DIT IS EEN COMMERCIËLE UITGAVE, VERSPREID MET HET FINANCIEELE DAGBLAD. DE REDACTIE VAN HET FINANCIEELE DAGBLAD HEEFT GEEN BETROKKENHEID BIJ DEZE PRODUCTIE.
BoardroomIT SECURITY & CONNECTIVITY #iam
inhoudsopgave
03
Startups vrezen flirt grote banken met blockchain
Een consortium van grote banken is bezig om meer grip te krijgen op blockchain. Een nieuwe vorm van protectionisme?
03
Legacy-applicaties behouden waarde
Nieuwe technologie zet legacy applicaties over naar Linux-servers en cloudplatformen. Zo kunnen oude maar cruciale applicaties meegroeien in de digitale transitie.
07
‘Het gaat niet meer om de defensieve maatregelen’
De NS kondigden eind 2014 een complete verandering aan van zijn IT-omgeving. Hessel Dikkers, CIO: “Als het gaat om security is ons ambitieniveau duidelijk gestegen.”
11
Mobiele apparaten zijn inherent onveilig
17
Configureren en klaar
De overheid heeft behoefte aan meer grip op de beveiliging van mobiele apps. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) komt in actie.
Met application platform as a service kun je zelf applicaties bouwen, hosten, deployen en onderhouden. Tijd voor een nadere analyse.
20
‘Maak risico’s expliciet en bespreekbaar’
De ict-sector kan als het gaat om risicobeheersing veel leren van de ict-ervaringen binnen de scheepvaart, luchtvaart of de bouw.
20
IT-afdelingen worstelen met security
IT’ers hebben weinig zicht op de effectiviteit van securitymaatregelen. Een integrale aanpak is vereist.
Security ondergeschikt bij overstap naar digitale diensten
IT-managers nemen aanzienlijke risico’s Organisaties die haastig nieuwe online diensten ontwikkelen en aanbieden, investeren vaak te weinig in adequate beveiligingsmaatregelen. Dit zorgt voor aanzienlijke risico’s, vooral op het gebied van toegang voor gebruikers. Daarop duidt onderzoek van consultancy Capgemini en beveiligingsspecialist RSA onder meer dan 800 managers en professionals uit de VS, het VK, Duitsland, Frankrijk, de Benelux en Scandinavië. Door onze redactie
VUGHT – Zes op de tien ondervraagden vinden het ‘zeer belangrijk’ of ‘cruciaal’ om gebruikers op een veilige manier (meer) toegang tot digitale diensten te geven, maar slechts een kwart van de organisaties heeft hiervoor de technologie op orde. Ondanks alle haast om online diensten beschikbaar te maken, komen organisaties wel in actie om hun beveiligingsmaatregelen te versterken. Vooral in de nasleep van ernstige beveiligingsincidenten nemen de investeringen Identity and Access Management (IAM) merkbaar toe. Bijna zeven op de tien bedrijven melden een stijging van het budget voor IAM, 28 procent spreekt van een ‘sterke’ stijging. Complexer inlogproces
Adaptive authentication wordt bepalend voor gebruikerstoegang tot apparaten en services, zo luidt een andere conclusie van de onderzoeker. Hoe hoger het ‘risicoprofiel’ van de gebruiker, hoe complexer het inlogproces. 84 procent van de organisaties geeft aan zo’n systeem te overwegen en prioriteit te geven aan toegang via meerdere methodes en apparaten. 85 procent van de organisaties vindt het
(zeer) cruciaal om snel en efficiënt nieuwe diensten te ontwikkelen op basis van cloudtechnologie met IAM. Organisaties hechten daarnaast veel waarde aan de hosting-locatie van beveiligingsdiensten; bijna 90 procent prefereert of eist dat de hosting plaatsvindt in datacenters in het eigen land of de eigen regio. Zes aanbevelingen
De auteurs van het begeleidende onderzoeksrapport besluiten met zes aanbevelingen. Ten eerste zouden organisaties moeten overstappen op een hybride IT-omgeving, waardoor ze flexibeler worden terwijl ze de gevoelige data on-premise houden. Daarnaast moeten ze niet alleen naar werknemers kijken maar ook naar consumenten en partners bij het ontwerpen van identity and access management. Vervolgens moeten ze diverse authenticatiemethoden ondersteunen, waaronder adaptive risk controls. Ook moeten organisaties laten zien dat ze handelen in lijn met de regelgeving voor opslag van gegevens in de cloud. Tevens is er governance nodig voor het omgaan met identiteiten van gebruikers. Ten slotte moeten CISO’s intern aantonen dat ze meer kunnen halen uit de (groeiende) budgetten voor IAM door met een ervaren IT-dienstverlener op dit gebied in zee te gaan, zodat projecten sneller en goedkoper worden afgerond.
