Inkopen van cybersecuritydiensten

Stel als organisatie de vraag waarom je  bepaalde maatregelen wilt treffen. Welk probleem dient opgelost te worden?

In de voorbereiding op het maken van een keuze over het zelf doen of uitbesteden van cybersecuritydiensten, dien je goed uit te onderzoeken welk niveau van weerbaarheid past bij de organisatie en welke maatregelen je daarvoor dient te treffen. Veiligheid is een middel om de organisatiedoelen te waarborgen en moet geen doel op zich worden dat conflicteert met de organisatiedoelen.

Vergroot afbeelding

Het belangrijkste element van de projectscope is de behoefteomschrijving. Om duidelijk in kaart te brengen welk resultaat er behaald dient te worden door zelf een capaciteit te ontwikkelen of expertise in te kopen is het nodig een duidelijke behoefte vast te stellen. Door middel van het bepalen van de risico’s, de huidige weerbaarheid, het gewenste doel-niveau (end-state) en het gat tussen beide (GAP-analyse) stel je vast welke ontwikkelingen nodig zijn om het gewenste niveau te komen. Deze ontwikkelingen vormen samen de behoefte. Vervolgens besluit je om als organisatie zelf in deze behoefte te voorzien of om deze in te kopen.

De risicoanalyse

Breng in kaart waar de organisatie zich tegen dient te beschermen. Wat zijn mijn organisatiedoelen en welke processen helpen mij om deze organisatiedoelen te bereiken? Hiervoor raadpeeg je de onderstaande publicaties.  Het doorlopen van deze documenten helpt je al aardig op weg met het creëren van een overzicht ten behoeve van de te beschermen belangen, de dreiging en de risico’s.

Hoe breng ik mijn te beschermen belangen in kaart?

Hoe breng ik mijn technische te beschermen belangen in kaart?

Hoe breng ik mijn dreigingen in kaart?

Risicomanagement
 

End-state

De end-state is het gewenste niveau van weerbaarheid, waardoor de organisatie voldoende weerbaar zal zijn tegen de verwachte dreigingen. De risicoanalyse heeft in kaart gebracht waartegen de organisatie zich zou moeten beschermen en door middel van een GAP-analyse bepaal je welke aanvullende maatregelen er benodigd zijn om deze gewenste end-state van weerbaarheid te bereiken.

GAP-analyse

In de GAP-analyse kijken we naar de volgende drie facetten:

• Waar moeten we ons tegen beschermen?
• Welke maatregelen hebben we reeds getroffen?
• Welke maatregelen zijn aanvullend daarvoor nodig?

Aan de hand van deze drie vragen maakt de GAP-analyse scherp welke maatregelen mogelijk ontbreken om het passende niveau van digitale weerbaarheid te bereiken. Door deze stappen te volgen heb je een scherp beeld waar de digitale weerbaarheidsbehoefte ligt. Denk aan bepaalde kernprocessen die onvoldoende beveiligd blijken tegen de actuele dreiging met de huidige beveiligingsmaatregelen. Vervolgens bepaal je of je zelf in staat bent deze behoefte te vervullen, en bepaal je hoe ze deze wil implementeren. Indien het treffen van de aanvullende maatregelen past binnen de capaciteiten van de eigen organisatie, hoeft er niet uitbesteed te worden.

Op basis van de risicoanalyse en het uitvoeren van de GAP-analyse weet je  welke aanvullende ontwikkelingen er nodig zijn om ervoor te zorgen dat de organisatiedoelen behaald kunnen blijven worden. De ontwikkelingen die de organisatie van het huidige niveau van weerbaarheid naar de gewenste end-state van weerbaarheid brengen vormen de logische behoefte. Deze kan bestaan uit het trainen van medewerkers, het aanschaffen van tooling of het inhuren van externen om een bepaald doel te bereiken.

Gerichte vraag

Het doel van het stellen van de gerichte vraag is het ontvangen van een voorstel voor een mogelijke oplossing van de leverancier. De gerichte vraag, of Request for Proposal (RFP), zal door de mogelijke leverancier beantwoord worden met een voorstel.

