IT-partners moeten zich opmaken voor de uitdagingen van Security 2.0. Gartner stelt namelijk dat bestaande networking- en security-modellen ouderwets zijn. Ze passen niet meer bij de huidige manier van werken, die voor een groot deel gebaseerd is op cloud-services en SaaS-applicaties. Uit een ondanks aangekondigde samenwerking tussen dienstverleners SLTN en One Identiy blijkt de kracht van een meer holistische benadering die Security 2.0 biedt.
Te lang ging security over veiligheid. Als de deur maar op slot zit (de firewall) en de ramen dicht (antivirus) dan zijn we veilig, was het motto. “Die houding volstaat niet meer,” maakte Sadie Creese, Professor Cybersecurity in Oxford duidelijk tijdens een security-event in Amsterdam. Het uitgangspunt bij Security 2.0 moet volgens haar juist totale digitale onveiligheid zijn in de wereld waarin we opereren. “Het gaat er nu om de ónveiligheid te managen,” voegde Creese eraan toe. MSP’s kunnen daar, door samenwerkingen aan te gaan, een belangrijke rol bij spelen.
Digitale vervlechting
SaaS en cloud hebben de IT-industrie ingrijpend veranderd. Dit geldt niet alleen voor eindgebruikers, maar zeker ook voor de partijen in het kanaal. SaaS verving aanvankelijk on-premise applicaties door services van (verschillende) providers. En we gebruikten de cloud in eerste instantie als opslagmedium. Inmiddels is echter tussen beiden een digitale vervlechting ontstaan. Traditionele resellers ontwikkelden zich tot trusted advisors van hun klanten, en bieden in toenemende mate eigen services of die van een leverancier als MSP aan.
Partners die bij security-oplossingen samenwerken zijn succesvol bij het indammen van cybercrime
De acceptatie van en interesse in public cloud gaat onverminderd door, aangezien organisaties een ‘cloud-first’-beleid nastreven,” stelt Milind Govekar, vice-president bij Gartner. Analisten verwachten dat meer dan 85% van de organisaties in 2025 een cloud-first ethos zal hebben. “De cloud is onmisbaar.”
Security 2.0 gaat over communicatie
“Het fundament van al die services is connectiviteit,” roept Govekar in herinnering. “En aan connectiviteit stellen we al decennia de eisen dat het snel en veilig moet zijn.” Security 2.0 gaat daarom in essentie om communicatie tussen een veelvoud aan systemen en gebruikers in een van nature onveilige omgeving.
“De individuele systemen zijn wellicht veilig. Dat zijn de bouwstenen die gezamenlijk het netwerk vormen. Maar we concentreren ons niet op de essentie. Dat is de connectiviteit. De lijm die de bouwstenen verbindt,” is de overtuiging van Sadie Creese. Beter gezegd: security krijgt nog steeds niet de aandacht die het verdient. Niet van eindgebruikers. Maar ook niet van hun serviceprovider(s). En als er aandacht voor is, dan is de waardering voor de partner die de security aanbiedt laag.
Security dienstverleners lager gewaardeerd
IT-bedrijven die zich specialiseren in een bepaald type dienstverlening, bijvoorbeeld testing of werkplekbeheer, worden gemiddeld hoger gewaardeerd dan allround-dienstverleners. Een uitzondering vinden we bij pure securitypartijen (MSSP’s). Dit blijkt uit de laatste editie van de IT Xperience Monitor. Dit is het jaarlijks onderzoek van Giarte naar de tevredenheid van organisaties die hun IT uitbesteden aan een channel partner of Managed Service Provider (MSP).
Te vaak blijkt de rol van security-partners pas na een cyberaanval
Uit het onderzoek naar de tevredenheid van organisaties blijkt dat security-dienstverlening veelal wordt gezien als water uit de kraan of elektriciteit. “Het moet er altijd zijn,” is de opvatting. De toegevoegde waarde van de dienstverlening blijkt pas bij incidenten. Het probleem is echter, dat de partij die de schade opruimt in eerste instantie op maandelijkse basis wordt ingehuurd juist om schade te voorkomen.
Houding ten opzichte van cybersecurity
Eindklanten gaan ervan uit dat de partner zorgt voor veiligheid. Dit, terwijl de MS(S)P slechts de onveiligheid kan proberen te beheersen. Daarnaast speelt het feit dat security voor de meeste eindklanten geen core business is. De houding van bedrijven is: ik ben niet interessant genoeg om aangevallen te worden.
Marco Lesmeister, Managing Director van IT-dienstverlener PQR, gaf antwoord op de vraag van ChannelConnect of CIO’s wakker liggen van mogelijke security-incidenten. “Was het maar waar. Beveiliging krijgt nog steeds niet de aandacht die het werkelijk verdient. Er valt bij veel bedrijven nog veel te verbeteren.”
Giarte constateert overigens, dat er sinds COVID-19 wel meer aandacht is voor securitymanagement. Maar de onderzoekers zien dat bedrijven er weinig geld aan besteden. En dat dit geld vaak niet gaat naar een dienstverlener die zich specialiseert in security.
Tijdens de Seccon Conference in Amsterdam, een door Cisco georganiseerd evenement over IT-security, vroeg ChannelConnect aan een groot aantal mensen werkzaam in de sector of ze het observaties van Giarte herkennen. Uit de antwoorden kwam een oorzaak voor de lage(re) waardering van security-dienstverleners wellicht naar voren. Eindklanten stappen steeds vaker over op as-a-service-overeenkomsten. Die trend begon bij applicaties en storage. Inmiddels bieden leveranciers ook hardware als dienst aan.
“Gebruikersorganisaties willen alles dan ook meteen bij een enkele partij neerleggen. Vaak echter heeft die partij te weinig kennis van security. In dat geval schakelt men een derde partij in.” Die constructie blijkt wellicht onvoldoende om de eisen van Security 2.o adequaat in te vullen.
Samenwerking om Security 2.0 te realiseren
Vanuit de reseller bezien zou het inspelen op Security 2.0 neer kunnen komen op intensieve samenwerking met collega’s.
Een goed voorbeeld is het partnership dat SLTN, een IT-dienstverlener met een generiek aanbod aan services, aanging met security-provider One Identity. Samen leveren de ondernemingen een uniform identiteitsbeveiligingsplatform. Dit om eindklanten op een veilige manier toegang te geven tot informatie. De beste manier om organisaties in deze dynamische omgeving te beschermen is, volgens SLTN en One Identity, door de gefragmenteerde visie op beveiliging te verlaten. Security 2.0 vraagt volgens hen “om een holistische benadering”.
Cybersecurity opnieuw uitvinden
De samenwerking staat niet op zichzelf. Ook ilionx, een dienstverlener met een breed aanbod, en SecurityGate.io werken intensief samen. Op “wereldschaal” past ook de overname van Mandiant door Google in dit beeld. De tech-gigant betaalde 5,4 miljard dollar om de security-specialist in te lijven. Google wil door de overname “security opnieuw uitvinden”.
Security 2.0 betekent dat ook resellers cybersecurity opnieuw uitvinden
Samenwerkingen ontstaan niet spontaan, daar is zorgvuldige afstemming voor nodig. Er is daarom een lange weg te gaan. Partnerschips kunnen echter doorslaggevend zijn om de uitdagingen van Security 2.0 het hoofd te bieden. En zorgen wellicht voor een betere waardering van zowel de generieke dienstverlener als de security-specialist.