Fokusera på kärnverksamheten! Spara pengar. Frigör interna resurser. Låt experterna sköta tekniken. Känns argumentationen igen? Nu kommer outsourcingtrenden till säkerhetssidan på bred front. Och hetast av allt är säkerhet som tjänst. Succén med konceptet ”mjukvara som tjänst”, där exempelvis Salesforce.com erbjuder sitt system för att hantera kundrelationer som en tjänst över nätet, har banat vägen för Software Security-as-a-Service (SSaaS), som anglicismen lyder när det gäller IT-säkerhet.
– Den största fördelen är den låga instegskostnaden. Du slipper köpa mjukvaran och har inget ansvar för att sköta och uppdatera den. Allt du behöver göra är att använda den, och betala en avgift utan att göra något långt åtagande, säger
Forrester Researchs säkerhetsanalytiker Khalid Kark som ser många fördelar med SSaaS-konceptet, främst i form av ökad flexibilitet och ökat fokus på kärnverksamheten.
Så har ditt företag tröttnat på att hantera alla nya smarta säkerhetsfunktioner som e-postfilter, intrusion prevention system och vulnerability assessment? Känns det för resursslukande att ha egen personal som sköter drift och underhåll? Då kanske security-as-a-service kan vara något.
Hotbilden driver på
Nya hot, ny teknik och en allmänn outsourcingtrend har skapat den nya marknaden för säkerhetstjänster. I bräschen går Trend Micro som var bland de första att hoppa på konceptet med sin tjänst Security as a Service.
– Security-as-a-Service är bra för att frigöra resurser internt, konstaterar Kaja Narum, som är Sverigechef på Trend Micro.
Och det tycks finnas efterfrågan, i varje fall om vi får tro leverantörerna. I en undersökning bland Trend Micros kunder uppgav 43 procent att de kunde tänka sig att köpa säkerhet i tjänsteform. Trend Micro vilar därför inte på hanen.
– Syftet är att leverera hela vår portfölj som en tjänst, säger Kaja Narum.
Även Microsoft, som inte alltid har förknippats
med säkerhet, tror på tjänstemodellen. Säkerhetstjänster erbjuds under namnet Exchange Hosted Services. Fokus ligger på e-postfiltrering, men även andra tillämpningar erbjuds.
– Vi ser ett växande intresse för den här typen av tjänster, säger Peter Glas på Microsoft.
Forresters analys pekar åt samma håll.
– Företag idag har väldigt stora informationsmängder som de måste skydda, och hoten blir både mer komplexa och mer riktade, säger Khalid Kark.
– Det krävs betydande kompetens för att skydda en IT-miljö i snabb förändring mot ett hotlandskap som blir allt mer komplext. Därför börjar företag outsourca säkerhetsdriften – och tjänstekonceptet SSaaS kommer att bli en del av den outsourcingen, fortsätter han.
Rykande - men inte glödhett
Leverantörerna står alltså redo och kunderna är intresserade, men när det kommer till kritan är konceptet långt ifrån fullmoget.
– Software Security as a Service är väldigt nytt. Det har ännu inte nått toppen på hajpkurvan, säger John Pescatore, säkerhetsanalytiker på Gartner.
Det han hänvisar till är Gartners berömda graf som visar hur pass heta eller mogna olika fenomen är under sin livscykel. Från det att de föds (ett ”buzzword” myntas) till att de blir allmängods.
SSaaS har alltså en bra bit kvar att vandra på den kurvan innan det kan räknas som fullmoget.Men vissa säkerhetsfunktioner har redan funnits tillgängliga som internettjänster ett bra tag.
– Ja, undantaget är tjänster för sårbarhetsskanning, som kan analysera nätverkssäkerheten genom att hitta öppna portar etcetera. De tjänsterna är mogna, de har nått vad vi kallar ”produktivitetsplatån” där hajpkurvan planar ut, säger John Pescatore.
Khalid Kark på Forrester håller med.
– Tjänster för sårbarhetsskanning var inte ett stort område för ett par år sedan, men det har växt avsevärt över det sista året eller så, säger han.
Det vanliga är dock fortfarande att företag äger och driftar sina egna säkerhetsapplikationer.
– Men det kostar mycket pengar eftersom den mjukvaran ska ligga på en server som ska ha ett operativsystem och så vidare, säger Kaja Narum.
Stordrift ger lågt pris
Affärsmodellen bakom SSaaS går ut på att tjäna pengar på storskalighet. Leverantörerna bygger upp stora datacenter där de tillhandahåller hård- och mjukvara, samt en driftsorganisation som kan hantera all den funktionalitet de erbjuder till sina många kunder.
