Samenwerken is een must om de juiste security als MSP te leveren

Dat MSP’s een duidelijke toekomst hebben in het landschap van het IT-kanaal, moge duidelijk zijn. Maar wat is belangrijk en noodzakelijk om die toekomst zo positief mogelijk te maken en welke paden moeten daarvoor juist verlaten worden? Over dit veelzijdige onderwerp organiseerden cybersecurity-aanbieder WatchGuard Technologies en Dutch IT Channel een Ronde Tafel op dinsdag 17 mei in het Amsterdamse Scheepvaartmuseum. Van belang bleek in ieder geval dat elke MSP een focus moet hebben op het vitale onderwerp van security as a service. Door zelf de kennis in huis te halen om klanten te ondersteunen in het continue gevecht met cybercriminelen, of door op dit punt de samenwerking te zoeken.

Sven Janssens, regional director Benelux bij Watchguard, onderstreepte in ieder geval aan het begin van de soms stevige discussie die volgde dat deze aanbieder van security de waarheid niet in pacht heeft. Hij hoopte dan ook met een aantal inzichten vanuit de markt naar huis te gaan (en werd hierin niet teleurgesteld).

“Wij werken hard aan een as-a-service portfolio waarmee MSP’s hun klanten kunnen helpen, in alles van het beschermen tegen ransomware tot het proactief monitoren om een mogelijke besmetting vroegtijdig te voorkomen. We zien een evolutie in de go to market bij MSP’s. Dat is bij uitstek een model waarin we samen klant verder kunnen helpen, een duidelijke transitie naar managed services. Iedereen kijkt daarbij naar cloud-oplossingen, maar vaak is een hybride model juist de beste oplossing. Laten we dat samen oppakken.”

Samen in transitie

Janssens stelde dat Watchguard zelf ook in een transitie zit. “We zijn bekend van perimeter defensie, de ‘doos in het datacenter’. Maar we hebben in het afgelopen decennium ons productportfolio flink uitgebreid met Secure WiFi 6 Access Points, een Multifactor Authenticatie oplossing en Endpoint Security in de vorm van een EDR oplossing.  Door het management van deze security services samen te brengen een een simpel maar krachtig management platform, het Unified Security Platform, gaan we veel verder gaat dan het aanbieden van firewalls en antivirus. Zo willen we bedrijfscontinuïteit waarborgen.”

Ook de ontwikkeling van een MSP-portfolio is een transitie voor Watchguard. Janssens: “We willen complexe materie vereenvoudigen en naar midmarket/mkb brengen. Bedrijven uit dit segment hebben dezelfde security-behoeften als grote enterprise ondernemingen , maar minder capaciteit om dit zelf te realiseren. MSP’s zijn daar de missing link en zijn ideaal gepositioneerd om dat soort bedrijven te kunnen helpen. Daarom hebben wijons portfolio juist voor MS(S)P’s geoptimaliseerd en stellen we hen in staat makkelijk en snel een enterprise grade security te leveren.

Volgens Witold Kepinski, hoofdredacteur van Dutch IT Channel, zijn er veel security-uitdagingen die ook kansen bieden. “Er is veel behoefte aan automation om klanten te ontzorgen, een enorme kans voor MSP’s om klanten echt te helpen met veel meer dan alleen technologie leveren. De diensten eromheen worden steeds belangrijker: medewerkers trainen,  cyberweerbaarheid vergroten, cloud security, identity management. Klanten willen beschermd worden en vooral mkb is nog enorm kwetsbaar.”

Duidelijke versnelling

De toekomst is zeker aan de MSP’er, meent een van de aanwezige gasten. Alleen gaat dat wel wat langzamer dan alle marktonderzoekers hebben voorspeld. “Je hebt altijd voorlopers en partijen die achteraan de kar hangen. Er zijn nog steeds veel dozenschuivers. Die krijgen het wel zwaarder, maar dat gaat veel minder snel dan werd voorspeld.” Wel zie je nu een duidelijke versnelling in de verschuiving van doos naar dienst, mede veroorzaakt door twee jaar digitalisering tijdens en inmiddels na corona.

