Je moet ergens beginnen, en meestal is dat bij de website van een aanbieder. Daar kun je al het volgende selectiecriterium hanteren: is de betreffende aanbieder gespecialiseerd in cyber security, of doet hij het erbij? Met andere woorden: gaat het om een allround IT-dienstverlener of een expert met een exclusieve focus op ICT beveiliging? Dat kan een enorm verschil maken, zeker bij de kleine tot middelgrote dienstverleners.
Bij de hele grote IT-leveranciers mag je er wel vanuit gaan dat ze een gespecialiseerde securityafdeling hebben, maar bij de kleinere bureaus kun je je afvragen of je wel de hoogwaardige beveiliging krijgt die je nodig hebt. Cyber security is toch een net wat complexere aangelegenheid dan het configureren van een switch of een server en als je met een doorgewinterde specialist in security aan tafel wil zitten, dan vallen er al behoorlijk wat opties weg. Zie je op de website dat een aanbieder allerlei verschillende IT-diensten aanbiedt en dat security alleen maar een onderdeel is van de totale dienstverlening, dan zou ik die links laten liggen en verder zoeken naar een partij die alleen maar security biedt.
Nu je hebt geselecteerd op securityspecialisten, hoef je nog maar te kiezen uit ongeveer tien procent van het totale aanbod aan IT-dienstverleners. Hoe maak je onderscheid tussen deze specialisten? Kijk om te beginnen naar het pakket aan dienstverlening dat ze bieden. Nu is het juist wel belangrijk om het in de breedte te zoeken. Tenminste, als je een volledige beveiligingsoplossing van één partner wil. Levert een bedrijf bijvoorbeeld alleen maar pentesten of nulmetingen, maar geen preventieve oplossingen? Dan is het zinnig om verder te kijken. Met een holistische benadering van beveiliging, over de hele breedte, weet je zeker dat er geen aspecten van je IT-omgeving onderbelicht blijven.
Onderzoek ook wat de aanpak van de dienstverlener is. Hoe gaan ze te werk? Waar ligt de focus? Zijn er klantcases op de site te vinden waarin je je kunt herkennen? Wekt de organisatie de indruk dat er voldoende gespecialiseerde kennis aanwezig is om de complexe securityvraagstukken het hoofd te bieden? En wat levert deze aanbieder voor de momenten dat het onverhoopt toch misgaat en je wordt gehackt? Is dat direct zichtbaar? Is er beleid om de schade te beperken? Allemaal essentiële punten voor een gedegen beveiliging.
Nu je je selectie hebt teruggebracht tot een overzichtelijk aantal aanbieders, wordt het tijd om het gesprek aan te gaan. Krijg je een goed gevoel bij de mensen achter de organisatie? Kunnen ze je duidelijk uitleggen wat ze doen en welke voordelen dat voor jou heeft? Gaan ze voor het minimaal noodzakelijke op beveiligingsgebied, of gaan ze voor het ultieme resultaat? Vooral dat laatste vind ik erg belangrijk: voldoen aan de minimale eisen en de regelgeving betekent niet automatisch dat je ook echt alles hebt gedaan om het risico op hacking zo klein mogelijk te maken en dat je bovendien op de toekomst bent voorbereid. Als in het gesprek duidelijk wordt dat je een securitybedrijf tegenover je hebt met de instelling ‘u vraagt, wij draaien’, dan heb je met een uitvoerder te maken in plaats van met een specialist. Zit er iemand tegenover je die gerichte vragen stelt, zoals waarom wil je een firewall, of wat wil je precies beschermen, dan weet je dat je een partner hebt die proactief met je meedenkt.
Voor meer informatie over Cyber security
Bel naar +31 40-2444666
Mail naar info@ip4sure.nl
Of ga naar onze contactpagina