Wat moet ik doen bij een Cyber Security Assessment van Microsoft?

Veel bedrijven krijgen vroeg of laat te maken met een Cyber Security Assessment (CSA). Deze wordt doorgaans uitgevoerd op verzoek van Microsoft, al dan niet via een reseller of LSP, om te bezien of het beschermingsniveau van de ICT binnen het bedrijf moet worden verhoogd om voldoende beschermd te zijn en te blijven tegen verschillende cyberbedreigingen alsmede om te kunnen voldoen aan de meest recente wet- en regelgeving.

Een CSA lijkt op het eerste gezicht een mooie aanvullende dienstverlening van Microsoft, maar zij doen dit niet zomaar. In werkelijkheid is een CSA niet veel anders dan een verkapte audit. Na een assessment wordt een actieplan uitgewerkt met daarin een aantal aanbevelingen. En net als bij een audit is ook de uitkomst van een CSA vrijwel altijd dezelfde: namelijk dat bedrijven extra software moeten aanschaffen om weer te kunnen voldoen aan alle veiligheidsnormen. Bovendien krijgt Microsoft (of de reseller/LSP) dankzij een CSA volledige inzage in de totale hardware- en software-inventaris. Zonder het zelf door te hebben, halen bedrijven op deze manier het ‘Paard van Troje’ binnen.

Een Cyber Security Assessment neemt meestal een paar weken in beslag, maar de duur is afhankelijk van de data die een klant beschikbaar kan stellen. Een zogeheten CSAT-tool wordt vaak gebruikt voor de inventarisatie. Het scannen van de software maakt hier deel van uit, maar ook interviews en een survey of een combinatie hiervan zijn niet ongebruikelijk. Een CSA wordt door Microsoft of de partner, die namens Microsoft het assessment uitvoert, gratis aangeboden. Ook hier zit echter weer een addertje onder het gras. Uit het contract dat wordt aangegaan met de partner vloeien vrijwel altijd verplichtingen voort. De door Microsoft aangestelde partner komt met een zogeheten ELP-rapport waarin een aantal aanbevelingen staan opgeschreven. Door onze jarenlange ervaring weten wij dat bedrijven vervolgens vrijwel altijd geadviseerd worden om meer Microsoft-software aan te schaffen om hun cyber security te verbeteren.

Er is helaas nog meer…

Het ELP-rapport brengt niet alleen security-issues aan het licht. Ook de overige producten van Microsoft worden geïnventariseerd en zullen worden vergeleken met de eigen administratie van Microsoft, zoals het Microsoft License Statement (MLS). Niet zelden wordt er, naast adviezen rondom de aankoop van security-componenten, ook aanbevolen om ontdekte tekorten voor andere producten te compenseren. Dit levert meer omzet op voor Microsoft en hun partners. Partners die bovendien een vergoeding ontvangen van Microsoft voor het uitvoeren van deze assessments. Zij zullen deze assessments dus aanbieden als een ‘noodzakelijk kwaad’. De achterliggende reden is echter niet cyber security of software compliance, maar puur commercieel gewin.

Zodoende adviseren wij om niet te snel in stemmen met een assessment dat wordt geïnitieerd door Microsoft, maar eerst onafhankelijk advies in te winnen bij Q-Advise niet gelieerd  is aan Microsoft. Ons team heeft geen belang bij de verkoop van Microsoft-software, maar kunnen beredeneren vanuit het belang van de klant. Bedrijven die met ons werken, kunnen rekenen op een grondige assessment plus een onafhankelijk actieplan waarin aanbevelingen worden opgenomen over hoe de cyber security weer in orde gebracht kan worden. Door in zee te gaan met een onafhankelijk partner, zoals Q-Advise, zijn bedrijven ervan verzekerd dat extra software alleen wordt geadviseerd om aan te schaffen als dit ook daadwerkelijk noodzakelijk is. Licentieregels worden standaard toegepast in het belang van de klant, zodat ook nog eens fors bespaard kan worden op de aanschaf van dergelijke software.