Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Inkopen van cybersecuritydiensten

Kennisartikelen
Leestijd:
Uitbesteden
Beginnen
Uitbesteden of zelf doen is op het gebied van cybersecurity voor iedere organisatie een discussiepunt. Belangrijke vragen in die context zijn: wanneer is mijn weerbaarheid op een passend niveau, en welke kosten zijn acceptabel? Daarbij komt dat veel organisaties wel een eigen securityafdeling hebben, maar vrijwel altijd met schaarste kampen op het gebied van personele capaciteit, geld en kennis. Dit artikel biedt handvatten om een beargumenteerde keuze te maken voor het uitbesteden van bepaalde cybersecuritydiensten.

Doelgroep: 
Dit artikel is geschreven voor mensen die een rol hebben bij het beheersen van cybersecurityrisico’s.

Achtergrond

Investeringen in cybersecurity doe je om potentiële schade te voorkomen, maar deze leveren geen extra omzet of winst op. Het is voor organisaties dan ook altijd een moeilijke afweging om de acceptabele hoogte van securityuitgaven vast te stellen. Daarbij geldt vaak dat het uitbesteden van bepaalde securitytaken met een hoog prijskaartje komt terwijl het intern beleggen van deze taken met complexe expertise en capaciteitsvraagstukken komt. Dit artikel helpt organisaties ten eerste hun eigen securitybehoefte goed in kaart te brengen, daarna de afweging te maken of deze taken uitbesteed moeten worden en vervolgens hoe ze het uitbesteedproces kunnen aanpakken.

Er komt veel werk kijken bij het uitbesteden van cybersecuritydiensten en het kan veel impact hebben op de betreffende organisatie. Het is niet het simpelweg aanschaffen van deze diensten. Om het uitbesteden van cybersecuritydiensten zo gemakkelijk en impactvol mogelijk te maken is het essentieel dat je als organisatie eerst de basis op het gebied van cybersecurity op orde hebt. Denk aan een aantal basisbeveiligingsmaatregelen en zaken zoals een assetinventarisatie. Een bekend gezegde maar in dit geval zeker passend: "Op een slecht fundament kan je niet bouwen."

Het uitbesteden van cybersecuritydiensten wordt nog weleens gezien als een quick fix voor een langetermijnprobleem. Echter, in de realiteit kan dit averechts werken en de situatie alleen maar compliceren zonder daadwerkelijke verbetering van de veiligheid.

Stappenplan

Om een weloverwogen keuze te maken over het uitbesteden van cybersecuritydiensten raden wij aan een 10-delig stappenplan te doorlopen waarbij je eerst kijkt welke risico’s er geaddreseerd moeten worden en daar vervolgens actie op onderneemt.

Deze stappen zijn gebaseerd op de vier fases van de PDCA-cyclus (Plan - Do - Check - Act).

Plan
•    Plan
•    Defineer project scope
•    Bepaal logische behoefte
 

Do
•    Ontwikkel een Request for Proposal (RFP)
•    Evalueer RFR op toegevoegde waarde
•    Selecteer partner(s)

Check
•    Test voorgestelde oplossing
•    Leg afspraken en beheersproces vast
 

 

Act
•    Sluit overeenkomst
•    Monitor en evalueer

Fase 1: Plan

1. Plan

Stel als organisatie de vraag waarom je  bepaalde maatregelen wilt treffen. Welk probleem dient opgelost te worden? In de voorbereiding op het maken van een keuze over het zelf doen of uitbesteden van cybersecuritydiensten, dien je goed uit te onderzoeken welk niveau van weerbaarheid past bij de organisatie en welke maatregelen je daarvoor dient te treffen. Veiligheid is een middel om de organisatiedoelen te waarborgen en moet geen doel op zich worden dat conflicteert met de organisatiedoelen.

visual weerbaarheid

2. Definieer de scope van het project

Het belangrijkste element van de projectscope is de behoefteomschrijving. Om duidelijk in kaart te brengen welk resultaat er behaald dient te worden door zelf een capaciteit te ontwikkelen of expertise in te kopen is het nodig een duidelijke behoefte vast te stellen. Door middel van het bepalen van de risico’s, de huidige weerbaarheid, het gewenste doel-niveau (end-state) en het gat tussen beide (GAP-analyse) stel je vast welke ontwikkelingen nodig zijn om het gewenste niveau te komen. Deze ontwikkelingen vormen samen de behoefte. Vervolgens besluit je om als organisatie zelf in deze behoefte te voorzien of om deze in te kopen.