#IoT
Internet of Things mainstream in VS Door onze redactie
AMSTERDAM – Ouders die hun net voor het rijbewijs geslaagde tiener monitoren als deze achter het stuur kruipt en ‘regels’ opstellen voor de met internet verbonden auto, slaapapneu-patiënten die eindelijk aan hun nachtrust toekomen, een wijngaard waarvan de grond intensief wordt gemonitord om betere gewassen te krijgen en sneller opererende hulpdiensten – volgens Verizon is het IoT mainstream geworden. Het bedrijf bracht onlangs zijn rapport State of the Market: Internet of Things 2016 uit, waarin resultaten van een onderzoek uitgevoerd door Oxford Economics zijn opgenomen. Het IoT zal de komende jaren blijven zorgen voor omzetgroei bij bedrijven van alle omvang, verwacht Verizon. IoT kan de omzet stuwen doordat het vijf macrotrends verenigt, zeggen de auteurs van het rapport: Automatisering dagelijks leven
Over drie tot vijf jaar zal het dagelijks leven van de gemiddelde consument aanzienlijk meer geautomatiseerd zijn, met name omdat via één interface meerdere IoT-applicaties te gebruiken zijn. Acht op de tien organisaties in de publieke sector die gebruikmaken van IoT zeggen dat steeds meer burgers van hen verwachten dat zij hun dienstverlening optimaliseren met behulp van data-analyse en IoT-technologie. Data-analyse
Het vermogen om omzet te halen uit het analyseren van data zal uitgroeien tot een onmisbare vaardigheid. Bijna de helft van de ondervraagde bedrijven verwacht de komende twee tot drie jaar bijna een kwart van zijn data te gaan benutten. Slimme bedrijven stappen over van het verzamelen van beschrijvende informatie naar een geavanceerder model dat in het teken staat van voorspellende en prescriptieve dataanalyse. Het doel hiervan is om inzichten aan data te ontlenen die hen in staat stellen om klanten beter te bedienen. De analyse van big data zal hierdoor verschuiven naar domeinexperts. Lees meer op p.3 #architectuur
PARTNERCONTENT
De verwachtingen van het Internet of Things zijn hooggespannen. Zeker nu duidelijk is dat Condition Based Maintenance de killer app zal voortbrengen. Dit biedt in korte tijd grote financiële voordelen. Meer weten? Lees verder op pagina 2.
GE bouwt ecosysteem voor industrieel internet Door onze redactie
VUGHT - Industriereus GE gaat een digitaal industrieel ecosysteem ontwikkelen met een groot aantal partners in het Digital Alliance Program.
Onder meer Accenture, AT&T, Cisco, Vodafone, Capgemini, Intel en Infosys hebben zich achter het initiatief geschaard. Zij krijgen toegang tot GE’s industriële internet, het cloudplatform Predix, voor de ontwikkeling van nieuwe digitale toepassingen en apps. Het bereik van de samenwerking is breed en omvat zeer uiteenlo-
pende initiatieven. Roland Teixeira, directeur GE Benelux: “Het programma moet ervoor zorgen dat we gezamenlijk voldoende schaalgrootte creëren om echte groei te stimuleren en duizenden ontwikkelaars en consultants te certificeren om tot het grootste technisch gekwalificeerde ecosysteem te komen.”
02 BoardroomIT
SECURITY & CONNECTIVITY
#iot
De Salesforce van IoT
Condition Based Maintenance is de ‘killer app’ voor het Internet of Things
Internet of Things volgt cloud computing op als grootste hype van het moment. Om hypes te ontgroeien moet een aanjager voor een nieuwe generatie toepassingen opstaan: een toepassing die grote financiële voordelen oplevert en in korte tijd op grote schaal te implementeren is. Voor het Internet of Things is Condition Based Maintenance die toepassing.
Door Simon Jagers, Founder Semiotic Labs.
AMSTERDAM – Gartner voorspelt dat de waarde van het Internet of Things (IoT) in 2020 zo’n 1,5 biljoen dollar bedraagt. Wat dichter bij huis stelt ABN AMRO dat de Nederlandse markt voor IoT-oplossingen jaarlijks 2 miljard euro groot is. De verwachtingen zijn dus hooggespannen, maar de echte doorbraak wacht nog op een killer app – zoals CRM dat was voor cloud computing. Wie de Salesforce van het Industrial Internet of Things gaat worden is nog niet bekend, maar dat het bedrijf Condition Based Maintenance-oplossingen levert staat vast. Condition Based Maintenance
Condition Based Maintenance (CBM) stelt dat onderhoud moet plaatsvinden voordat machines falen of als de prestaties afnemen – maar niet eerder. De actuele conditie van machines is daarmee bepalend voor het
inplannen van onderhoud. Daarmee wordt de beschikbaarheid van machines hoger, verbetert de operationele betrouwbaarheid en vallen de kosten voor onderhoud 10 tot 40 procent lager uit. In het verleden werd CBM breed ingezet: De chef werkplaats kende na 20 jaar trouwe dienst zijn machinepark van buiten en kon aan bijvoorbeeld trillingen voelen welke machines onderhoud nodig hadden. Doordat de complexiteit van machines is toegenomen en de chef werkplaats met pensioen is gegaan zijn onderhoudsmodellen op basis van mean time between failure ontstaan: historische gegevens worden gebruikt om in te schatten wat het optimale onderhoudsinterval is. Het probleem van deze methode is dat deze geen rekening houdt met de belangrijkste reden om onderhoud te plegen: de conditie van machines. Een CBM-applicatie bepaalt de actuele conditie van een machine én de toekomstige onderhoudsbehoefte door sensordata ‒ bijvoorbeeld trilling, stroomverbruik en/of temperatuur ‒ om te zetten in patronen van gedrag. Algoritmes leren de verschillen tussen gezonde en ongezonde patronen herkennen en voorspellen wanneer en waarom machines gaan falen. Onderhoudsmanagementsystemen gebruiken deze informatie om onderhoud in te plannen op basis van de actuele behoefte.