Eén andere aanwezige MSP’ers stelt het vooral belangrijk te vinden dat een technologie-aanbieder niet op de stoel van een MSP gaat zitten. Samenwerken om een portfolio aan te passen aan marktbehoeften is prima, maar de focus moet liggen op samenwerking tussen MSP’s zelf. En daarbij moeten zij veel verder kijken dan wat men nu vaak ziet als security, maar wat alleen een stukje preventie is.

“Ik denk niet in concurrenten en in preventie alleen. Ik zou graag willen dat elke MSP’er nu al verder kijkt dan preventie. We moeten samen de trend van cybercriminaliteit ombuigen. Cybercriminelen en hackers werken wel samen, waarom doen wij dat niet? Er zijn genoeg grote problemen om aan te pakken.”

Ei versus ui

 Organisaties denken vaak al veilig te zijn met een wachtwoord, zo stelt de MSP’er. Maar dan werk je met security alsof het een ei is. “Je hebt een harde schil, maar is die eenmaal kapot, dan is de hacker binnen. En dat gaat gewoon een keer gebeuren. Je moet security meer zien als een ui met vele lagen. Als de hacker door één of twee lagen heen is, kun je hem in de derde of vierde laag tegenhouden. Daarom is het ook zo nodig om van preventie te gaan naar proactieve monitoring en rapid response.”

Samenwerken om zo klanten beter te bedienen is op zich prima, meent een MSP’er in reactie, maar het is wel een gedeelde verantwoordelijkheid. “Die klanten moeten met security ook wel een tandje bij zetten. Natuurlijk ligt er voor ons ook een taak om op dat punt meer bewustzijn te kweken. Nu laten veel IT-partijen hierin steken vallen. En dan komt een klant erachter dat hij onvoldoende beveiligd is wanneer hij gehackt wordt terwijl hij dacht dat zijn MSP zijn security voldoende geregeld had.”

Minimaal niveau basishygiëne

Des te meer reden, meent moderator Danny Frietman, om als MSP de verantwoordelijkheid te nemen klanten zo snel mogelijk op een minimaal niveau van basishygiëne te krijgen als het om security gaat. Iets dat de aanwezigen zeker beamen, maar waar een aanbieder van security-toetsing bij bedrijven wel een kanttekening maakt.

“Cybersecurity is echt een expertise, meer iets voor een MSSP’er. Die laat ook wel steken vallen, maar veel minder. Een beheerder van een mkb-partij worstelt vaak al met zijn gewone IT. Een MSP’er kan daarbij wel helpen, maar security is vaak geen kernfocus. Als wij als hacker proberen binnen te dringen, zitten we vaak al in de vijfde of zesde laag van het eerdergenoemde ui-model voordat de security-beheerder iets doorheeft.”

Van belang is uiteindelijk dat een organisatie een goed overzicht van diens kwetsbaarheden heeft en dat een MSP’er of MSSP’er de mogelijkheden toont om die aan te pakken. “Dan kan de klant samen met jou bepalen wat een aanvaardbaar risico is en wat dien, op basis van een goede kosten-baten verhouding.”

Het gaat inderdaad om het managen van risico’s, stelt een MSP’er. “Daar koppelen we het soort technologie aan dat het meest geschikt is. Maar security is meer dan technologie bij ons: het is samenspel van zaken. Er zit bewustwording bij, communiceren over risico’s. Wij willen als MSP dat de klant met een glimlach zijn werk kan doen. Dat betekent ook dat de security op orde is. Maar we kiezen er ook voor om bepaalde elementen niet te doen. We zijn inderdaad geen security-partij. Dus we hebben geen eigen SOC. Dat is een hele andere discipline, dat moet je aan derde partij overlaten die daarin gespecialiseerd is.”

Juridisch gevaar

Kiezen voor aanvaardbare risico’s kan echter een juridisch gevaar worden, stellen sommige aanwezigen. Er zijn steeds meer gerechtelijke uitspraken die de verantwoordelijkheid voor de gevolgen van een security-inbreuk neerleggen bij de IT-aanbieder, zelfs al is het de klant die bepaald heeft dat hij bepaalde security-componenten niet wil afnemen – meestal vanwege de prijs.