De risicoanalyse

Breng in kaart waar de organisatie zich tegen dient te beschermen. Wat zijn mijn organisatiedoelen en welke processen helpen mij om deze organisatiedoelen te bereiken? 
Onderstaande artikelen helpen met het beantwoorden van deze vragen.  Het doorlopen van deze documenten helpt je al aardig op weg met het creëren van een overzicht ten behoeve van de te beschermen belangen, de dreiging en de risico’s.

End-state

De end-state is het gewenste niveau van weerbaarheid, waardoor de organisatie voldoende weerbaar zal zijn tegen de verwachte dreigingen. De risicoanalyse heeft in kaart gebracht waartegen de organisatie zich zou moeten beschermen en door middel van een GAP-analyse bepaal je welke aanvullende maatregelen er benodigd zijn om deze gewenste end-state van weerbaarheid te bereiken.

GAP-analyse

In de GAP-analyse kijken we naar de volgende drie facetten:

  • Waar moeten we ons tegen beschermen?
  • Welke maatregelen hebben we reeds getroffen?
  • Welke maatregelen zijn aanvullend daarvoor nodig?

Aan de hand van deze drie vragen maakt de GAP-analyse scherp welke maatregelen mogelijk ontbreken om het passende niveau van digitale weerbaarheid te bereiken. Door deze stappen te volgen heb je een scherp beeld waar de digitale weerbaarheidsbehoefte ligt. Denk aan bepaalde kernprocessen die onvoldoende beveiligd blijken tegen de actuele dreiging met de huidige beveiligingsmaatregelen. Vervolgens bepaal je of je zelf in staat bent deze behoefte te vervullen, en bepaal je hoe ze deze wil implementeren. Indien het treffen van de aanvullende maatregelen past binnen de capaciteiten van de eigen organisatie, hoeft er niet uitbesteed te worden.

3. Bepaal logische behoefte

Op basis van de risicoanalyse en het uitvoeren van de GAP-analyse weet je  welke aanvullende ontwikkelingen er nodig zijn om ervoor te zorgen dat de organisatiedoelen behaald kunnen blijven worden. De ontwikkelingen die de organisatie van het huidige niveau van weerbaarheid naar de gewenste end-state van weerbaarheid brengen vormen de logische behoefte. Deze kan bestaan uit het trainen van medewerkers, het aanschaffen van tooling of het inhuren van externen om een bepaald doel te bereiken.

Fase 2: Do

4. Ontwikkel een Request voor Proposal (RFP)

Het doel van het stellen van de gerichte vraag is het ontvangen van een voorstel voor een mogelijke oplossing van de leverancier. De gerichte vraag, of Request for Proposal (RFP), zal door de mogelijke leverancier beantwoord worden met een voorstel.

In deze stap kijk je naar het opstellen van een gerichte vraag voor de uitbesteding van een oplossing van het hiervoor gedefinieerde probleem. Daarbij neem je elementen mee uit een dreigingsanalyse en behoeftes die volgen uit wet- en regelgeving. Vervolgens dient overwogen te worden op welke wijze deze uitdagingen op te lossen zijn zonder nieuwe uitdagingen toe te voegen. Wanneer is de taak volbracht en kan de overeenkomst beëindigd worden?

Wat komt er vervolgens kijken bij het oplossen van het probleem? Is er een gebrek aan capaciteit, kwaliteit of expertise binnen de organisatie? Wanneer je dit helder hebt wordt de probleemoplossing steeds concreter.