De introductie van cloud computing maakt het mogelijk om die data op een centrale plek op te slaan, als basis voor het ontwikkelen van modellen en algoritmes. Klassieke kunstmatige intelligentie ontwikkelt kennis- en beslisregels op basis van historische data. Daarmee kunnen machines eenvoudige beslissingen zelf nemen. Machine learning, een vorm van kunstmatige intelligentie, wordt pas sinds enkele jaren op grote schaal toegepast. Het is het laatste ontbrekende stukje in de puzzel; want waar klassieke kunstmatige intelligentie binnen CBM een one-size-fits-all
Slimme machines
Het Internet of Things bestaat uit apparaten die met het internet verbonden zijn. Ze delen proces- en sensordata met andere apparaten of applicaties. Geholpen door algoritmes wordt data omgezet in bruikbare informatie om bijvoorbeeld processen te optimaliseren of, in het geval van CBM, de toestand van de machine door te geven. Machines worden al sinds de jaren ’70 uitgerust met sensoren. In bijvoorbeeld de olie- en gasindustrie helpen ze ongelukken voorkomen door alarm te slaan als grenswaarden worden overschreden. Geholpen door de ontwikkeling van smartphones – die vol zitten met kleine, goedkope sensoren – neemt het aantal sensoren in de industrie razendsnel toe. Daarmee groeit ook de hoeveelheid data die slimme machines genereren.
“De CIO bevindt zich in de ideale positie om als regisseur op te treden” model hanteert, maakt machine learning het mogelijk om de toestand van elke machine individueel te beoordelen. De data scientist bepaalt hóe een algoritme leert, maar wát het leert is afhankelijk van de kenmerken van de machine waarvan data worden geanalyseerd. Daarmee is het mogelijk om een op machine learning gebaseerde oplossing uit te rollen over één of duizenden machines tegelijk, zonder aanpassingen aan de algoritmes zelf.
Killer app(s)
De grote aanjager van nieuwe technologie – de killer app – is de eerste toepassing die op grote schaal wordt geïmplementeerd. Daarvoor is een combinatie van grote toegevoegde waarde en een snelle, eenvoudige implementatie vereist. Het eerste zorgt voor vraag naar de toepassing, het tweede dat een implementatie op grote schaal technisch realiseerbaar is. Voor cloud computing was Salesforce die toepassing. De toegevoegde waarde van online CRM bleek vele malen groter dan de kosten. Een implementatie was voor de IT-afdeling geen probleem: de benodigde inspanning bleef beperkt tot een migratietraject van bestaande klantdata. Die combinatie is van grote toegevoegde waarde en relatief eenvoudige implementaties zorgden voor de snelle uitrol van Salesforce, en in zijn kielzog voor een versnelling in de acceptatie van cloud computing als de nieuwe standaard. Condition Based Maintenance biedt eenzelfde combinatie van eigenschappen: De opbrengsten wegen ruimschoots op tegen de investeringen, implementaties op grote schaal worden door machine learning mogelijk gemaakt. Een belangrijk verschil is dat IoT-oplossingen vooral bestaan uit gespecialiseerde applicaties die één of een beperkt aantal taken uitvoeren. Een combinatie van IoT-applicaties – of services – zorgt voor het ontstaan van de smart enterprise, wat in goed Nederlands ‘Industrie 4.0’ heet. CIO wordt regisseur
De CIO bevindt zich in een ideale positie om als regisseur op te treden, die de brug slaat tussen functionele afdelingen (vraag) en interne- en externe leveranciers (aanbod). Ook schept de CIO kaders waarbinnen snelle applicatieontwikkeling mogelijk wordt gemaakt. Daarbij gaat het voor IoT-toepassingen vooral om het verlenen van toegang tot data aan applicaties en het bewaken van standaarden voor de uitwisseling van gegevens tussen de verschillende applicaties. Als deze kaders goed zijn vormgegeven biedt dit een gouden kans om de enorme hoeveelheid data die door het IoT gegenereerd wordt in dienst te stellen van het bedrijfsresultaat.
BoardroomIT
SECURITY & CONNECTIVITY
#finance
Vervolg van pagina 1.
‘IoT lang gezien als lappendeken’ Veranderingen in de wet- en regelgeving zullen de juiste partners binnen het IoTecosysteem samenbrengen, zodat er sneller branchestandaarden kunnen worden ontwikkeld. Een goed voorbeeld is de Drug Supply Chain Act in de VS, die de farmaceutische industrie systemen voorschrijft voor elektronische overdracht en opslag van historische transactiegegevens. De wet geldt ook voor informatie over de distributie- en toevoerketen en moet verkoop van namaakmedicijnen tegengaan.
