Eerder dit jaar verloor een van onze partners een offertetraject voor vulnerability scanning. De eindklant koos ervoor om zelf aan de slag te gaan met vulnerability scanning software, in plaats van ons platform managed af te nemen via onze partner. Zij dachten namelijk dat het goedkoper was om zelf aan de slag te gaan.
En dat is jammer, want onlangs moest diezelfde eindklant constateren dat zijn netwerk gehackt is. Lag dat aan de partij die de vulnerability scanning software geleverd heeft? Dat denk ik eigenlijk niet. Zonder de details te kennen van wat de software aan kwetsbaarheden gevonden heeft, was de hack van dien aard dat de vulnerability scanning software deze waarschijnlijk wel gevonden heeft. Waarom is het dan toch mis gegaan?
Waar het mijns inziens mis is gegaan, is dat de klant dacht goedkoper uit te zijn door zelf aan de slag te gaan met software, in plaats van het managed afnemen via een gespecialiseerde partij. In de praktijk kreeg vulnerability management echter geen prioriteit, waardoor niemand met de scan resultaten aan de slag ging.
Verborgen kosten
Hoewel het voor grote organisaties een goede keuze kan zijn om zelf software af te nemen, is het voor vrijwel alle MKB en MKB+ organisaties veel beter om een managed dienst af te nemen. Als je zelf aan de slag gaat, heb je namelijk een aantal (verborgen) kosten waar je rekening mee dient te houden.
Inrichting van de software, naast aanschaf voor licenties moet er een server komen die geïnstalleerd en beheerd moet worden. Deze beheerkosten komen maandelijks terug.
Beoordelen van issues, vulnerability scanning kan elke dag nieuwe kwetsbaarheden vinden in IT-omgevingen. Deze kwetsbaarheden moeten beoordeeld worden. Voor deze beoordeling is tijd en kennis nodig.
Omdat het in potentie om meer dan 100.000 mogelijke kwetsbaarheden gaat, kan al deze kennis niet door een persoon ingebracht worden. Je hebt simpelweg meer mensen nodig om de issues goed te beoordelen. Daarnaast zul je meerdere personen in een team moeten hebben om voor de juiste continuïteit bij ziekte en vakantie te zorgen.
Door alles zelf te doen blijf je het wiel opnieuw uitvinden en heb je geen profijt van inzichten van anderen. Het is zonde als je zelf uren steekt in onderzoek, terwijl een ander hetzelfde onderzoek al uitgevoerd heeft en een oplossing heeft.
Uiteindelijk kost het oplossen van een hack je veel meer tijd en geld dan het voorkomen ervan. Denk daarbij niet alleen de kosten voor herstelwerkzaamheden en forensisch onderzoek. Bedrijven kunnen hun primaire bedrijfsproces niet uitvoeren waardoor de omzet er ook onder leidt.
Nadelen van managed
Potentiële klanten die aangeven zelf aan de knoppen willen zitten ervaren het soms als vervelend dat een dienstverlener bepaalde zaken weg gemanaged heeft, waardoor zij zelf minder in kunnen stellen en beheren. In de praktijk merken we echter dat klanten er blij mee zijn dat zij zich kunnen focussen op het verhelpen van issues, in plaats van tijd kwijt te zijn met beoordelen van issues.