Heb je scherp welk probleem opgelost moet worden, dan koppel je hier randvoorwaarden aan die vervolgens afgestemd worden met de leverancier van de oplossing. Hoe concreter de vraag des te makkelijker de partij waarbij je uitbesteedt, kan helpen. Zo voorkom je dat de oplossingen de situatie alleen maar ingewikkelder maken of überhaupt niet van toegevoegde waarde zijn.

Bij het vormgeven van de gerichte vraag staat de gewenste aanvullende maatregel, of het pakket aan maatregelen centraal. Vervolgens kijk je naar de reeds geïmplementeerde maatregelen en de beschikbare eigen capaciteit en hoe deze samen zal werken met de uit te besteden diensten. Wanneer de vraag voldoende gericht en compleet is, moet deze een duidelijk beeld geven over de behoefte zodat een mogelijke leverancier deze begrijpt en met een voorstel kan komen.

5. Evalueer de RFP op toegevoegde waarde

Het onzorgvuldig opstellen van een RFP kan er toe leiden dat de gevraagde dienstverlening uiteindelijk minder oplevert dan dat het kost. Bijvoorbeeld doordat het inhuren van bepaalde expertise zoveel begeleiding van de eigen medewerkers vraagt, dat deze collega’s niet meer toekomen aan hun normale werkzaamheden. Daardoor gaat de weerbaarheid achteruit in plaats van dat het toeneemt. Het is dus belangrijk dat je goed kijkt of de geformuleerde hulpvraag aan de leverancier ook echt een hoger niveau van weerbaarheid zal opleveren.

6. Selecteer partner(s)

Nu er een gerichte vraag gedefinieerd is en de eisen waar de oplossing aan moet voldoen bepaald zijn, ga je op zoek  naar een partij die deze oplossing kan faciliteren. Het is essentieel dat je zelf goed de vraag begrijpt voordat de vraag wordt uitgezet. Heb je middels de risicoanalyse en assetinventarisatie een goed beeld van wat er beschermd moet worden? Daarbij zou het uitvoeren van een dreigingsanalyse of cybersecurity volwassenheidsassessment ook bij kunnen dragen aan het beeld over de ontwikkelbehoefte en inzicht in de te beschermen belangen. Als het antwoord eenmaal ja is, zoek je naar een partij die past bij jouw behoeftes. Hier zijn een paar zaken om rekening mee te houden:

  • Hebben ze de juiste kennis en expertise? Kan dit bewezen worden?
  • Begrijpen zij mijn vraag. Snappen ze waarom ik er zit en kunnen zij mij uitleggen wat mijn behoefte is? Past dit bij mijn behoefte/wens?
  • Daarnaast is het heel belangrijk te bedenken wat je uitbesteed, en waar dan risico's zitten als je dienstverlener gehackt wordt.
  • Kies je voor uitbreiding van een bestaand contract met een bekende leverancier, of kies je voor een nieuwe, onbekende leverancier?
  • Laat je de keuze voornamelijk leiden door prijs, of laat je kwaliteit doorslaggevend zijn?
  • Passen ze bij jouw huidige maar ook potentiële groeibehoefte?

Dit zijn belangrijke punten om op te letten zodat je voorkomt dat je een onjuiste oplossing aangedragen krijgt. In het artikel Detectie in cybersecurity worden nog een aantal tips meegegeven over het aangaan van een uitbestedingstraject.

“Slechte security is misschien nog wel erger dan geen security.”

Fase 3: Check

7. Test en accepteer voorgestelde oplossing

Nadat een potentiële leverancier een oplossing heeft aangeboden op basis van de RFP, is het belangrijk deze oplossing goed te toetsen en te testen op toegevoegde weerbaarheid en haalbaarheid.

Het mag bijvoorbeeld niet zo zijn dat de capaciteitbesparende maatregelen veel capaciteit kosten. Dit stem je af met SLA’s (Service Level Agreements) of KPI (Key Performance Indicators)-trackers.