“De rechter stelt dan toch steeds vaker dat de uiteindelijke zorgplicht en dus verantwoordelijkheid bij de MSP ligt. Wij werken zelf met een audit om te bepalen in hoeverre een klant zijn cybersecurity al op orde heeft. Maar die heeft een beperkte capaciteit, daar kunnen we niet iedereen even snel doorheen halen. En dan nog: een klant kan een overname doen van een partij, waarbij wij totaal geen zicht hebben op diens securityniveau.”

Duidelijke keuzes

Een MSP-adviseur benadrukt hoe noodzakelijk het is om een duidelijke keuze te maken voor wat je als MSP wel of niet aanbiedt en dat duidelijk te communiceren. “Te veel MSP’s doen nog ‘u vraagt, wij draaien’ en kunnen dat dan niet altijd waarmaken. Sommige MSP’s hebben een duidelijke offering in bijvoorbeeld goud, zilver en brons, maar dan biedt de sales manager toch maatwerk aan omdat hij een deal wil binnenhalen. Daar zit een grote valkuil. Je moet soms ook nee durven zeggen tegen een klant.”

Dan komt de discussie opnieuw uit op de mate van noodzaak om meer samen te werken als MSP’ers om zo wel tot een totaalplaatje te komen van cyber-awareness en security en disaster recovery, een goede mix van mensen, processen en technologie. Maar ook om door samenwerking te voorkomen dat een fout van jou een collega-MSP’er in de problemen brengt bij een klant. Dutch IT Channel-hoofdredacteur Kepinski noemt in dat kader de optie van een sourcingmodel, waarbij uiteenlopende MSP’s per klant in diverse rollen samenwerken om een totale oplossing te bieden.

Goed financieringsmodel

Een van de gasten geeft Watchguard de suggestie om niet alleen een goed as-a-service portfolio te ontwikkelen voor MSP’s, maar ook een goed financieringsmodel daaromheen. Voor de technologie, maar ook voor het beheer als er iets mis gaat. Denk maar aan recente voorbeelden zoals van (maar zeker niet alleen) Kaseya.

Een MSP’er kan hier niets aan doen, maar moet wel puinruimen bij een klant die in de problemen komt omdat hij gehackt is  Dat kost veel tijd en energie en – zoals een andere aanwezige opmerkt – dat gaat nog veel erger worden vanwege alle toepassingen die leunen op niet langer ondersteunde programmaatjes die 20 jaar geleden op een zolderkamer geschreven zijn.

“Het is prima dat Watchguard de transatie naar echte recurring modellen faciliteerd, zoals betalen voor hardware uitgesmeerd over drie jaar in plaats van upfront. Maar hoe pak je de problemen aan die ontstaan wanneer er een bug zit in software. Dat kost ons gauw duizenden manuren en daar hoef je niet bij de vendor voor aan te kloppen.”

Inderdaad een goed punt om als vendor rekening mee te houden, beaamt Janssens. Net als de opmerking dat schoenmakers bij hun leest moeten blijven: Watchguard hoeft niet te bepalen wat nodig is voor MSP’ers, maar kan wel veel betekenen door de juiste tools te bieden. Goede opleidingen, trainingen, certificeringsprojecten, laagdrempelig en niet voor de hoofdprijs, zodat ook kleinere partijen hiervan kunnen profiteren.

Conclusie

Transparantie en goede communicatie naar de eindklant; cybersecurity als veel meer zien dan alleen preventie. Keuzes maken tussen wat je als MSP’er wel of niet zelf kunt aanbieden op security-gebied en hiervoor samenwerken met de concurrentie – want de koek is groot genoeg. Er zijn nog genoeg stappen om te zetten op de weg naar de mooie toekomst die voor veel MSP’ers lonkt.

Maar met de juiste ondersteuning vanuit vendors op gebieden waar zij de expertise hebben – zoals awareness-trainingen, certificeringen of een 24/7 SOC als managed service – en door de juiste financiële faciliteiten te bieden – zal de transitie naar een volledig recurring verdienmodel in ieder geval een stuk makkelijker worden.

Bekijk de video reportage: Round Table: Hoe ziet de MSP van de toekomst eruit?

Door: Martijn Kregting