Startups vrezen flirt grote banken met blockchain
03
@rob_beijleveld
Column
Dringen en duwen in de polder
Connectiviteit
Netwerkconnectiviteit, energiezuinige apparatuur en IoT-platforms zullen een sterke invloed hebben op het innovatielandschap en leiden tot meer tools waarmee ontwikkelaars en bedrijven de capaciteit van hun IoT-implementaties kostenefficiënt kunnen opschalen van miljoenen tot miljarden verbindingen. 5G, de nieuwe generatie draadloze technologie, zal autonome oplossingen als zelfrijdende auto’s en robotica faciliteren, en zal ook de aanzet geven tot nieuwe toepassingen, zoals virtual en augmented reality voor IoT-implementaties. Beveiliging
Beveiligingsexperts houden de technologische ontwikkelingen in het oog. Het gaat om oude en nieuwe cyberrisico’s die van invloed zullen zijn op IoT-implementaties en de bedrijfsactiviteiten. Het rapport geeft verder aan dat ondernemingen een beroep op startups zullen doen om hun bedrijfsgroei te versnellen met behulp van IoT. In 2015 haalden IoT-gerelateerde startups 75 procent meer financiering binnen dan startups met een focus op de consumentenmarkt. Volgens Verizon zullen startups in de IoT-sector in 2016 tot drie keer meer kapitaal binnenhalen in vergelijking met hun tegenhangers in de consumentenmarkt. “IoT is lang gezien als een lappendeken van complexe technologieën die alleen door early adopters werd ingezet”, zegt Mike Lanman, Senior Vice President IoT en Enterprise Products bij Verizon. “Het afgelopen jaar hebben we echter overtuigende voorbeelden gezien van manieren waarop bedrijven, ondernemers, gemeenschappen en developers IoT kunnen inzetten. Ondertussen zijn consumenten meer bereid nieuwe technologieën en apps te proberen om beter te kunnen gaan leven. Dit zal de komende twee jaar resulteren in de ontwikkeling van nieuwe toepassingen, een snellere toestroom van innovaties en zelfs een compleet nieuwe economie.”
Door onze redactie
VUGHT – Terwijl steeds meer bedrijven de bitcoin als een geaccepteerd betaalmiddel zien, is een consortium van ruim veertig wereldwijd actieve, grote banken achter de schermen bezig om meer grip te krijgen op de onderliggende technologie, het over vele nodes gedistribueerde grootboek, blockchain genoemd. Betrokkenheid bij een technologie die is opgezet als een open, publiek goed, kan de traditionele banken echter opbreken en innovatie tegenwerken, zo denken fintech-startups. Het sluimerende conflict doet denken aan de beginstrijd van het wereldwijde web, toen sommige cybergoeroes niets moesten hebben van inmenging van overheden en big business, ook al bestond er wel degelijk een wederzijdse afhankelijkheid. Die twee argumenten spelen ook nu een rol. Volgens de visie van zogenaamde bitcoin-maximalisten moet iedereen met een pc en internetaansluiting kunnen participeren in blockchain, terwijl banken, ongetwijfeld geïnteresseerd gadegeslagen door toezichthouders en andere overheidsinstellingen, uit zijn op een gesloten systeem waaraan alleen bekende, trusted parties mogen deelnemen. De bij het R3 CEV-consortium aangesloten banken in R3 willen echter gewoon gebruikmaken van bestaande technologie, zegt Managing Director Charley Cooper onlangs tegen de Wall Street Journal, net zoals ze kiezen uit het aanbod van data-
bases, analysetools of andere technologieën op de markt. “Technologie beweegt constant in verschillende richtingen. Dat betekent niet dat het misgaat", zegt Cooper. “Het is de realiteit van technologische ontwikkeling in de echte wereld. Deze moet zich aanpassen.” Protectionisme?
De vraag is echter waaraan. Gaan startups, of de hele blockchain-infractructuur waar hun businessmodel op is geschraagd, straks het onderspit delven tegen de macht van Wall Street, Londen en Hongkong? Dat zou zomaar kunnen, want in januari en februari heeft het consortium twee tests uitgevoerd met 11 banken en 5 gesloten, private blockchains. Bij volgende tests zullen toezichthouders worden betrokken, aldus R3. Geen enkele financiële waakhond ter wereld is immers gerust op onbekende, niet-gecertificeerde partijen die zich bezighouden met financiële transacties. De opstelling van traditionele financiële instellingen is echter een schoolvoorbeeld van protectionisme, vinden anderen. Gesloten blockchains, waar alle deelnemers bekend zijn, sluiten per definitie nieuwe spelers uit, aldus Anthony Watson, president en chief executive van Uphold Inc., een startup voor online diensten op het gebied van geld overmaken en wisselen zonder tussenkomst van banken. Watson komt uit onverdachte hoek. Hij was ITbeslisser bij Barclays PLC, Citigroup Inc., Nike Inc. en Wells Fargo & Co. “Ze zijn bang dat fintech hun wereld opblaast en dat hun traditionele dominantie verdwijnt.” #architectuur
Legacy-applicaties behouden waarde BoardroomIT Colofon: Hoofdredactie: Arnoud van Gemeren Eindredactie: Teun Putter, Ferry Waterkamp Correcties: Arnoud Lamboo Medewerkers: Chantal Burink, Hans Lamboo, Felix Speulman, Ferry Waterkamp, Hotze Zijlstra Fotografie: Clemens Rikken, Menno van Eekelen, Roelof Pot, Mark van den Brink, iStock by Getty Images Manager Vormgeving: Mathieu Westerveld Drukwerk: PRinterface Sales & Business Development Director: Bart de Vaan Meer informatie over branded content en adverteren in BoardroomIT: Manager Media: Jeffrey Ploeg (
[email protected]) Uitgever: Rob Beijleveld, ICT Media BV Laan van Voorburg 1 5261 LS, Vught t 073-6140070
[email protected] © ICT Media BV, Vught 2016.
