Onlangs was ik in Rotterdam voor een rondetafeldiscussie met enkele CIO’s, CISO’s en IT-managers. We hadden een open gesprek over de uitdagingen waarmee zij te maken hebben. Hoewel digital transformation soms klinkt als een buzzword of hype, is dit toch precies het thema dat boven aan hun lijst staat. De vraag die hen wakker houdt is: hoe ga ik de business op een nieuwe, digitale manier enablen? De inzet van cloudservices is hiermee onlosmakelijk verbonden.

Vrijwel alle bedrijven maken op een of andere manier gebruik van de cloud. Een van de aanwezige CISO’s, werkzaam bij een wereldwijd opererend bedrijf, gaf aan dat hij zes jaar geleden nog riep dat zijn bedrijf nooit naar de cloud zou gaan. Maar daar zijn ze van teruggekomen. Waarschijnlijk zullen niet al hun workloads naar de cloud verhuizen, maar voor een deel geldt de ‘cloud-watervrees’ niet meer.

Met de massale transitie van applicaties en data naar de cloud, en een situatie waarin gebruikers op allerlei plekken werken, is ook de traditionele perimeter-securityaanpak achterhaald. Het is niet langer noodzakelijk en wenselijk om al het internetverkeer eerst terug te halen naar het bedrijfsnetwerk voor de securitycontrols. Security moet daar plaatsvinden waar de data en gebruikers zich ook bevinden: in de cloud.

Tijdens de avond kwamen meer uitdagingen van de security-officers aan bod. Hieronder een korte beschrijving van enkele zaken die ter sprake kwamen.

1. Onduidelijkheden rond eigen verantwoordelijkheid

Met het gebruik van clouddiensten zoals Microsoft Azure rijst de vraag: wat doe je zelf aan security en wat laat je over aan je serviceprovider? Microsoft investeert veel in de veiligheid en compliancy van Azure. Dat wil niet zeggen dat een organisatie hier zelf geen omkijken meer naar heeft. Zoals een van de aanwezigen het omschreef: “We hebben een Microsoft First-strategie. Daarnaast brengen we in kaart welke zaken er niet worden gedekt en deze regelen we zelf.”

2. Kosten voor wide area networks (WAN’s)

Kosten voor WAN’s zijn aanzienlijk. Veel van de aanwezigen worstelen met de hoge kosten voor MPLS. Hoe kunnen ze op plekken in de wereld, waar de internetverbinding slecht is, toch een veilige internetverbinding garanderen tegen een betaalbare prijs? En hoe kunnen ze daarnaast bandbreedte garanderen voor bedrijfskritische applicaties? SD-WAN is een onderwerp waar al de aanwezigen ofwel naar kijken of al op zijn overgestapt. Naast het verbeteren van de WAN-capaciteit en het verlagen van de kosten, biedt SD-WAN ook een mogelijkheid om de netwerkbeveiliging te verbeteren.

3. GDPR

Uiteraard werd ook de GDPR besproken deze avond. Over één ding waren de aanwezigen het eens: de GDPR gaat niet zozeer over het verbeteren van de beveiliging, maar is meer een juridische kwestie. Als je alleen al kijkt naar de gebruikte termen, dan is duidelijk dat deze vaak voor meerdere interpretaties vatbaar zijn. Wat is de definitie bijvoorbeeld van state-of-the-artbeveiliging? Als er iets goeds uit de GDPR is voortgekomen, dan is het wellicht dat budgetten voor security iets gemakkelijker loskomen door de dreiging van hoge boetes.

4. Legacy

Elke organisatie heeft legacy. Zelfs een bedrijf dat pas vijf jaar bestaat. En hoewel het doorgaans meer uitzondering dan regel is, zorgt deze legacy ervoor dat er vaak concessies gedaan moeten worden. Bijvoorbeeld wanneer het gaat om een bepaalde ERP-applicatie die nog niet beschikbaar is in de cloud en waardoor er wereldwijd nog gebruikgemaakt moet worden van dure MPLS-lijnen, zoals een van de aanwezigen aangaf.

5. HTTPS

De encryptie van verkeer is tevens een heet hangijzer. Privacyregels verbieden in sommige landen of gevallen de inspectie van verkeer. Het is echter eenvoudig om malware te verspreiden via versleuteld verkeer. Dan rijst de vraag: Waarom hebben we al die security-appliances als we SSL-verkeer onberoerd gelaten? Ook hier kom je al snel weer in een juridisch spel terecht. Mag je verkeer met persoonlijke data (op je bedrijfsnetwerk) inspecteren?

6. De zwakste schakel

Het laatste punt dat werd besproken: de mens. Want techniek is mooi, maar het is doorgaans niet de techniek die faalt. De zwakste schakel is (en waarschijnlijk blijft!) de mens. Veel van de aanwezigen hebben dan ook speciale programma’s ingericht om bewustwording te stimuleren en medewerkers te trainen. Denk bijvoorbeeld aan het bewust maken van zaken als target phishing of profiling. De aanwezigen zijn het erover eens dat hierover de confrontatie opzoeken het beste werkt. Niet enkel erover praten. Al moet daarin ook weer de balans worden opgezocht, want mensen alleen bang maken werkt juist verlammend.

“Het is eenvoudig om malware te verspreiden via versleuteld verkeer”

Het was goed om deze thema’s samen te bespreken en te leren van best practices van anderen. Ondanks dat de thema’s soms ver uit elkaar leken te liggen, was er toch een duidelijke rode draad: elke organisatie die actief aan de slag gaat met digitale transformatie krijgt vroeg of laat te maken met bovenstaande uitdagingen. Het goede is dat er gelukkig ook genoeg voorbeelden zijn van organisaties die er al succesvol mee aan de slag zijn gegaan.

REAGEREN

Plaats je reactie
Je naam