Deze fase is cruciaal om te kijken of de oplossing passend is voor de eerder geïdentificeerde behoefte. Zo kunnen eventuele fouten of andere problemen geïdentificeerd worden. Denk aan:

  • De detectieoplossing is juist maar zelf mis ik de expertise om de opvolging te doen.
  • Ik heb een tool gekocht die passend is voor de oplossing maar zelf hebben we de expertise helaas toch niet. Wellicht kan een training van de leverancier toegevoegd worden om de expertise op te bouwen.

Daarbij is het van groot belang om de risico’s van de leverancier als organisatie en de voorgestelde oplossing te onderzoeken. Op welke wijze heeft deze leverancier zijn eigen cybersecurity ingericht? Zijn er certificaten om dit te bewijzen? Bestaat er aanleiding om te denken dat ze failliet kunnen gaan op korte termijn of andere omstandigheden waardoor ze de beloofde dienstverlening niet meer verder voortzetten?

8. Leg afspraken en beheersproces vast

Het is belangrijk om processen in te richten voor het begeleiden van cybersecuritydiensten na het inkopen hiervan. Het uitbesteden van cybersecuritydiensten is niet een eenmalige aankoop. Vanaf het moment dat er een overeenkomst aangegaan wordt dient de dienstverlening en samenwerking met de leverancier actief gemonitord en beheerd te worden.

Verschillende diensten vragen om verschillende soorten beheer. Binnen de eigen organisatie verdeel je  over mensen die bijvoorbeeld het inkoopproces beheren en iemand die het inhoudelijke functioneren van de dienstverlening of tool in de gaten houdt. Het heeft de voorkeur dat de risico of producteigenaar van de securitydienst waarbij de leverancier betrokken is, de inhoudelijke beheersprocessen uitvoert. Het dient in de overeenkomst vastgelegd te worden aan wie de leverancier bepaalde vragen moet stellen of keuzes kan voorleggen. Indien een leverancier van detectiediensten een hele grote dreiging waarneemt, moet de leverancier weten wanneer zij zelf maatregelen mogen treffen, tot welke ernst van incidenten de securitywerknemers van de eigen organisatie keuzes mogen maken, of wanneer de bestuurder zelf een keuze moet maken over het offline halen van het hele netwerk.

Dit soort mandaat-afspraken dienen in de overeenkomst opgenomen te worden. Daarnaast is het ook belangrijk om vast te leggen langs welke lat de kwaliteit van dienstverlening gemeten wordt. Vaak wordt hier gebruik gemaakt van Key-Performance-Indicators (KPI´s) en worden afspraken gemaakt over controle-(audit en pentest)mogelijkheden. De leverancier zal periodiek met de organisatie aan tafel gaan om de afgesproken resultaatgebieden te bespreken. Door het vastleggen van afspraken en het proces om de dienstverlening te beheren, is de kans kleiner dat er miscommunicatie ontstaat tijdens de samenwerking.

Fase 4: Act

9. Sluit overeenkomst

Het voorgaande proces heeft ervoor gezorgd dat er cybersecuritydiensten afneemt en je de overeenkomst sluit. Vanaf dit punt treedt de levering in werking en moet je het beheer opstarten.

10. Monitor en evalueer

Zorg ervoor dat er binnen de organisatie processen ingericht zijn, zoals overeengekomen, die helpen bij het monitoren en evalueren van de uitbesteden diensten. Zo creëer je inzicht in de effectiviteit van de afgenomen diensten. Wellicht werken de maatregelen toch niet goed genoeg of worden er nieuwe problemen geïdentificeerd. Dit geeft directe input om bij te sturen op de afgenomen diensten.

Er moet binnen de eigen organisatie kennis over de afgenomen diensten zijn. Zo kan je altijd inhoudelijk in gesprek met de leverancier en identificeer je eventuele blinde vlekken binnen de organisatie.

Formulier
Heeft deze pagina je geholpen?