In deze stap kijk je naar het opstellen van een gerichte vraag voor de uitbesteding van een oplossing van het hiervoor gedefinieerde probleem. Daarbij neem je elementen mee uit een dreigingsanalyse en behoeftes die volgen uit wet- en regelgeving. Vervolgens dient overwogen te worden op welke wijze deze uitdagingen op te lossen zijn zonder nieuwe uitdagingen toe te voegen. Wanneer is de taak volbracht en kan de overeenkomst beëindigd worden?

Wat komt er vervolgens kijken bij het oplossen van het probleem? Is er een gebrek aan capaciteit, kwaliteit of expertise binnen de organisatie? Wanneer je dit helder hebt wordt de probleemoplossing steeds concreter.

Heb je scherp welk probleem opgelost moet worden, dan koppel je hier randvoorwaarden aan die vervolgens afgestemd worden met de leverancier van de oplossing. Hoe concreter de vraag des te makkelijker de partij waarbij je uitbesteedt, kan helpen. Zo voorkom je dat de oplossingen de situatie alleen maar ingewikkelder maken of überhaupt niet van toegevoegde waarde zijn.

Bij het vormgeven van de gerichte vraag staat de gewenste aanvullende maatregel, of het pakket aan maatregelen centraal. Vervolgens kijk je naar de reeds geïmplementeerde maatregelen en de beschikbare eigen capaciteit en hoe deze samen zal werken met de uit te besteden diensten. Wanneer de vraag voldoende gericht en compleet is, moet deze een duidelijk beeld geven over de behoefte zodat een mogelijke leverancier deze begrijpt en met een voorstel kan komen.

Het onzorgvuldig opstellen van een RFP kan er toe leiden dat de gevraagde dienstverlening uiteindelijk minder oplevert dan dat het kost. Bijvoorbeeld doordat het inhuren van bepaalde expertise zoveel begeleiding van de eigen medewerkers vraagt, dat deze collega’s niet meer toekomen aan hun normale werkzaamheden. Daardoor gaat de weerbaarheid achteruit in plaats van dat het toeneemt. Het is dus belangrijk dat je goed kijkt of de geformuleerde hulpvraag aan de leverancier ook echt een hoger niveau van weerbaarheid zal opleveren.

Nu er een gerichte vraag gedefinieerd is en de eisen waar de oplossing aan moet voldoen bepaald zijn, ga je op zoek  naar een partij die deze oplossing kan faciliteren. Het is essentieel dat je zelf goed de vraag begrijpt voordat de vraag wordt uitgezet. Heb je middels de risicoanalyse en assetinventarisatie een goed beeld van wat er beschermd moet worden? Daarbij zou het uitvoeren van een dreigingsanalyse of cybersecurity volwassenheidsassessment ook bij kunnen dragen aan het beeld over de ontwikkelbehoefte en inzicht in de te beschermen belangen. Als het antwoord eenmaal ja is, zoek je naar een partij die past bij jouw behoeftes. Hier zijn een paar zaken om rekening mee te houden:

• Hebben ze de juiste kennis en expertise? Kan dit bewezen worden?
• Begrijpen zij mijn vraag. Snappen ze waarom ik er zit en kunnen zij mij uitleggen wat mijn behoefte is? Past dit bij mijn behoefte/wens?
• Daarnaast is het heel belangrijk te bedenken wat je uitbesteed, en waar dan risico's zitten als je dienstverlener gehackt wordt.
• Kies je voor uitbreiding van een bestaand contract met een bekende leverancier, of kies je voor een nieuwe, onbekende leverancier?
• Laat je de keuze voornamelijk leiden door prijs, of laat je kwaliteit doorslaggevend zijn?
• Passen ze bij jouw huidige maar ook potentiële groeibehoefte?

Dit zijn belangrijke punten om op te letten zodat je voorkomt dat je een onjuiste oplossing aangedragen krijgt. In de publicatie Detectie in cybersecurity worden nog een aantal tips meegegeven over het aangaan van een uitbestedingstraject.

“Slechte security is misschien nog wel erger dan geen security.”

