Hero imageMobile Hero image
  • LinkedIn
  • Facebook

June 02, 2023

Het outsourcen van IT kan organisaties tal van voordelen opleveren, waaronder kostenbesparingen, toegang tot gespecialiseerde vaardigheden en middelen, en de mogelijkheid om te concentreren op kernactiviteiten. Het introduceert echter ook potentiële cybersecurity-risico’s, omdat het aanvalsoppervlak vergroot kan worden.

Kwetsbaar voor cyberaanvallen

Een van de grootste risico’s van het uitbesteden van IT is het potentieel voor zwakke cybersecurity aspecten binnen de ‘delivery’ die men ontvangt. Hoewel het contract waarschijnlijk aan alle cybersecurityeisen voldoet, toch moeten organisaties ervoor waken dat delivery-teams niet over de nodige competenties of middelen beschikken om hun product en/of dienst aan de klant adequaat te kunnen beveiligen. Hierdoor wordt de organisatie kwetsbaar voor cyberaanvallen.

Selecteren outsourcingspartners

In mijn ervaring is het essentieel voor organisaties om elke potentiële IT-outsourcing partner zorgvuldig te onderzoeken. Je moet ervoor zorgen dat hun cybersecurity praktijken volwassen en up-to-date zijn om risico’s te beperken. Dit kan bestaan uit het uitvoeren van ‘due dillegence’ , het beoordelen van hun beveiligingsbeleid en -procedures en het verifiëren dat ze over de nodige middelen en training beschikken om veilige producten en/ of diensten te kunnen leveren. Daarnaast dienen medewerkers van de organisatie die zakendoen met outsourcingpartners, op de hoogte te zijn van de nieuwste vereisten van hun eigen organisatie om eisen te kunnen stellen en te weten waar ze op moeten letten als nieuwe diensten en/ of producten opgeleverd worden.  
Afhankelijk van de omvang van de samenwerking, moeten organisaties zich richten op gespecialiseerd cybersecuritypersoneel binnen deze samenwerking in plaats van te verwachten dat alle ‘reguliere’ medewerkers binnen de samenwerking de security aspecten ‘er even naast doen’. Laten we eerlijk zijn, cybersecurity is al jaren een vak apart geworden. We bevinden ons te vaak in situaties waarin de developer ook de security architect, risicomanager en pentester moet zijn. Het is begrijpelijk dat in dit soort gevallen de focus altijd verschuift naar output om de time-to-market te verkorten en de beveiligingsaspecten minder prioriteit krijgen.

Werken met het OWASP SAMM-model

Binnen Sogeti doen we het anders. Momenteel geef ik leiding aan een team van cybersecurityprofessionals. Samen met securityteams van de klant zorgen we voor   een volwassen delivery organisatie wat betreft de cybersecurity aspecten. We gebruiken het OWASP SAMM-model . OWASP SAMM wordt gebruikt om de volwassenheid van cybersecurity in Software Development Lifecycles vast te stellen en te verbeteren. Met dit model beoordelen, reflecteren en stellen we een plan op die alle noodzakelijke stappen schetst om ons beoogde volwassenheidsniveau te bereiken. Daarnaast stemmen wij onze securitystrategie zo goed mogelijk af met die van de klant. Zo kunnen we aan de verwachtingen voldoen, en zorgen we ervoor dat de klant haar aanvalsoppervlak verkleint en haar weerbaarheid tegen cyberaanvallen drastisch vergroot.
 
Wesley Verhoef – Senior Cyber Security Advisor (GRC) 

Sogeti en Cybersecurity

Meer weten over onze cybersecurity-diensten of  nieuwsgierig naar de mogelijkheden als security-professional? Kijk dan hier verder.

Erwin Riemersma

Erwin Riemersma