Door onze redactie
VUGHT – Organisaties hebben grote moeite hun legacy mainframe-applicaties en -data over te zetten naar Linux-servers en cloudplatformen. Dit staat de digitale transitie van deze ondernemingen in de weg. De Zwitserse softwaremaker LzLabs komt nu met een oplossing, het Software Defined Mainframe, waarmee legacy-applicaties zodanig worden aangepast dat zij op moderne systemen kunnen draaien. Decennia-oude API’s worden eveneens ingeruild voor modernere varianten. Kostbare en verouderde architecturen zijn een grote hindernis voor digitalisering, terwijl de afhankelijkheid ervan groot is. Zeven op de tien wereldwijde zakelijke transacties is afhankelijk van deze systemen, stelt men bij LzLabs. De nieuwe oplossing biedt ondersteuning voor belangrijke legacy-omgevingen en programmeertalen, zodat er een einde komt aan de
steeds terugkerende kosten van mainframehardware en -software. Tevens blijven organisaties profiteren van hun vaak forse investeringen in legacy-applicaties, data en bedrijfsprocessen. Flexibiliteit
“Wereldwijd bestaat de wens bij organisaties om mainframe-applicaties los te koppelen met als doel de interoperabiliteit en zakelijke flexibiliteit te verbeteren en kostenbesparingen te realiseren. Zij merken echter dat er te veel complexiteit en risico’s gepaard gaan met het herprogrammeren van applicaties en het opnieuw compileren van alle code”, zegt Thilo Rockmann, bestuursvoorzitter van LzLabs. “Er was duidelijk behoefte aan een manier voor bedrijven om de code en data van hun applicaties in een moderne omgeving onder te kunnen brengen.” Door de oplossing van LzLabs kunnen Linux- en cloudinfrastructuren duizenden transacties per seconde verwerken. Ook voldoen ze aan eisen omtrent betrouwbaarheid, schaalbaarheid, eenvoud in onderhoud en beveiliging.
Geen onderwerp zo ‘hot’ als security. Was je vroeger toch wel een zeurpiet als je wees op beveiligingsrisico’s van een applicatie of website, tegenwoordig kun je aansluiten in de lange rij van profeten die onze ondergang voorspellen. Het Internet of Things is daarbij de klap op de vuurpijl, of als je wilt, de nagel aan onze doodskist. Sluisdeuren worden opengezet, kerncentrales koken over, ‘intelligente’ auto’s worden overgenomen en veranderen in dodelijke projectielen. De nuance is al jaren zoek. En die nuance heet risicomanagement. In tegenstelling tot wat men ons doet geloven, hoeven we niet alles te beveiligen. Het gaat daarbij om de variabelen kans en schade, en vervolgens om de vraag welk risico we willen accepteren. Absolute veiligheid bestaat niet, ook al blijven we daarnaar zoeken, zeker in ons landje van zekerheidszoekers, waar we met z’n allen flink overververzekerd zijn. Intussen zijn er natuurlijk wel serieuze risico’s te adresseren, als het gaat om bijvoorbeeld overheidsinmenging, Internet of Things, big data, cybercrime en zeker ook het gebrek aan skills op het gebied van securitymanagement. Je zou denken dat er vast wel weer een commissie in het leven zou zijn geroepen, onder leiding van een oudgediende uit de politiek, die een lijvig rapport produceert waar we vervolgens niets mee doen. Deze keer niet. Deze keer is vanuit de noodzaak om gezamenlijk, constructief en nuchter naar de security-uitdagingen van de komende jaren te kijken, een initiatief genaamd The Hague Security Delta (HSD) ontstaan. HSD is een samenwerkingsverband tussen bedrijven, overheden en kennisinstellingen, waar serieus aan kennisontwikkeling en -uitwisseling wordt gedaan, vanuit hubs in Den Haag, Twente en Brabant. Fijn dat er nu eindelijk eens meters worden gemaakt in en vanuit Den Haag. Ik denk dat we in ons land trots mogen zijn op dit initiatief, dat doet denken aan Silicon Valley. Maar… het Financieele Dagblad berichtte laatst dat ons landje maar liefst 220 van zulke ‘delta’s’ en valleys’ kent. U leest het goed. Zoals vroeger gezegd werd dat iedere Nederlander zijn eigen kerkgenootschap had, heeft nu iedere wethouder die wat wil voorstellen zijn eigen Silicon Valley in de dop. ‘Laat duizend bloemen bloeien’, zei Mao ooit. Maar 220 Silicon Valleys in de polder doen me voor het eerst toch verlangen naar wat regie! Rob Beijleveld is o.a. oprichter en eigenaar van ICT Media.
