You are on page 1of 5

Uitbesteden van ICT-beveiliging

Uitbesteden van ICT is een onderwerp wat volop in de belangstelling staat. Veel organisaties stellen zich de vraag of zij (delen van) de ICT-voorzieningen zelf willen beheren of dit aan anderen overlaten. Beveiliging van ICT is een onderwerp wat oo bij !itbesteden een rol speelt. "it !nnen worden aan whitepaper geeft aan wel e aspecten van ICT-beveiliging !itbesteed

leveranciers van ICT-diensten en wel e j!ist niet. "it wordt van!it twee gezichtsp!nten benaderd na#elij ICT-beveiliging als onderdeel van !itbesteden en het !itbesteden van ICT-beveiliging zelf. ICT-beveiliging bij uitbesteden Bij !itbesteden worden wer zaa#heden die een organisatie zelf !itvoerde niet #eer zelf gedaan #aar als dienst afgeno#en van een leverancier. $onder in details te treden o#t het erop neer dat de !itbestedende organisatie een te leveren dienst vraagt en de leverancier levert deze. "e !itbestedende partij stelt hierbij eisen en wensen op voor de te leveren dienst. %nderdeel van dit pa et van eisen en wensen zijn de beveiligingseisen. In het alge#een geldt dat &wie betaalt oo bepaald'. "e opdrachtgever van het !itbesteden zo! d!s de eisen die aan beveiliging gesteld worden #oeten bepalen. (chter de opdrachtne#er heeft oo nog wat te vertellen over de beveiligingseisen. "eze heeft een eigen infrastr!ct!!r waarin het !itbestede deel wordt opgeno#en. "e eigen infrastr!ct!!r #oet beveiligd worden #aar de opdrachtne#er heeft er oo voor te zorgen dat de infrastr!ct!!r van andere opdrachtgevers niet in gevaar o#t. "e opdrachtne#er zal als het goed is oo acceptatiecriteria hebben op het gebied van beveiliging o# het beheer van de infrastr!ct!!r van zijn lanten goed te !nnen !itvoeren. )lleen dan an een service level agree#ent (*+)) goed worden nage o#en. "e belangrij ste beveiligingseisen o#en voort !it de wet- en regelgeving. "eze worden i##ers dwingend opgelegd. %o staan er sancties op het niet na o#en van wet- en regelgeving. ,anneer het !itbesteden gebe!rt naar een partij in het b!itenland nee#t wet- en regelgeving een nog belangrij ere rol in. -e rijgt dan te #a en #et de wet- en regelgeving zoals die in het b!itenland van toepassing is.

Uitbesteden van ICT-beveiliging

/ Vanveen infor#atica

Bij !itbesteden hebben we te #a en #et de gebr!i elij e o!tso!rcingsvoorwaarden zoals looptijd0 osten en dergelij e za en die in de contracten genoe#d worden. Voor sec!rit1 zijn er een aantal afspra en waarop gelet #oet worden. "it zijn afspra en zoals die oo breder gelden dan alleen sec!rit1 zoals responsetijden0 helpdes perfor#ance en beschi baarheid van #ensen. )fspra en o#trend het !itvoeren van !pgrades en patches en de effectiviteit van sec!rit1prod!cten en #aatregelen zijn afspra en die specifie in het ader van sec!rit1 ge#aa t #oeten worden. In de pra tij ligt de foc!s bij het aangaan van o!tso!rcingsovereen o#sten op de te leveren f!nctionele diensten. ICT-beveiliging wordt vaa vergeten of er worden onvoldoende d!idelij e afspra en over ge#aa t. Voor ICT-beveiliging bij !itbesteden is het volgende van belang2 Beveiligingseisen #oeten e3pliciet benoe#d worden. "eze #oeten d!idelij 0 helder en niet voor #eerdere !itleg vatbaar zijn. Beveiligingsrisico's die een !itbestedende organisatie loopt #oeten afgede t worden door de leverancier. 4isico's #oeten oo inzichtelij zijn. 4isico's die een !itbestedende organisatie loopt wanneer een ICT-leverancier de afgespro en beveiligingseisen niet na o#t. Controleren of de leverancier zijn afspra en o#trend ICT-beveiliging wel na o#t.

Uitbesteden van ICT-beveiliging 5aast het !itbesteden van ICT iest een organisatie so#s voor het !itbesteden van alleen de ICTbeveiliging. (en veel genoe#d arg!#ent o# beveiliging !it te besteden is dat het te ingewi eld is o# zelf te doen. *ec!rit1 op zich is niet ingewi eld #aar het va gebied ICT-beveiliging is contin! in hoog te#po aan verandering onderhevig. 6et ost daar#ee d!s veel tijd en geld o# bij te blijven op het gebied van ICT-beveiliging. 7et na#e voor leinere organisatie an het waarborgen van contin!8teit en ennis een problee# zijn. Voor veel organisaties geldt bovendien dat het !itvoeren van ICT en ICT-beveiliging in het bijzonder niet tot de pri#aire taa behoort. 6et #ini#aliseren van de inspanning voor ICT-beveiliging is dan een reden o# sec!rit1 !it te besteden. %perationele beveiligingsta en zijn !itste end !it te besteden. Voor het controleren van logfiles0 het #onitoren van s1ste#en0 het !itrollen van patches en andere beheerta en zijn d!idelij e afspra en te #a en. Binnen d!idelij e aders is goed aan te geven wat gedaan #oet worden onder wel e o#standigheden en wat het res!ltaat dient te zijn. 6oe deze afspra en er!it zien wordt bepaald door het beveiligingsbeleid. 6et beveiligingsbeleid bepaald d!s hoe de eisen er!it zien die aan een leverancier worden gesteld. 6et bepalen van het beveiligingsbeleid is d!s iets wat j!ist niet aan een

