Tien jaar geleden ging men er in de meeste middelgrote tot grote organisaties standaard vanuit dat beveiliging intern moest worden beheerd en uitgevoerd. De CISO en zijn team bouwden de capaciteit op, kozen de tools, runden het SOC en waren verantwoordelijk voor de resultaten. Het uitbesteden van beveiliging voelde als een verlies van controle – en in een tijdperk met een eenvoudiger dreigingslandschap en stabielere technologische omgevingen werkte het interne model redelijk goed.
Die aanname wordt nu herzien, systematisch en in alle sectoren. De drijfveren zijn niet in de eerste plaats financieel, hoewel kostenefficiëntie wel een rol speelt. Ze zijn structureel – geworteld in veranderingen in het dreigingslandschap, de technologische omgeving en de arbeidsmarkt voor talent, die er samen voor hebben gezorgd dat het interne model aanzienlijk moeilijker te beheren is volgens de normen die nu vereist zijn.
De argumenten tegen puur interne beveiliging
Het interne beveiligingsmodel heeft altijd een fundamentele beperking gehad: het schaalbaar is met het aantal medewerkers. Meer bedreigingen, meer complexiteit, meer wettelijke vereisten – dat alles vertaalt zich uiteindelijk in een behoefte aan meer mensen, meer specialistische vaardigheden en meer tools. Voor de meeste organisaties stuit die weg al snel op grenzen. Personeelsbudgetten zijn beperkt. Gespecialiseerd talent is schaars en duur. En de kennis die nodig is om moderne beveiliging effectief te beheren, bestrijkt tegenwoordig zoveel domeinen – netwerkbeveiliging, identiteit, cloud, endpoints, compliance, threat intelligence, incident response – dat het voor de meeste organisaties simpelweg niet realistisch is om in één intern team echte diepgang in al die domeinen te verzamelen.
Het resultaat is een bekend patroon: interne teams die op sommige gebieden bekwaam zijn en op andere juist tekortschieten, die sterk leunen op een klein aantal mensen met onevenredig veel cruciale kennis, en die werken met tools die zijn gekozen vanwege hun beschikbaarheid in plaats van hun geschiktheid. Dat is geen kritiek op de betrokken mensen – het is een structureel gevolg van het vragen aan een beperkt team om een steeds groter wordend gebied te bestrijken.
“Het dreigingslandschap neemt geen weekend vrij. Goed geleide managed security operations ook niet. Voor veel organisaties is die continuïteit van de dekking simpelweg niet haalbaar met een intern team van een realistische omvang.”
Wat is er veranderd in de MSSP-markt
De markt voor managed security services had tien jaar geleden in veel kringen een slechte reputatie – en niet zonder reden. Vroege MSSP’s leverden vaak gestandaardiseerde, low-touch monitoringdiensten die grote hoeveelheden waarschuwingen genereerden zonder zinvolle analyse of reactiemogelijkheden. De waardepropositie was kostenreductie, niet verbetering van de beveiliging, en veel klanten merkten dat de realiteit overeenkwam met de prijs in plaats van met de belofte.
De markt is aanzienlijk volwassen geworden. Een nieuwe generatie MSSP's heeft echte operationele diepgang opgebouwd – detectietechniek, threat hunting, incidentrespons en het vermogen om te opereren in complexe hybride omgevingen. Het verschil tussen een managed security service en het hebben van een bekwaam beveiligingsteam is aanzienlijk kleiner geworden, en in sommige opzichten zelfs omgedraaid: MSSP's kunnen een breedte aan expertise en continuïteit in de dekking bieden die de meeste interne teams niet kunnen evenaren.
Ook de druk van regelgeving heeft de lat hoger gelegd. NIS2, DORA en sectorspecifieke kaders stellen expliciete eisen aan beveiligingsmonitoring, incidentrespons en het vermogen om aantoonbaar continu risicobeheer te voeren. Om aan die eisen te voldoen, is een mate van operationele volwassenheid nodig die het argument voor samenwerking met specialisten die die capaciteit op schaal hebben opgebouwd, alleen maar sterker maakt.
De vragen die je jezelf moet stellen voordat je een beslissing neemt
Overstappen op een managed security-model is niet voor elke organisatie in elke situatie de juiste oplossing. Maar de vragen die aan die beslissing ten grondslag moeten liggen, zijn het waard om eerlijk te beantwoorden.
Kun je 24/7 dekking garanderen?
