22 juni

Security: zelf doen of uitbesteden?

Het aantal cybersecuritydreigingen neemt toe en ook de aanvallen worden steeds geavanceerder. Kunt u al die ontwikkelingen nog wel bijbenen, of doet uw organisatie er beter aan om de beveiliging van uw bedrijfsdata in handen van experts te leggen? 7 waar- en onjuistheden over het uitbesteden van security onder de loep.

1. Security in eigen huis biedt altijd meer veiligheid

Niet waar. Bij uitbesteding legt u de security in handen van een bedrijf dat het tot zijn kernexpertise heeft gemaakt. Dat betekent meestal dat de serviceprovider over de beste oplossingen en securityprofessionals beschikt. Het is heel lastig voor reguliere bedrijven om goed geschoolde experts te vinden, laat staan om ze te behouden.

Securityspecialisten bij een serviceprovider hebben daarnaast meer tijd en ruimte om op de hoogte te blijven van de laatste trends en ontwikkelingen op securitygebied. Iets dat uw eigen mensen vaak niet kunnen omdat ze ook nog andere taken en verantwoordelijkheden hebben.

Bovendien bieden managed security service providers (MSSP’s) vaak 24/7 real-time cybersecurityrapportage en ondersteuning. Een belangrijk aspect voor organisaties, want cyberaanvallen laten zich niet voorspellen.

2. Het uitbesteden van security is een risico

Niet waar. Eén van de dingen die bedrijven soms tegenhoudt om security uit te besteden, is het feit dat een buitenstaander hun gevoelige data in handen heeft. De meeste MSSP’s hebben echter een zeer goede reputatie en track record. Leg echter wel een gedetailleerd Service Level Agreement vast. Hierin kunt u de vertrouwelijkheid van de data vastleggen en juridisch beschermen.

3. We verliezen de controle bij uitbesteding

Niet waar. Bij uitbesteding bent u natuurlijk afhankelijk van de systemen en voorwaarden die de serviceprovider beschikbaar stelt. Dat kan betekenen dat er andere securitysystemen worden gebruikt dan u gewend bent. Hoewel het voor u wellicht lastig is deze controle uit handen te geven, moet u zich bedenken dat u een MSSP inhuurt om zijn security-expertise.

4. Het uitbesteden van security is goedkoper

Waar. Het zelf inregelen en onderhouden van de IT-beveiliging vereist investeringen in systemen en applicaties. De grootste kosten zijn echter vaak het personeel: security-experts zijn niet goedkoop en behoeven veel training om up-to-date te blijven.

Vergeet ook de benodigde kantoorruimte en voorzieningen voor die mensen en systemen niet. Bij outsourcing komen deze kosten voor rekening van de serviceprovider en betaalt u alleen voor de verleende diensten.

Omdat een serviceprovider de kosten voor mensen, kennis en systemen kan verdelen over meerdere klanten, is het eindbedrag dat u betaalt doorgaans lager dan wanneer u dat allemaal zelf moet bekostigen.

Het outsourcen van de security betekent overigens niet dat u helemaal geen kosten meer heeft. Zo heeft u bijvoorbeeld nog steeds een eigen Chief Information Security Officer (CISO) nodig waaraan de serviceprovider rapporteert. Zie de serviceprovider als een aanvulling op uw eigen security-team, geen vervanging ervan.

5. Een managed security service provider moet een strategische partner zijn

Waar. Onderzoeksbureau Forrester zag een tijd geleden al dat steeds meer CISO’s vertrouwen stellen in MSSP’s om hen te adviseren op het gebied van securitykwesties. In eerste instantie waren het vooral financiële dienstverleners en overheden die zich tot MSSP’s wendden. Maar vanwege de steeds complexere situatie en groeiende cyberdreigingen besteden steeds meer organisaties hun security uit.

6. Security kan niet worden gescheiden van het bedrijf

Waar. Security is verweven met het hele bedrijf en is daardoor zo complex. Het gaat niet alleen om hardware, maar ook om bedrijfsprocessen, medewerkers en data. Een MSSP moet dan ook heel dicht tegen het bedrijf aankruipen.

7. Uitbesteden verlicht onze verantwoordelijkheid

Niet waar. Het uitbesteden van informatiebeveiliging aan een serviceprovider ontslaat het bedrijf niet van zijn aansprakelijkheid. Het is nog steeds de verantwoordelijkheid van de organisatie om de effectiviteit van de informatiebeveiliging te controleren, of het nu intern wordt gedaan of is uitbesteed.


De keuze om security zelf te doen of uit te besteden, is voor ieder bedrijf anders. Wanneer u kiest voor het uitbesteden aan een gespecialiseerd bedrijf, is het raadzaam om grondig onderzoek te doen naar welke serviceprovider bij u past. Vraag referenties en gedetailleerde informatie over SLA’s en hoe de aansprakelijkheid is geregeld in geval van een datalek.

Meer weten

In onze whitepaper ‘Slimme beveiliging voor complexe dreigingen’ vertellen we u wat er komt kijken bij het inrichten van een solide security-omgeving, zodat u uiteindelijk een geïnformeerde keuze kunt maken. Download hem hieronder:

Whitepaper: 'Slimme beveiliging voor complexe dreigingen - Cybersecurity vraagt om balans tussen mensen, processen en techniek'

In deze whitepaper laten we u zien hoe u de juiste afwegingen kunt maken bij de keuze voor beschermende maatregelen tegen cybercriminaliteit.

Download