04 BoardroomIT
SECURITY & CONNECTIVITY
#transformatie
Keynote Don Scheibenreif, Gartner, op Jaarcongres Connected Enterprise 2016
Digital Humanism Door onze redactie
AMSTERDAM-ZUIDOOST – Business connectivity in safe mode. Dat is het thema van het Jaarcongres Connected Enterprise 2016. In zijn keynote Customer Engagement Will Accelerate To Speed of Digital Business zal Don Scheibenreif, VP Distinguished Analyst van Gartner Research, ingaan op de gevolgen van Digital Business op organisaties en de relaties met hun klanten. “Nieuwe, kleine bedrijfjes ontwrichten complete bedrijfstakken en sectoren, doordat ze gemakkelijk toegang hebben tot de nieuwe technieken en technologieën. Alles draait om Customer Engagement.” Customer engagement wordt aangejaagd door technologie die het mogelijk maakt veranderingen vele malen sneller door te voeren dan vroeger. In zijn keynote zal Scheibenreif
ingaan op de vier componenten daarvan: active, emotional, rational en ethical engagement. “De startups zien geen enkel verschil tussen ‘customer engagement’ en ‘technologie’. Was customer engagement vroeger voorbehouden aan de marketingafdeling, binnen de digitale onderneming raakt iedereen betrokken bij de manier waarop met de klanten wordt omgegaan.” Relevant blijven
Uit recent onderzoek van Gartner blijkt dat ongeveer 22 procent van de organisaties bezig is met het invoeren van een digitale strategie. In 2017 zal dat 50 procent zijn, zo wordt verwacht, en in 2020 meer dan 80 procent. Dat lijken hoge cijfers, zegt Scheibenreif: “Maar je moet er als ondernemer over na denken en beseffen hoe digitale transformatie je bedrijf gaat veranderen. Je kunt je niet permitteren dat niet te doen, want veel organisaties doen al digitale business. Ook in jouw markt.”
Veel van Gartners klanten worstelen met het vinden van de juiste mix van talent om bij de digitale transformatie te kunnen helpen. “Maar het probleem ligt vooral bij de gevestigde orde, niet bij bedrijven die digitaal geboren zijn. Dat heeft vooral te maken met legacy, en dan niet alleen op het gebied van IT maar juist ook op het gebied van organisatie en cultuur. Je zult als organisatie veel opener moeten zijn, en alle oude technologie en gedrag moeten loslaten – als je tenminste relevant wil blijven in de digitale wereld.” Serendipity
Een van de belangrijkste onderwerpen van Scheibenreif is Gartners concept digital humanism. “Dat gaat echt over de vraag hoe mensen hun dromen waar kunnen maken. Waar de aandacht vooral uitgaat naar technologie en digitale transformatie, willen we iedereen eraan herinneren dat alles om menselijke wezens gaat. Als je
dat vergeet veroorzaak je vooral schade.” In zijn keynote zal hij dieper ingaan op de drie basisprincipes van digital humanism: 1. Don’t ask, je krijgt veel meer inzicht door het gedrag van je klanten te observeren; 2. Embrace serendipity, de wereld is vol verassingen – dus verwacht het onverwachte en maak er gebruik van; 3. Don’t intrude, wees je als organisatie bewust van het bestaan van privacy. “Het feit dat je iets met de nieuwe technologie kúnt doen, betekent niet dat je het ook móét doen. Dat is een a-technische filosofie, maar uiterst belangrijk om in balans te komen met de heersende technologiehype”, zegt Scheibenreif. “ In digital business hangt veel af van het vermogen van mensen om zich snel aan te passen – terwijl mensen dat van nature niet snel doen. Dat zal een flinke hindernis blijken met alle veranderingen die plaatsvinden op het gebied van innovatie, infrastructuur en security.”
#cloudsecurity
Risico online applicaties neemt toe
JUNI IS Cloudadoptie bepaalt business- DUTCH case web application firewall SOURCING MAAND Door Jeroen Renard, Chief Security Officer bij Previder datacenters en de Odin Groep.
HENGELO – Moderne organisaties gebruiken steeds meer cloud- en webgebaseerde applicaties voor hun bedrijfsvoering. Dit brengt een aantal securityrisico’s met zich meer, die niet opgelost kunnen worden met een standaard firewall. De laatste jaren zijn web application firewalls daarom een stuk populairder geworden. Maar is daar wel een geldige businesscase voor? Ofwel: zijn ze meer dan een security-lapmiddel voor slecht beveiligde webapplicaties? Sinds de introductie van de eerste firewalls circa 1990 is er veel veranderd. Next Generation Firewalls, die de afgelopen vijf jaar op de markt zijn gekomen, vertegenwoordigen de volgende stap in de evolutie van dit product. Ze bieden allerlei aanvullende en geavanceerde functionaliteit, waaronder bescherming tegen zero-day vulnerabilities en een intrusion prevention-systeem (IPS). Deze firewalls zijn daardoor praktisch onmisbaar geworden als de eerste verdedigingslinie van een bedrijfsnetwerk. De web application firewall is specifiek bedoeld voor de beveiliging van cloud- en SaaS-applicaties, en biedt functionaliteit die buiten het domein van een reguliere firewall valt. De relevantie van dit product is de laatste jaren echter aanzienlijk gegroeid door de toegenomen populariteit van cloudservices. Toch wordt de meerwaarde van deze firewalls nog regelmatig onderschat. Toekomstige bedreigingen
De hoeveelheid en diversiteit van cyber security-bedreigingen zijn de laatste jaren exponentieel toegenomen. De aanvallen zijn echter steeds meer gericht op webgebaseerde diensten, omdat achter de loginschermen
vaak allerlei bedrijfsdata of klantgegevens te vinden zijn. Webapplicaties moeten uiteraard veilig ontwikkeld en ingericht zijn. Het probleem bij SaaS is echter dat dit vaak oplossingen zijn waar continu aan ontwikkeld wordt. Hierdoor kunnen steeds weer nieuwe bugs of zwakheden ontstaan, die door kwaadwillenden misbruikt kunnen worden. Daarnaast bestaat er nog het gevaar van zero-day vulnerabilities. Deze nieuw gevonden zwakheden in allerlei standaard
dan is het kwaad misschien al geschied. Een web application firewall biedt een extra beveiligingslaag voor deze applicaties, met name voor deze nieuwe en onbekende bedreigingen. De web application firewall kan de login-functionaliteit of andere invulvelden bijvoorbeeld op een intelligente manier monitoren om zelfstandig te bepalen wat wenselijk of normaal gedrag is. Gebeurt er dan iets buiten die norm, zoals pogingen tot SQL injection, dan gaan direct de alarmbellen af. Dit soort firewalls zijn ook vaak zelflerend en worden continu voorzien van actuele informatie over cybersecurity-bedreigingen en zero-day vulnerabilities, waardoor webapplicaties er direct tegen beschermd kunnen worden.
