Borderless networking en compliancy. Ziedaar twee dominante trends in ICT die organisaties raken en beïnvloeden, vooral als het om security gaat. Dat is althans de visie van Thierry Lamain en Niels Everstijn, beiden businessunitmanager bij ict-dienstverlener Axians.
Dagelijks staan Lamain en Everstijn organisaties en bedrijven bij in het vormgeven, beheren en uitbouwen van hun ict-infrastructuur en -organisatie. Dagelijks ook zien zij ondernemingen en organisaties worstelen met een werkelijkheid die steeds complexer wordt. Hoe blijf je als organisatie in deze storm overeind? En vooral: hoe waarborg je de security? In gesprek met twee bevlogen IT-professionals.
Gespannen voet
“Borderless networking is een belangrijke trend”, zegt Everstijn, manager van de businessunit Axians Security. “Of je spullen nu in de cloud draaien – public, private of hybrid –, de grenzen vervagen. Applicaties worden steeds meer ‘geconsumeerd’ afgenomen en data staat tegenwoordig overal. Wireless komt erbij, mobiel, meerdere devices per persoon enzovoort.”
Technologische ontwikkelingen maken de convergentie en integratie van infrastructuur en communicatie mogelijk. Everstijn: “Snelheid en flexibiliteit nemen toe. Dat is ook wat we willen. Maar we willen ook 24/7 beschikbaarheid, maximale toegankelijkheid en weten waar onze informatie staat. Alles bij elkaar wordt het steeds complexer. En complexiteit en security staan op gespannen voet met elkaar.”
Zijn collega Lamain, businessunitmanager van Axians Utrecht, voegt toe: “We zien nu de integratie plaatsvinden van de kantooromgeving met de productie-omgeving, en ook met de automatisering van gebouwen. Een enorme operatie die inderdaad grote voordelen oplevert. Maar hoe ga je dat op een veilige manier doen?”
Neem daarbij het toenemende belang van compliancy, het voldoen aan wettelijke voorschriften en regels, en de uitdagingen worden duidelijk. Lamain: “We zitten nu nog, tot mei 2018, in een zogeheten grace period, maar de AVG (Verordening (EU) 2016/679: Algemene Verordening Gegevensbescherming) komt keihard op iedereen af. Organisaties moeten in de nabije toekomst auditeerbaar zijn, waarbij de bewijslast wordt omgedraaid: als je niet kunt aantonen dat je op de juiste wijze met gevoelige informatie omgaat, dan heb je als organisatie een serieus probleem.”
Gapende kloof
De technische ontwikkelingen versnellen en daarmee de mogelijkheden. Maar de complexiteit groeit ook, evenals de wettelijke eisen. Hoe moet je in deze dynamische wereld de security waarborgen? Everstijn: “Ik zie bij heel veel bedrijven en organisaties op dit moment een gapende kloof tussen beleid en operatie. Tussen wat ze beleidsmatig willen en wat er van ze gevraagd wordt, en hoe ze dat operationeel daadwerkelijk gaan regelen en waarmaken in hun dagelijkse operatie. Als er überhaupt al sprake is van een serieus en overdacht beleid.”
Zijn collega Lamain wijst op een recent onderzoek onder gemeentes, dat heeft aangetoond dat veel gemeentes nog absoluut niet voldoen aan de regels die de overheid zelf heeft opgesteld. “En dat geldt niet alleen voor overheidsinstellingen. Eigenlijk overal zoekt men nog naar het creëren en vertalen van beleidswensen en regelgeving in concrete stappen en acties, op basis van bestuurlijke behoeften en risico’s. Techniek volgt beleid, niet andersom.”
Het belang van architectuur
Een manier om organisaties te helpen de migratie naar borderless networking relatief soepel te maken, is het belangrijk maken van de security architectuur, vertelt Everstijn. “Je moet in je infrastructuur onderdelen en modules hebben die in principe met elkaar kunnen praten, zonder dat je dat met allerlei ad-hoc, houtje-touwtje oplossingen voor elkaar moet boksen.” Vandaar dat Axians werkt met gerenommeerde aanbieders als Cisco en Fortinet, die een intelligentielaag over de verschillende componenten van de infrastructuur leggen, die snellere interactie en response op actuele bedreigingen waarborgt.
Uniek model
Maar architectuur alleen is niet genoeg. Om in deze dynamische wereld grip te krijgen op security en die te houden, hanteert Axians een uniek model. Everstijn: “Wij hebben een security proces ontwikkeld waarbij we allereerst samen met de klant op strategisch niveau zijn behoefte onderzoeken.” In dat strategische overleg, dat in principe jaarlijks plaatsvindt, komen vragen naar voren als: welke ambities heeft de organisatie? Aan welke voorwaarden moet vanuit de branche en vanuit de wetgever worden voldaan? Is er onderscheidend vermogen aanwezig om door middel van secure IT bijvoorbeeld sneller te kunnen innoveren? Wat is het belang van ICT als proces en data als informatie in de organisatie? Dat is tegenwoordig lang niet alleen de kantoor automatisering, maar meer en meer ook operationele processen.
Zijn deze strategische speerpunten eenmaal bepaald, dan wordt op tactisch niveau – op kwartaalbasis – vastgesteld wat de implicaties zijn op planmatig niveau, qua innovatieprocessen en dergelijke. En vervolgens wordt dagelijks gemonitord wat een en ander betekent in de operationele gang van zaken en worden incidenten beoordeeld vanuit dit model.
Interactieve cyclus
Aldus ontstaat er een interactieve cyclus, waarbij doelgericht gemeten en gerapporteerd wordt. De op deze manier verkregen inzichten oefenen weer invloed uit op tactisch en strategisch niveau. “Zo maak je van security een continu verbeteringsproces”, zegt Everstijn. “Daarin zijn wij als Axians volgens mij echt uniek.”
De aanpak wordt door Axians al bij uiteenlopende opdrachtgevers met succes toegepast. Als voorbeeld noemt Lamain een provincie die deze manier van werken recentelijk heeft geïmplementeerd: “Omdat het leidt tot veel meer inzicht, omdat er structuur zit in de opvolging van incidenten, schuift de organisatie op naar een fase van hogere volwassenheid en grotere weerbaarheid op het gebied cybersecurity. En dan zie je dat de hele staande organisatie erin meegaat.”
Uiteraard blijven de risico’s en gevaren legio. “Maar je kunt de risico’s wel beheersen”, weet Everstijn. “Je kunt passende maatregelen nemen, op een gestructureerde manier. Je kunt niet voorkomen dat het gaat stormen. Maar je kunt je er wel op kleden.”
Axians – The best of ICT with a human touch
Axians is het merk van VINCI Energies voor ict-oplossingen en -diensten en maakt deel uit van de VINCI Group. Het ondersteunt haar klanten in het gehele proces van hun ict-projecten met een breed portfolio aan oplossingen: software-oplossingen, cloud en managed it-diensten, datasystemen en datacenters, netwerkinfrastructuren en oplossingen voor samenwerken en communiceren.
De 8000 medewerkers (waarvan 600 in Nederland) van Axians zijn actief in 15 landen verdeeld over meer dan 200 businessunits. Axians combineert ‘het beste van twee werelden.’ Enerzijds de voordelen van een grote organisatie met intern een hoge mate van specialisatie, state-of-the-art expertise en klantkennis in diverse sectoren. Anderzijds het kleinschalige, directe, dagelijkse contact met de klant via korte lijnen. Vandaar ook de slogan: ‘The best of ICT with a human touch’.