Nadat een potentiële leverancier een oplossing heeft aangeboden op basis van de RFP, is het belangrijk deze oplossing goed te toetsen en te testen op toegevoegde weerbaarheid en haalbaarheid.

Het mag bijvoorbeeld niet zo zijn dat de capaciteitbesparende maatregelen veel capaciteit kosten. Dit stem je af met SLA’s (Service Level Agreements) of KPI (Key Performance Indicators)-trackers.

Deze fase is cruciaal om te kijken of de oplossing passend is voor de eerder geïdentificeerde behoefte. Zo kunnen eventuele fouten of andere problemen geïdentificeerd worden. Denk aan:

• De detectieoplossing is juist maar zelf mis ik de expertise om de opvolging te doen.
• Ik heb een tool gekocht die passend is voor de oplossing maar zelf hebben we de expertise helaas toch niet. Wellicht kan een training van de leverancier toegevoegd worden om de expertise op te bouwen.

Daarbij is het van groot belang om de risico’s van de leverancier als organisatie en de voorgestelde oplossing te onderzoeken. Op welke wijze heeft deze leverancier zijn eigen cybersecurity ingericht? Zijn er certificaten om dit te bewijzen? Bestaat er aanleiding om te denken dat ze failliet kunnen gaan op korte termijn of andere omstandigheden waardoor ze de beloofde dienstverlening niet meer verder voortzetten?

Het is belangrijk om processen in te richten voor het begeleiden van cybersecuritydiensten na het inkopen hiervan. Het uitbesteden van cybersecuritydiensten is niet een eenmalige aankoop. Vanaf het moment dat er een overeenkomst aangegaan wordt dient de dienstverlening en samenwerking met de leverancier actief gemonitord en beheerd te worden.

Verschillende diensten vragen om verschillende soorten beheer. Binnen de eigen organisatie verdeel je  over mensen die bijvoorbeeld het inkoopproces beheren en iemand die het inhoudelijke functioneren van de dienstverlening of tool in de gaten houdt. Het heeft de voorkeur dat de risico of producteigenaar van de securitydienst waarbij de leverancier betrokken is, de inhoudelijke beheersprocessen uitvoert. Het dient in de overeenkomst vastgelegd te worden aan wie de leverancier bepaalde vragen moet stellen of keuzes kan voorleggen. Indien een leverancier van detectiediensten een hele grote dreiging waarneemt, moet de leverancier weten wanneer zij zelf maatregelen mogen treffen, tot welke ernst van incidenten de securitywerknemers van de eigen organisatie keuzes mogen maken, of wanneer de bestuurder zelf een keuze moet maken over het offline halen van het hele netwerk.

Dit soort mandaat-afspraken dienen in de overeenkomst opgenomen te worden. Daarnaast is het ook belangrijk om vast te leggen langs welke lat de kwaliteit van dienstverlening gemeten wordt. Vaak wordt hier gebruik gemaakt van Key-Performance-Indicators (KPI´s) en worden afspraken gemaakt over controle-(audit en pentest)mogelijkheden. De leverancier zal periodiek met de organisatie aan tafel gaan om de afgesproken resultaatgebieden te bespreken. Door het vastleggen van afspraken en het proces om de dienstverlening te beheren, is de kans kleiner dat er miscommunicatie ontstaat tijdens de samenwerking.

Het voorgaande proces heeft ervoor gezorgd dat er cybersecuritydiensten afneemt en je de overeenkomst sluit. Vanaf dit punt treedt de levering in werking en moet je het beheer opstarten.

Zorg ervoor dat er binnen de organisatie processen ingericht zijn, zoals overeengekomen, die helpen bij het monitoren en evalueren van de uitbesteden diensten. Zo creëer je inzicht in de effectiviteit van de afgenomen diensten. Wellicht werken de maatregelen toch niet goed genoeg of worden er nieuwe problemen geïdentificeerd. Dit geeft directe input om bij te sturen op de afgenomen diensten.

Er moet binnen de eigen organisatie kennis over de afgenomen diensten zijn. Zo kan je altijd inhoudelijk in gesprek met de leverancier en identificeer je eventuele blinde vlekken binnen de organisatie.