In de voortdurend evoluerende wereld van digitale technologieën en complexe bedrijfsinfrastructuren staan organisaties voor de uitdaging om hun IT-beveiliging op peil te houden. En we begrijpen maar al te goed dat men door de bomen soms het bos niet meer ziet. Een trend die we de laatste tijd veel zien, is dat veel bedrijven ervoor kiezen om hun IT-beveiliging toe te vertrouwen aan de IT-leveranciers waar ze al járen mee samenwerken. Op het eerste gezicht lijkt dit misschien logisch, maar in de praktijk kan dit leiden tot een verwarrende situatie waarin niemand volledig begrijpt wat er precies speelt en hoe veilig de organisatie werkelijk is.
Specialistatie versus de alleskunner
Het eerste dat we moeten begrijpen, is dat een gemiddelde IT-leverancier gespecialiseerd is in het leveren van IT-hardware, software en basisdiensten. Ze hebben ervaring op deze gebieden, maar dit maakt hen nog geen experts op het gebied van IT-beveiliging. Hun focus ligt vaak op het bieden van oplossingen die voldoen aan de technische vereisten van een organisatie, maar ze hebben mogelijk niet de diepgaande kennis en expertise om te anticiperen op en te reageren op de voortdurend veranderende dreigingen in het digitale landschap.
“De ‘ijzersterke’ firewall en de ‘waterdichte’ omgeving bleken niets meer dan een valse belofte zoals een voormalig Amerikaanse president nog wel eens maakte”
Zie het als bedrijf dat keukens installeert. Dit kunnen ze geweldig goed en de chef-koks kunnen nu de heerlijkste gerechten bereiden. Maar je gaat vervolgens niet datzelfde bedrijf vragen om ook de sloten op je deur, je alarm of je camera’s te installeren, toch? Dit gebeurt wel veel wanneer het aankomt op IT-security. Nu willen wij geen enkele IT-leverancier afbranden, maar wij gaan ook geen netwerken bouwen of hardware leveren. Waarom niet? Omdat we daar niet genoeg verstand van hebben.
Slager keurt zijn eigen vlees
Het welbekende gezegde is hier ook erg van toepassing. Wanneer jouw IT-leverancier je hele omgeving heeft opgebouwd en beheert, dan zal het bijzonder slecht uitkomen als blijkt dat deze zo lek als een mandje is. Wanneer je deze zelfde partij een IT-security onderzoek laat doen is de kans best groot (zo achten wij) dat de omgeving tip top in orde is! Wat een geluk zeg. Maar de werkelijkheid is vaak niet zo rooskleurig.
Sterker nog, wij zijn vaak in de situatie terecht gekomen dat een organisatie voor het eerst een IT-security onderzoek liet uitvoeren door een gespecialiseerde partij. De jaren daarvoor lieten ze dat altijd doen door de IT-leverancier. Halverwege de test hebben we de klant helaas moeten bellen met het bericht dat nagenoeg iedereen naar binnen kon wandelen. De ‘ijzersterke’ firewall en de ‘waterdichte’ omgeving bleken niets meer dan een valse belofte zoals een voormalig Amerikaanse president nog wel eens maakte.
Het Belang van Echte IT-Security Experts
IT-security moet niet worden gezien als een onderdeel van IT. Het is echt een vak apart, zogezegd. Security experts zijn constant bezig met het testen van nieuwe technieken, het exploiteren van nieuwe kwetsbaarheden en het vergaren van meer kennis over systemen en applicaties. Het is een ontzettend dynamisch vakgebied. Daarom mag er ook niet verwacht worden van een IT-leverancier dat hij naast zijn kennis over hardware en software, ook nog alles weet over IT-security. Dit is verre van realistisch.
Het belang van een echte IT-security expert mag niet onderschat worden. Naast het feit dat zij kwetsbaarheden ontdekken, rapporteren en samen met de klant mitigeren, komen ze vaak al veel vroeger in actie. Zo is het regelmatig voorgekomen dat wij meekijken bij het bouwen van een nieuwe omgeving of applicatie. Niet omdat we verstand hebben van het bouwen hiervan, maar wel van het slopen hiervan. En dat is op dat moment zeer waardevolle informatie. Dit is overigens ook precies wat wij bedoelen met een proactieve houding t.a.v. cybersecurity.
Cybersecurity is eng en onoverzichtelijk
Onze reputatie werkt niet echt in ons voordeel. Heel vaak spreken wij mensen die dat ‘hack wereldje’ maar eng en complex vinden. Dus wat doe je dan als weldekende ondernemer? Dan blijf je er lekker ver van weg! Die echte hackers zijn tenslotte veel liever.. Zonder grappen begrijpen wij echter best dat het allemaal lastig is. Want hoe bepaal je wat je gaat testen? En hoe gaat zo’n test in zijn werking? En het is toch vet duur? Ons advies is om dit soort vragen te stellen aan IT-security experts, en niet aan IT-leveranciers. Het is mogelijk namelijk in hun voordeel om geen kritieke derde partij over de vloer te hebben die gaat testen hoe het gesteld is met de beveiliging van de omgeving die zij hebben gebouwd en in beheer hebben.
In plaats daarvan is het beter om een IT-security partij, zoals wij, gewoon deze vragen op de man af te stellen. Wij hebben de antwoorden voor je en zijn ook nog eens compleet onafhankelijk. Wij hebben er dus geen belang bij of jouw omgeving helemaal lek is of perfect is. Wij zijn er enkel om het te testen, advies aan te dragen en jou te helpen om (samen met je IT-leverancier) de juiste stappen te zetten.
Maar om nu alvast een mythe de wereld uit te helpen, nee het is niet eng of super duur. Zeker niet als je even wat nieuwsartikelen leest over de gemiddelde bedragen die betaald moeten worden na een ransomware aanval.
Als iedereen doet waar hij goed in is, is iedereen een expert
Als iedereen nou gewoon doet waar hij of zij goed in is, dan heb je als klant altijd de juiste expertise te pakken. Wij beloven bij deze plechtig om nooit de taken van een IT-leverancier te gaan aanbieden. En als dit andersom ook gebeurt dan voorzie ik een mooie en veilige toekomst. Want dat is waar het hier om gaat. Natuurlijk kan dit gelezen worden als zijnde een sales stuk vanuit Rootsec om bedrijven te overtuigen ons aan te schrijven. Ook kan het gelezen worden als een verbale aanval aan het adres van heel IT-leverend Nederland. In beide gevallen zit je er dan volledig naast. Dit is geschreven omdat wij het werkelijk super belangrijk vinden dat elke organisatie in Nederland de juiste hulp krijgt met zijn of haar IT-security vraagstukken.
Tot slot aan alle IT-leveranciers waarmee wij in het verleden ontzettend prettig hebben samengewerkt. Dit is absoluut geen (persoonlijke) aanval en we zijn nog steeds dol op jullie! Heb je vragen voor ons naar aanleiding van dit artikel of wil je meer weten over wat wij doen? Wij zijn hier te bereiken!
ps: bedreigingen graag alleen telefonisch tussen 12:00 en 13:00.
