Een tijdje terug werd mij, een security manager, gevraagd om meer van onze securitydiensten te offshoren naar een lagelonenland. Die vraag heeft me doen nadenken over de zaken waar ik als security manager geen problemen mee zou hebben om het uit handen te geven. En over wat we absoluut binnenboord moeten houden.

Dan komen we dus tot de volgende situatie:

Probleem: Meer diensten moeten offshore

Eerste actiepunt: nadenken over wat wel en niet uit handen gegeven kan worden.

Het is moeilijk om iets in te brengen tegen het kostenargument. India heeft de beste verhouding tussen lage kosten en betrouwbare netwerkconnectiviteit, een beroepsbevolking die het Engels beheerst, een gunstig belastingklimaat en een stabiele regering. Het is er veilig, en het land is goed bereikbaar, waardoor onze keus op India viel. Mooi meegenomen was dat we daar drie security managers konden aannemen voor de prijs van een enkele werknemer in de Verenigde Staten.

Patchbeheer

Op dit moment offshoren we het beheer van security-patches. Onze analisten in India houden de security updates van Microsoft voortdurend in de gaten, evenals de websites van derden en fora waar security en patches worden besproken. Ze passen vooraf opgestelde criteria toe om te beslissen of we een bepaald besturingssysteem of applicatie moeten patchen, en wat de risico's daarvan zijn.

Vervolgens sturen ze ons de patches op die zij nodig achten, zodat we deze op eigen gelegenheid kunnen installeren. Kritieke patches en andere updates die spoed vereisen, worden als zodanig behandeld. Dit werkt allemaal prima.

Maar er zijn ook dingen die ik domweg weiger te offshoren. Onderzoekswerk bijvoorbeeld en forensisch werk, of zaken waarbij uiteindelijk actie moet worden genomen tegen werknemers of een ander bedrijf. Dat is allemaal te gevoelig om uit te besteden. Ik voel me ook niet lekker om de administratie uit te besteden, of onze DLP-infrastructuur (data loss prevention). Onze DLP-systemen bevatten immers uiterst kritieke gegevens voor ons bedrijf. Die hou ik liever binnen de landsgrenzen.

Maar dit kan wel

Maar andere dingen zouden weer logisch zijn. Inbraakdetectie bijvoorbeeld. Die systemen zijn niet plug-and-play. Ze hebben updates nodig, moeten constant worden afgesteld en gebeurtenissen dienen zo snel mogelijk geanalyseerd te worden.

Ik heb de mankracht niet om onze tientallen IDS-sensoren (intrusion detection system) in de gaten te houden, en wat extra hulp bij het uitrollen zou ik bijzonder waarderen. Zelfs een volledig gemanagede dienst waarbij de leverancier hier zijn eigen apparatuur zou installeren, zou ik in overweging nemen. We kunnen de dekking van het netwerk verhogen van 70 procent naar 100 procent.

Een ander voorbeeld is kwetsbaarheidsbeheer. Op dit moment zijn we Qualys aan het evalueren voor het scannen van onze adres-space. Omdat Qualys een op internet gerichte applicatie is, zou ik het niet erg vinden om een partij in India de scans te laten uitvoeren en ook de resultaten te laten verwerken.

Blijf verantwoordelijk

Uiteraard blijf ikzelf de hoofdverantwoordelijke, en moet ik op het matje komen bij de leiding als er iets mis gaat. Om die reden voer ik periodieke controles uit op de leveranciers. Daarmee zorg ik ervoor dat ze zich aan de afgesproken service levels en taakomschrijvingen houden.

Mathias Thurman, wiens naam is gefingeerd en wiens werkgever niet is genoemd, is een security-manager bij een Amerikaans bedrijf. Hij schrijft met regelmaat columns voor Computerworld.com, waar deze column eerder is verschenen