Bedreigingen houden geen rekening met kantooruren. Een intern team dat alleen tijdens werkdagen actief is, laat een gat in de dekking achter waar geavanceerde aanvallers zich terdege van bewust zijn. Om intern echt 24/7-capaciteit op te bouwen, heb je ofwel een groot team nodig dat in ploegendienst werkt, ofwel moet je accepteren dat monitoring buiten kantooruren beperkt zal zijn. Voor de meeste organisaties is geen van beide opties bevredigend.
Heb je diepgang in alle relevante domeinen?
Moderne beveiliging vereist expertise op het gebied van netwerkbeveiliging, identiteit, cloudomgevingen, endpoints, applicatiebeveiliging, compliance en threat intelligence – en de verbanden daartussen. Een intern team dat sterk is in twee of drie van deze gebieden en zwak in de rest, is geen veerkrachtige beveiligingsoperatie. Het is een verzameling goed verdedigde silo’s met hiaten ertussen.
Wat gebeurt er als sleutelfiguren vertrekken?
Zoals we in ons artikel over het tekort aan talent en continuïteit uitgebreider bespreken, is kennisconsolidatie een van de meest onderschatte risico’s bij interne beveiligingsteams. Een managed service verdeelt die kennis over een grotere organisatie, waardoor de kans op een single point of failure aanzienlijk wordt verkleind.
Waar je op moet letten bij een MSSP
Niet alle managed security providers zijn gelijk, en de markt kent een breed scala aan capaciteitsniveaus. Er zijn een paar aspecten die je zorgvuldig moet onderzoeken voordat je een partnerschap aangaat.
Echte operationele diepgang is belangrijker dan een brede servicecatalogus. Een MSSP die detectie, respons, threat intelligence en compliance-rapportage biedt, is slechts zo goed als de analisten en engineers achter die diensten. Vraag naar de werkwijzen op het gebied van detectie, hoe threat intelligence in de praktijk wordt toegepast en hoe een realistisch tijdschema voor incidentrespons er in de praktijk uitziet.
Domeindekking is vooral relevant voor organisaties met complexe omgevingen. Een provider die uitblinkt in SOC-activiteiten maar beperkte capaciteiten heeft op het gebied van netwerkbeveiliging, identiteit of cloud, laat hiaten achter die extra providers of interne aanvulling vereisen. Echte breedte van expertise – het soort dat netwerk, endpoints, identiteit, cloud en compliance binnen één enkele operatie omvat – komt minder vaak voor dan de marketing suggereert.
Aanwezigheid in Europa en kennis van de regelgeving worden steeds belangrijker. NIS2-compliance, de gevolgen van de AVG voor beveiligingsgegevens en de nuances van sectorspecifieke regelgeving in de EU-lidstaten worden niet goed bediend door aanbieders zonder echte Europese operationele ervaring.
Nomios opereert als een Europese MSSP met diepgaande expertise in de volledige beveiligingsstack — netwerkbeveiliging, identiteit, endpoints, cloud en compliance. De breedte die echt moeilijk te vinden is bij één enkele provider, hebben we bewust opgebouwd, omdat we te vaak hebben gezien dat organisaties een gefragmenteerde portfolio van gespecialiseerde providers beheren en de coördinatie-overhead en de lacunes in de dekking die daarmee gepaard gaan, op zich nemen.
Een verschuiving in hoe verantwoordelijkheid voor beveiliging werkt
Een van de meer genuanceerde aspecten van het MSSP-debat is verantwoordelijkheid. De zorg dat het uitbesteden van beveiliging controleverlies betekent, is begrijpelijk – maar de realiteit van een goed gestructureerde managed service is anders. De verantwoordelijkheid gaat niet over naar de aanbieder. De organisatie blijft verantwoordelijk voor haar beveiligingsstatus. Wat wel wordt overgedragen is de operationele uitvoering – het dagelijkse werk van monitoren, detecteren en reageren – terwijl de strategische koers, risicobeheer en governance intern blijven.
Die verdeling van verantwoordelijkheid levert, mits duidelijk gedefinieerd en goed beheerd, doorgaans betere resultaten op dan een puur intern model of een volledig uitbesteed model. De organisatie behoudt zinvolle controle over wat strategisch belangrijk is. De provider brengt operationele capaciteit in die de organisatie niet op een kosteneffectieve manier zelf zou kunnen realiseren. Samen kunnen ze een beveiligingspositie bereiken die geen van beiden alleen zou kunnen handhaven.
Thinking about what a managed security partnership could look like?
We have had this conversation with organisations across Europe at every stage of the decision — from early exploration to active transition. There is no obligation, and no sales script.
