Tenzij je bij een IT-bedrijf werkt, heb je waarschijnlijk te maken met een raad van bestuur die niet echt geïnteresseerd is in IT-investeringen. De focus ligt niet op de technologie maar op de manier waarop deze bijdragen aan het behalen van de strategische doelen en het garanderen van continuïteit. Het huidige economische klimaat heeft organisaties gedwongen om investeringen te prioriteren die de omzet veiligstellen. Raden van bestuur willen hun marktpenetratie maximaliseren om meer klanten te bereiken. Daarnaast willen ze weten hoe ze snel en succesvol nieuwe geografische markten kunnen betreden. De IT-infrastructuur is hierbij vaak niet top of mind.
Organisaties met groeiambities worden echter vaak tegengehouden door de grote investeringen die zij vooraf moeten doen, terwijl het resultaat nog onzeker is. Voor veel organisaties is deze drempel te hoog zonder de garantie op succes. We weten dat organisaties veel flexibeler moeten zijn om de concurrentie te overtreffen (zelfs al is het maar in het hoofd van de klant in plaats van in fysieke aanwezigheid). Dit betekent dat zij digitale initiatieven moeten omarmen en de daarbij behorende risico’s moeten accepteren.
De rol van de CISO is hierbij belangrijker dan ooit. Zij moeten ervoor zorgen dat de investeringen in technologie niet alleen technologisch werken, maar ook bijdragen aan de strategische doelen van de organisatie. De focus ligt dus meer op klantsucces dan IT-productiviteit. Wat is de beste manier om technologische mogelijkheden te matchen met een agile mindset en het bijdragen aan de bedrijfsdoelen? Ik geloof dat dat kan door een aanpak te hanteren die gebruikmaakt van de cloud en een zero trust network access-strategie (ZTNA).
Risico en beloning
Het betreden van nieuwe markten vereist van oudsher investeringen om nieuwe middelen te dekken, van personeel tot kantoren en ook infrastructuur. In het verleden werden dit soort uitbreidingsplannen vaak opgeschort omdat de raad van bestuur het financiële risico niet kon rechtvaardigen: wat als de nieuwe markt het aanbod niet omarmt?
Cloud heeft organisaties financieel flexibeler gemaakt. Het maakt nieuwe ambities mogelijk en brengt organisaties in de gelegenheid om nieuwsgieriger te zijn, zonder enorme investeringen en de druk voor snelle resultaten. Zij kunnen bijvoorbeeld meer experimenteren met een uitgebreider digitaal aanbod, verticale marktsegmenten en nieuwe geografische markten.
Daarnaast kunnen organisaties door virtueel te werken een groter publiek bereiken met de laagst mogelijke investering en daarmee zowel nieuwe voordelen bieden aan hun klanten als het maximaliseren van de eigen omzet. Maar er is nog een andere barrière waardoor de weegschaal tussen risico en beloning sterker naar risico neigt, namelijk veiligheid.
Verander focus van netwerk naar gebruiker
Toen cloud-hostingdiensten hun intrede deden, omarmden veel organisaties dit direct om proactievere concurrenten bij te kunnen houden. Maar zoals bij alles wat nieuw is, was deze overgang een grote omwenteling. Het vereiste een enorme mentaliteitsverandering. Daarna zagen we massale acceptatie van processen zoals DevOps. Hier kwamen ontwikkelings- en IT-teams samen in de uniforme cloudomgeving om geïntegreerd te werken. Dit nam veel complexiteit en vertraging weg die ze ondervonden in hun voorheen geïsoleerde set-ups.
Een vergissing binnen dit versnelde software-innovatieproces was echter dat beveiligingsteams het niet konden bijbenen. Dit was de aanzet tot de volgende ontwikkeling naar DevSecOps. Zoals de naam al suggereert, zijn beveiligingsteams nu een integraal onderdeel geworden van de levenscyclus van softwareontwikkeling. De cloudinfrastructuur, bedrijfsgegevens en applicaties in de cloud worden nu direct beveiligd. Net als bij DevOps vermindert deze gecentraliseerde samenwerking de operationele complexiteit, de frictie tussen teams en de kosten die normaal gemaakt worden om het netwerk achteraf te beveiligen.
Het netwerk is een essentieel onderdeel van de IT-infrastructuur dat het voor CISO’s mogelijk maakt om bij te dragen aan de strategische doelen van hun organisatie. Een goed netwerk is nodig om de flexibiliteit te bereiken die nodig is om concurrerend te blijven. We hebben inmiddels geleerd dat de beste manier om virtuele middelen te beschermen niet is door een beschermende laag rond het netwerk zelf te bouwen. Daarom moet de rol van het netwerk opnieuw beoordeeld worden. Verouderde netwerkgerichte beveiliging geeft gebruikers nog steeds toegang tot het netwerk, maar voegt ook een extra laag complexiteit toe die in strijd is met de agile mentaliteit die we vandaag de dag proberen te bereiken.
Naarmate het aanvalsoppervlak groeit en cyberdreigeingen alleen maar toenemen, stappen steeds meer organisaties daarom over van netwerkgerichte beveiliging naar gebruikersgerichte beveiliging. Met zero trust kan een DevNetSecOps-team processen snel en veel veiliger testen en vrijgeven. Er is een lager risico op beveiligingsincidenten die grote schade aanrichten. Met versterkte beveiliging kunnen ze daarnaast veel beter reageren op de vraag van de markt zonder hetzelfde financiële risico te lopen. Dit zorgt ervoor dat organisaties veel nieuwsgieriger kunnen zijn en daardoor sneller kunnen diversifiëren.
Ben jij een bedrijfsleider en wil je nieuwe regio’s en markten omarmen? Vraag jezelf dan eens af hoe snel jij de sprong naar nieuwe markten waagt. Als het antwoord maanden is in plaats van dagen, is dit misschien het moment om software defined te omarmen.
