waar we verderop in dit blog op terugkomen.
Managed Detection & Response
In deze blogpost richten we ons specifiek op uitbesteden van monitoring en opvolging van security alerts, ook wel bekend als Managed Detection & Response (MDR). De keuze voor een MDR leverancier is in de eerste plaats een strategische, omdat MDR een managed dienst is met een vaak langlopend contract. Vergelijk je dat met bijvoorbeeld de afname van een penetratietest, dan is bij zo’n eenmalig project het risico van een ‘verkeerde’ leverancierskeuze veel kleiner.
Je kan cybersecurity nooit volledig uitbesteden!
Tegelijkertijd is het belangrijk je te realiseren dat je cybersecurity nooit volledig kunt uitbesteden. Er is namelijk altijd sprake van een gedeelde verantwoordelijkheid tussen jouw organisatie en de partij waarbij je diensten belegt. Drie voorbeelden van security verantwoordelijkheden die je niet volledig kunt uitbesteden:
- Opleiden van medewerkers
Planmatig het cybersecurity kennisniveau en de ontwikkeling van je medewerkers verbeteren. - Risicoanalyse en risicobeheer
Een duurzaam cybersecuritybeleid ontwikkelen, implementeren en handhaven. - Naleven van regelgeving
Processen en procedures vastleggen om te zorgen voor naleving van relevante wet- en regelgeving en audits uitvoeren om de naleving te controleren.
Bij bovenstaande taken kun je derde partijen inhuren die je op deze punten ondersteunen, maar je zal het leeuwendeel van het werk intern moeten borgen.
De juiste partner selecteren
Managed Detection & Response uitbesteden helpt de cybersecurity binnen je organisatie te versterken. Maar hoe vind je daarvoor de juiste partner? Dit zijn vijf belangrijke selectiecriteria:
- Bekendheid met de zorgsector
Selecteer een leverancier die jouw sector kent en begrijpt en met zijn dienstverlening inspeelt op jouw specifieke wensen en eisen. Denk bijvoorbeeld aan bekendheid met regelgeving zoals NEN7510 en NIS2 waaraan je moet voldoen. - Ervaring en vertrouwen
Hoe ziet het team van de leverancier er uit? Bestaat dit uit doorgewinterde security professionals? Is het een leverancier met een bewezen track-record of een relatief nieuwe speler? Vraag referenties op die dit kunnen bevestigen. - Integratie met bestaande oplossingen
Kan de leverancier (native) koppelen met bestaande (security)oplossingen in je IT-omgeving? Neem zeker de koppeling met het Z-CERT Zorg Detectie Netwerk (ZDN) De Threat Intelligence van dat kanaal biedt relevante context bij de security alerts op jouw IT-omgeving. - Het geboden service level (SLA) en rapportages
Welke responstijd biedt de leverancier en voldoet dat aan jouw wensen en eisen? Ontvang je maandelijks een rapportage met relevante inzichten over de geleverde diensten? Waar zit het Security Operations Center (SOC), in Nederland of het buitenland? Veel zorginstellingen eisen Nederlandstalige dienstverlening. - Kosten en prijsmodel
Wat is de totale investering? Beweegt de prijs van de dienst mee als je IT-omgeving verandert? Ongeacht het prijsmodel is het belangrijk naar de total cost of ownership (TCO) te kijken, niet alleen nu, maar juist ook bij toekomstige ontwikkelingen in de IT-omgeving.
Ga niet over één nacht ijs
Wel of niet uitbesteden van de cybersecurity vraagt om een goed onderbouwd en breed gedragen besluit. De consequenties van een verkeerde keuze kunnen groot zijn, de voordelen van een goede keuze ook. Ga niet over één nacht ijs. Praat met verschillende partijen en collega-zorgorganisaties. De beste cybersecurity is het resultaat van een gezamenlijke inspanning.
In ons volgende blog gaan we dieper in op de basistechnologieën voor Managed Detection & Response. Het is verstandig om je hierin te verdiepen, zeker wanneer je met leveranciers in gesprek gaat.
Weten waar u staat met uw cybersecurity?
Neem contact op en we gaan daarover graag het gesprek met u aan over cybersecurity veilig inrichten.
Managed Detection & Response en Microsoft Defender XDR
Hoe bescherm je de moderne werkplek tegen digitale aanvallen? Met RAM-IT Managed Detection & Response (MDR) monitoren wij uw IT-omgeving 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En bij dreigingen ondernemen we proactief actie vanuit het Nederlandse Security Operations Center (SOC).
Meer weten hoe wij met MDR en Microsoft Defender XDR uw security op peil brengen en houden? Maak een afspraak voor het complete verhaal.