Is er een business-case?
“De meerwaarde van web application firewalls wordt nog regelmatig onderschat” software kunnen ineens voor een gapend beveiligingslek zorgen, dat onmogelijk direct gepatcht kan worden. Hoe ga je daar als bedrijf mee om? Een goed opgeleid IT-team kan een eventuele inbraak wellicht op tijd detecteren, maar
Cloud en SaaS worden door steeds meer bedrijven gebruikt, zowel voor interne IT-oplossingen als het online leveren van eigen diensten. De potentiële beveiligingsrisico’s van deze online applicaties zijn aanmerkelijk groter, waardoor traditionele beveiliging op basis van lijsten met virusdefinities of bekende kwetsbaarheden niet meer toereikend is. Het kan daarom een grote meerwaarde hebben om een web application firewall te gaan gebruiken. Die kan soms ook als aanvullende dienst van de cloudleverancier afgenomen worden. Of dit de investering waard is, hangt uiteraard wel af van de geschatte bedrijfsrisico's. Maar is er een heldere businesscase op basis van een grondige risicoanalyse, die aantoont dat het optimaal beveiligen van SaaS noodzakelijk is? In dat geval is een web application firewall een onmisbare aanvulling op de aanwezige beveiliging in de vorm van een traditionele firewall en een alert ontwikkelteam. De realtime en zelflerende bescherming die web application firewalls bieden, is noodzakelijk als je op een toekomstgerichte manier met beveiliging bezig wilt zijn.
1 JUNI SOURCING DISCUSSIETAFEL 13 JUNI BOARDROOMIT SOURCING 16 JUNI JAARCONGRES STRATEGIC SOURCING 30 JUNI OUTSOURCE MAGAZINE
VOOR CONTACT JEFFREY PLOEG
[email protected] 06 317 448 58
06 BoardroomIT
SECURITY & CONNECTIVITY
#security
Nieuwe risico’s vergen grondige maatregelen
De donkere kant van digital Het is nog niet eens zo lang geleden dat aandacht voor en prioriteit van 'IT Security' nog geen vanzelfsprekendheid was. Informatiebeveiliging bleef beperkt tot het afvinken van lijstjes van De Nederlandsche Bank en andere toezichthouders. Inmiddels weet iedereen die binnen een organisatie verantwoordelijk is voor IT wel beter. Mede door de voortschrijdende digitalisering, de opkomst van cloud computing en het succes van het Internet of Things zijn aanvallen van kwaadwillende netwerken allerminst denkbeeldig. Overheden, financiële instellingen, feitelijk iedere organisatie waarin hoge volumen transacties omgaan dienen maatregelen te treffen. Uitgangspunt: het beveiligingsniveau in lijn brengen met het risico van de organisatie.
minstens zo belangrijk als de technische maatregelen, want de meest geavanceerde aanvallen beginnen met de zwakste schakel: de mens. We hebben het hier bijvoorbeeld over Advanced Persistent Threats (APT, zoals die van Carbanak [1]). Sociale media
Een APT-aanval gebeurt via ‘Social Engineeringstechnieken’: het vergaren van informatie over de aan te vallen doelsystemen en personen die daar mogelijk toegang tot kunnen bieden. Sociale media bieden een schat aan informatie over personen, zoals de organisatie waar zij werkzaam zijn. De hacker probeert vervolgens de betreffende persoon te lokken naar een site waar diens werkcomputer geïnfecteerd en dus gecompromitteerd kan raken. Deze computer heeft contact met het centrale commandocentrum van de hacker die vervolgens allerlei gerichte, malafide opdrachten kan laten uitvoeren. Daar komt nog bij dat de hacker ‘binnen’ is; hij kan allerlei acties verrichten zoals het opzoeken van bepaalde systemen, het uploaden van malware en het stelen van gegevens. We zien tegenwoordig ook een fenomeen dat we spear phishing noemen. Bij zo’n aanval wordt een medewerker binnen een organisatie misleid en aangezet tot bijvoorbeeld het betalen van een openstaande factuur. De medewerker denkt dat de opdracht komt van een leidinggevende maar het is de hacker die zich voordoet als die leidinggevende. Aan deze aanval is een uitgekiend proces van social engineering voorafgegaan. De hacker heeft kunnen achterhalen wie geautoriseerd is om betaalopdrachten te geven in de bewuste organisatie en hoe diens e-mailadres misbruikt kan worden. Om dit soort aanvallen te voorkomen is het noodzakelijk een staat van continue waakzaamheid bij medewerkers te creëren. Een reeks andere maatregelen is weergegeven in het kader ‘Controleren en analyseren’. Straight Through Processing
Door Cor Broekhuizen, interim manager / adviseur bij Wielinq.