Uitbesteden van ICT-beveiliging

/ Vanveen infor#atica

e3terne partij

an worden !itbesteedt. Uiteraard zo! een andere e3terne partij wel

!nnen

#eehelpen #et het opstellen van dit beleid. Leveranciersselectie )ls de ICT-beveiliging geheel of gedeeltelij !it handen gegeven wordt wil je nat!!rlij wel dat dit oo in goede handen is. Voor het eizen van een goede leverancier van diensten an een leveranciers- en prod!ctselectie !itgevoerd worden. $owel de leverancier als de prod!cten en diensten die hij levert worden hierbij beoordeeld. (en belangrij e vraag die gesteld #oet worden bij een leveranciersselectie voor beveiligingsdiensten is wel e ennis een leverancier in h!is heeft. %o specifie e bedrijfs !ndige ennis of ennis van de bedrijfsta opti#aal aanwenden o# bedrijven in deze sector van dienst te zijn. "e beveiliging zoals die door de leverancier zelf gehanteerd wordt is oo een criteri!# bij de an belangrij zijn. (en sec!rit1 provider die weet wat er speelt in bijvoorbeeld de bancaire sector an zijn ennis en diensten

selectie. (en leverancier die zijn eigen beveiliging slecht op orde heeft is geen geschi te andidaat o# daar de beveiliging in beheer te geven. "e leverancier an worden beoordeeld op het leveren van en het zelf op orde hebben van de f1sie e beveiliging0 logische beveiliging0 wet- en regelgeving0 standaarden en best practices. (en leverancier die zegt dat hij .::; beveiliging biedt lin t interessant #aar is niet realistisch. <roviders z!llen leveren wat is afgespro en en waar ze d!s oo voor betaald worden. "e volgende fig!!r laat zien hoe beveiligingsaspecten in de gehele contract lifec1cle #et een leverancier naar voor o#en. 6ier!it blij t oo wel dat ICT-beveiliging geen een#alige actie is bij !itbesteden #aar dat dit tel ens blijft ter!g o#en en d!s oo ge#anaged #oet worden.

Uitbesteden van ICT-beveiliging

/ Vanveen infor#atica

Controle %f de gehele ICT-beveiliging n! !itbesteed wordt of dat bij !itbesteden re ening geho!den #oet worden #et de beveiliging in beide gevallen zal de sec!rit1 taa die door een leverancier !itgevoerd wordt gecontroleerd #oeten worden. Voor de opdrachtgever is controle belangrij o# event!ele risico's inzichtelij te #a en zodat daarvoor passende #aatregelen geno#en !nnen worden. Tegenover andere partijen zoals bijvoorbeeld controlerende instanties an de opdrachtgever dan oo laten zien dat de beveiliging ge#anaged wordt en dat de opdrachtgever d!s &in control' is. "e leverancier zal een a!dit of controle #oeten toestaan van de opdrachtgever. 6et is oo de taa van de opdrachtgever o# deze controle !it te voeren of te laten !itvoeren. %# niet tegen blinde vle en aan te lopen is het verstandig dat deze controle periodie en door verschillende partijen wordt !itgevoerd. )ndere test#ethoden en andere sec!rit1 ennis en achtergronden !nnen leiden tot andere waardevolle !it o#sten van een a!dit. Vanveen informatica Vanveen infor#atica an voor organisaties die h!n ICT willen !itbesteden of reeds hebben e !itbesteed de beveiligingsrisico's die hier#ee gepaard gaan in aart brengen. 5a een gedegen anal1se van de ICT-infrastr!ct!!r zoals die !itbesteed is of gaat worden z!llen de zwa beveiligingsple ple en vor#en en in de ICT-infrastr!ct!!r inzichtelij ge#aa t. Voor de risico's die deze zwa e !nnen aanbevelingen gedaan worden o# de risico's te ver leinen. Vanveen

Uitbesteden van ICT-beveiliging

>

/ Vanveen infor#atica

infor#atica %o

an oo

een#alig of periodie

de stat!s van de ICT-beveiliging controleren. 6et

na o#en van de beveiligingsafspra en die door beide partijen ge#aa t zijn wordt gecontroleerd. an getoetst worden of de ICT-beveiliging overeenste#t #et het ICT-beleid. !nnen wij de *ec!rit1 *can co#bineren #et onze (thical 6ac en *ocial worden

%p !w verzoe

(ngineering prod!cten. 7et deze rapportages an een zeer !itgebreid en co#pleet beeld worden ver regen van de beveiliging van !w ICT-infrastr!ct!!r. %nze *ec!rit1 *can belangrij e aspecten beschi baar Meer informatie Voor #eer infor#atie !nt ! contact opne#en #et Vanveen infor#atica0 telefoon :?@-=>=:@:@ of per e-#ail vanveenAvanveen.nl. Bij voor een co#pleet en act!eel overzicht van onze prod!cten op www.vanveen.nl. Ir. C. 6ogewoning De auteur is security consultant bij Vanveen informatica(www.vanveen.nl). Vanveen informatica is een zelfstandige en onafhankelijke IC !kennis!organisatie" actief vanaf #$%&. De kerncom'etenties van onze organisatie liggen o' het ontwikkelen" beheren en beveiligen van de infrastructurele kant van de IC omgeving van onze o'drachtgevers. an oo geco#bineerd #et de <erfor#ance- en )vailabilit1 *can0 zodat !w applicatie-s1stee# op alle an worden doorgelicht. Van deze prod!cten zijn aparte beschrijvingen

Uitbesteden van ICT-beveiliging

/ Vanveen infor#atica