– Vi har byggt plattformen ”Secure Cloud” i våra datacenter som ska kunna leverera tjänster till våra kunder. All mjukvara och hårdvara finns in-house på Trend Micro, säger Kaja Narum.
Men totalkostnaden, då, sett över hela livscykeln. Vad händer med den?
Jo, tanken är förstås att tjänstemodellen ska bli billigare för slutkunden. Men det är inte säkert. Christian Dinesen, seniorkonsult på Quest Software som säljer sin produkt InTrust som tjänst, är inte helt övertygad om att det alltid är så.
– Det är en låg initialkostnad men det initialt billiga kan bli dyrare på sikt, säger han.
Orsaken till det skulle enligt honom vara att det som levereras enligt tjänstemodellen kostar lika mycket år efter år, till skillnad från vanliga investeringar som skrivs av efter ett tag.
Å andra sidan kan man förvänta sig en viss prispress framöver, i och med att det finns flera leverantörer som konkurrerar.
Säkerhetstjänster passar inte heller för alla. De lämpar sig framför allt för mindre företag som inte kan lägga så mycket resurser på IT-säkerhet. För de företagen kan en modell där man köper tjänster ge en högre säkerhet än vad de skulle ha råd att investera i själva, menar John Pescatore på Gartner. Och Forrester håller med även här:
– Självfallet är SSaaS inte attraktivt för stora globala företag med komplexa miljöer. Men det borde vara lockande för mindre organisationer som inte har tillräckligt med personal, kompetens eller pengar för att köpa och underhålla en fullständig enterprise-lösning, säger Khalid Kark.
Snabba puckar
En stor fördel med att köpa säkerhet som tjänst är snabbheten, både när det gäller själva införandet och löpande uppdateringar. Med tanke på hur snabbt nya hot uppkommer och måste hanteras idag är snabba uppdateringar och patchar kritiska för god säkerhet. Att de som levererar SSaaS utvecklar och kör sina tjänster på en enda plattform innebär att uppdateringar och patchar inte behöver utvecklas för flera plattformar. Och det gör i sin tur att de kan levereras mycket snabbt.
– Det går upp till tio gånger snabbare, uppger Kaja Narum på TrendMicro.
Peter Glas tar Microsofts e-postfiltertjänster som exempel på hur fort det kan gå att implementera en tjänst från grunden.
– Kunden ”pekar om” så att världens DNS:er vet att e-posten ska gå via datacentret. Det tar högst en dag – sedan filtreras all e-posttrafik.
John Pescatore på Gartner höjer dock ett varnande finger och säger att en SSaaS-leverantör
kan pådyvla sina kunder teknik som kunderna inte vill ha eller inte ens bör ha.
– SSaaS blir billigare i rena pengar, men i stället betalar man med minskad kontroll över mjukvaran, menar han.
Ett exempel är vulnerability assessment-verktyg, som kan skada interna system hos en kund om de konfigureras fel. En SSaaS-kund har inte heller möjlighet att välja bort uppdateringar.
När man köper en tjänst idag är den oftast enkel att konfigurera. Via ett enkelt webbgränssnitt kan man ställa in olika parametrar, exempelvis spamregler i e-postfilter. Men hur noga kan du konfigurera de säkerhetstjänster som du köper externt?
– Mycket noggrant, noggrannare än vad du skulle kunna göra om det var din egen mjukvara, säger Nils Molin som är vd för analysföretaget IDC i Sverige.
Men det kan naturligtvis variera.
– Hur långt kan jag gå in och administrera tjänsten? Är det möjligt att administrera den som om man ägde den själv? Det är frågor som man måste ställa sig, säger Kaja Narum.
Expertis ger bättre skydd I vissa fall kan SSaaS hur som helst bli säkrare än egna lösningar. Särskilt om det rör sig om ovanligare funktioner, som vulnerability assessment. Enligt John Pescatore beror det helt enkelt på att de som dagligen sköter tjänsterna på datacentret är kunnigare och bättre uppdaterade på den senaste utvecklingen än din egen personal. Dessutom slipper du en stor fast kostnadspost i form av anställda experter.
Han ser också en fördel i att ha en leverantör som arbetar med flera kunder samtidigt:
– Du kan se riktade attacker mot din bransch, säger han och nämner att det dessutom underlättar om man vill ta fram branschjämförelser, som gör det möjligt för en CSO att se hur bra företaget står sig gentemot andra liknande företag.
