Waarom het noodzakelijk is om het tekort aan mensen en kennis zo snel mogelijk op te lossen
IT is inmiddels het kloppend hart geworden van de organisatie en dat maakt dat het tekort aan IT-specialisten bovenaan de agenda van elke boardroom staat - of althans, zou moeten staan. IT is fundamenteel geworden voor het functioneren en het succes van een organisatie. Maar dat brengt ook risico’s met zich mee. De noodzaak van het hebben van een goed werkende IT-omgeving heeft hier een interessant en winstgevend doelwit van gemaakt voor cybercriminelen. Het niet hebben van mensen met de juiste IT- en security-skills - iets waar veel bedrijven tegenwoordig mee te maken hebben - kan dus desastreuze gevolgen hebben.
Het is absoluut noodzakelijk om de risico’s die dit tekort met zich meebrengt weg te nemen om de organisatie, zijn mensen en zijn dienstverlening draaiende en veilig te houden. Maar hoe doe je dat als het bijna onmogelijk is om daarvoor de juiste mensen te vinden? Een “make or buy” keuze kan een organisatie hierbij verder helpen.
Hoe ga je om met het tekort aan mensen en kennis?
Een veelgebruikte manier om het tekort aan mensen en kennis op te vullen is door te werken met partners, bijvoorbeeld managed service providers of leveranciers. Als gevolg hebben as-a-Service-diensten de afgelopen jaren een enorme vlucht genomen. Zo worden system integrators niet alleen meer ingezet om technologische oplossingen te implementeren, maar ook om ondersteuning te bieden wanneer een organisatie een probleem niet zelfstandig kan oplossen. Daarnaast zijn er inmiddels verschillende service providers die het beheer van de IT-omgeving volledig uit handen nemen.
Laat het beheren van de IT-omgeving nou net datgene zijn waar organisaties over het algemeen de meeste hulp bij nodig hebben en waarvoor een “make or buy” keuze steeds vaker aan de orde van de dag is. Een complexe en diverse IT-omgeving in combinatie met een stortvloed aan alerts maakt het interne IT-teams lastig om beveiligingsincidenten goed en snel te analyseren, te priotiserien en de juiste actie te ondernemen. Doordat zij steeds meer tijd kwijt zijn aan het dagelijks beheer van de omgeving, kunnen zij genoodzaakt zijn om activiteiten zoals het uitvoeren van patches en updates of het tijdig reageren op incidenten, te laten schieten ten gunste van bijvoorbeeld het opvolgen van de dagelijske storingen. Het hebben van up-to-date inzicht in de omgeving en mogelijke incidenten is echter essentieel om effectief weerstand te kunnen bieden tegen cyberaanvallen. Het uitbesteden van (een deel van) incident response aan een gekwalificeerde partner kan ervoor zorgen dat interne IT-teams meer tijd vrij hebben om zich te richten op hun andere taken. Daarnaast bieden deze partners vaak de actuele kennis van het dreigingslandschap dat nodig is om op de juiste manier op de juiste dreigingen te reageren.
Het inzetten van specialistische dienstverleners wordt steeds relevanter naarmate organisaties het tekort aan mensen en kennis niet intern op kunnen lossen. Maar het feit dat deze uitgebreide ondersteuning uitkomst kan bieden aan een onderbemand IT-team, betekent niet dat er intern helemaal geen mensen met kennis van cybersecurity meer nodig zijn en ontslaan organisaties ook niet van hun eigen verantwoordelijkheden op dat gebied.
De organisatie blijft verantwoordelijk voor zijn eigen IT-omgeving
Ondanks dat externe organisaties kunnen helpen het tekort aan kennis en vaardigheden op te vullen, moet de organisatie wel regisseur blijven van zijn eigen IT-omgeving. Een externe dienstverlener kan namelijk niet alle problemen die voortkomen uit het hebben van te weinig kennis en kunde oplossen. Zo kan een dienstverlener bijvoorbeeld wel advies geven over wat te doen bij een beveiligingsincident, maar zal het interne beveiligingsteam keuzes moeten maken als een incident zich voorbij – bijvoorbeeld over het “uitschakelen” van een applicatie. Dit kan natuurlijk ook worden uitbesteed, maar hiervoor is kennis van de business en het applicatielandschap wel een essentieel onderdeel. Het hebben van interne kennis en vaardigheden is dus noodzakelijk om het werken met een partner-ecosysteem te laten slagen.
Daarnaast blijft de organisatie zelf verantwoordelijk voor het maken van strategische keuzes betreffende het functioneren en veilig houden van zijn eigen omgeving. Dit geldt ook voor alle onderdelen die door partners beheerd worden. Het is belangrijk om binnen de organisatie duidelijk te bepalen wie waarvoor verantwoordelijk is. Zo voorkom je dat er naar elkaar gewezen wordt en niemand echt verantwoordelijkheid neemt, zeker als er iets fout dreigt te gaan of er een incident plaatsvindt. Deze verantwoordelijkheid hoort niet alleen binnen de IT-organisatie goed te worden belegd, maar zeker ook binnen het C-level. Dit stopt niet met het vastleggen van verantwoordelijkheid maar omvat ook een actieve betrokkenheid van het hogere management.
Waarom het noodzakelijk is het tekort aan mensen en kennis zo snel mogelijk op te vullen
Het ziet er niet naar uit dat het tekort aan mensen en vaardigheden snel opgelost zal worden. Zo’n tekort kan echter wel een negatieve impact hebben op de continuteit van de organisatie. Het is daarom noodzakelijk dat dit gat zo snel mogelijk opgevuld wordt. Organisaties moeten beslissen of zij de beveiliging van hun omgeving intern houden (make) – hier is echter wel specialistische kennis en ervaring voor nodig - of dat ze het beheer en 24/7 monitoren van beveiligingsincidenten uitbesteden aan een partner (buy).
Door: Pieter Molen (foto), Technical Director Benelux bij Trend Micro