Peter Glas pekar på en annan fördel med att ha ett utlokaliserat skydd, nämligen att attacker stoppas utanför företagets nätverk:
– Man flyttar skyddet ett steg längre ut från det egna företaget.
På gott och ont, borde man kanske tillägga. Att låta en extern aktör ta över exempelvis e-postfiltrering kan vara en säkerhetsrisk i sig. E-posten innehåller ju mycket företagskänslig information, och många tvekar över att låta en tredje part sköta så pass känsliga saker.
– Man tycker inte att man har full kontroll, säger Peter Glas på Microsoft.
Och visst, du ger alltid upp ett visst mått av kontroll när du utkontrakterar och köper tjänster. Att många CSO:er känner sig lite ängsliga inför att köpa säkerhet som tjänst är fullt förståeligt.
– Du kan outsourca driften, men du kan inte oursourca ansvaret. Om dina data läcker från ett outsourcat datacenter är det fortfarande ditt ansvar, säger Khalid Kark.
Kolla upp leverantörerna
Som kund gör du klokt i att undersöka hur bra säkerhet leverantören har i sitt datacenter. Den fysiska säkerheten måste självfallet vara hög, men ännu viktigare är arbetssättet.
– Skyddar de data på samma sätt som ni skulle göra själva? Det är den grundläggande frågan du måste ställa dig, säger John Pescatore, och syftar på frågor om leverantörens rutiner och processer.
– Kommer samma person som hanterar en av mina konkurrenter att övervaka mitt eget system? Rutinerna vad gäller personalen på datacentret är väldigt viktiga. Vilka processer jobbar de efter? Är de certifierade enligt till exempel ISO 17799?
Trend Micros Kaja Narum påtalar också vikten av att få garantier från leverantören.
– Hur man hanterar informationen står i avtalet, säger hon, och påtalar att ingen information om kunden får lagras i Trend Micros databaser.
Men det finns även andra saker du måste tänka på. Vad händer om din leverantör går i konkurs?
I värsta fall kan du stå helt oskyddad som kund.
– Se till att det finns konkurrenter. Då slipper du riskera att sitta helt utan säkerhetsleverantör. Och gör en vanlig due diligence, det är dessutom att göra en ordentlig finansiell utvärdering av potentiella leverantörer, säger John Pescatore.
– Undersök företagets historia och vart det är på väg rent ekonomiskt, säger Khalid Kark.
Branschen har tagit fram standardiserade frågor för att utvärdera och benchmarka SSaaS-leverantörer. Sådana hittar du på www.bitsinfo.org.
Men det är långt ifrån allt. Innan du som CSO bestämmer dig för att börja använda någon form av SSaaS finns det ytterligare saker att fundera igenom. Khalid Kark på Forrester nämner ett antal sådana frågor:
– Vad är det för problem jag försöker lösa? Är det här vettigt ur ett affärsperspektiv? Hur säker är tjänsten? Hur stor blir den totala kostnaden? Hur gynnsamt är det här med avseende på företagets befintliga kompetens?
Integrationsfrågan
En säkerhetsjänst måste också passa med din befintliga miljö. Således måste du fråga dig hur pass svår integration en viss tjänst medför.
– Du måste få en heltäckande lösning som är lätt att integrera med din befintliga miljö, säger Khalid Kark.
Nils Molin för ett liknande resonemang:
– Man ska ha klart för sig hur den nuvarande organisationen fungerar. Har vi väl fungerande processer? Har vi en (bra) utomstående leverantör? Vad är risken med en utomstående leverantör? Vad kostar det att ha eget kontra att lägga ut det?
Så, sammanfattningsvis: SSaaS får inte alla säkerhetsproblem att försvinna. Du måste fortsätta arbeta aktivt med IT-säkerhet. Men SSaaS kan sänka kostnaderna och för små företag kan det förbättra säkerheten drastiskt – vilket CSO:erna på de företagen lär vara tacksamma för.
Molnigt på idg.se?
JAG VET INTE!? - (o___O) 2007-11-29 17:30
JAG VET INTE!? - (_inside) 2007-11-29 18:22
JAG VET INTE!? - (RikardZ) 2007-11-29 20:18
JAG VET INTE!? - (Mr Sandman) 2007-11-29 22:26
hm, paranoid? - (Svensk Bäver) 2007-11-30 07:50
Woman in the middle... - (counter) 2007-11-30 09:09
Woman in the middle... - (counter) 2007-11-30 09:29
Trend... Lite sena in i matchen? - (AVDude) 2007-12-04 14:48