UTRECHT – IT-security betreft het geheel aan digitale maatregelen tegen ongewenste indringers. Denk hierbij aan encryptie, firewalls en anti-malware. In dit domein zie je eigenlijk een continue 'wapenwedloop': digitale bendes komen met nieuwe, inventieve wapens, slim gebruikmakend van de laatste technologische ontwikkelingen. Leveranciers van IT-securitytechnologie spelen daar voortdurend op in en dat gebeurt andersom ook. Informatiebeveiliging daarentegen is het geheel van technische maar juist ook niettechnische maatregelen tegen ongewenste indringers en onbevoegd gebruik van data, zoals secure data policies, fysieke beveiliging, procedures en het creëren van bewustzijn bij medewerkers. Dit laatste is
Het overvallen van de postkoets en later de bank had in de tijden van het Wilde Westen nog wel iets romantisch. Ook in de digitale wereld vinden deze bankovervallen plaats, maar de bancaire sector is lang niet meer het enige doelwit. Alle organisaties die op grotere schaal te maken hebben met automatische geldstromen (uitkeringen bij verzekeraars, pensioenfondsen, overheden, enzovoorts) zijn een potentieel doelwit. Verregaande automatisering via bijvoorbeeld Straight Through Processing is prachtig, maar kent ook een keerzijde: eenmaal een valse identiteit aangemeten kan een digitale bende zeer lang ongezien te werk gaan. Veel organisaties hebben dan ook niet alleen aandacht voor 'preventie' (voorkomen dat men binnen komt) maar ook voor 'detectie en respons' (men is al binnen – hoe kunnen we via software verdachte patronen ontdekken en daar adequaat op reageren?). Het stelen van persoonsgegevens en andersoortige informatie en het platleggen van een computerinfrastructuur kunnen
zijn ingegeven door allerlei andere doelen dan het buit maken van geld. Denk hierbij aan het toebrengen van reputatieschade of aan politieke doelen. Cloud
Traditionele beveiliging werd en wordt soms nog gezien als het bewaken van een fort: de kroonjuwelen in de schatkamer, dikke muren er omheen, een mooie slotgracht incluis. Met het toenemend gebruik van (public) cloudoplossingen werkt dit echter niet meer. Data bevinden zich in principe overal en niet meer alleen binnen de ‘veilige’ muren van het eigen datacenter. Dat vereist dan ook een ander beveiligingsparadigma. Je beveiligt je data daar waar de data op dat moment zijn. De beveiliging reist als het ware mee met de data. Binnen dit zogenaamde ‘Jericho Principle' zijn data-encryptie en meervoudige authenticatie op gegevensniveau belangrijke beveiligingsprincipes.
Controleren en analyseren • Multifactor authenticatie voor toegang; • Het vaststellen van drempelwaarden; • Detectie van veranderingen in transactiepatronen; • Gedragsanalyse en detectie van verandering in gedrag; • Verzamelen en analyseren van indicatoren die duiden op een gecompromitteerd systeem; • Zoeken naar patronen in accounttypes, leeftijden of locaties. Ten onrechte wordt vaak aangenomen dat providers van private cloudoplossingen hun beveiliging optimaal hebben ingericht en berusten afnemers van clouddiensten in die gedachte. Het jaarlijks opvragen van een zogeheten ISAE3402-verklaring is voor hen voldoende. Dit is een internationale standaard voor informatiebeveiliging in relatie tot uitbesteden. Serviceproviders mogen zich echter in toenemende mate in de belangstelling van criminele, digitale bendes verheugen en de eerder geschetste ontwikkelingen gelden evenzeer voor hen. Een ISAE3402-verklaring zegt bijvoorbeeld weinig over het bewustzijn rondom cybercrime binnen de organisatie. En sta ook eens stil bij de volgende vragen:
• Wat is er vastgelegd over het omgaan met autorisatierechten? • Is het personeel gescreend? • Kan de service provider aantonen dat alle bekende kwetsbaarheden tijdig en volledig worden weggenomen? Bij de selectie van de service provider is het raadzaam al in de RFP-fase specifieke informatiebeveiligingsaspecten mee te nemen. Internet of Things
Met de opkomst van Internet of Things (IoT) en infrastructure-as-a-code wordt het potentiele aanvalsvlak enorm vergroot. Alles met een IP-adres is een target. Met de zelfdenkende koelkast zal het nog wel loslopen, maar gerichte aanvallen op smart buildings en allerlei vitale infrastructuren kunnen een flinke impact hebben. Neem bijvoorbeeld de recente aanval op de Oekraïense power grid BlackEnergy. Dit was een combinatie van malware-infectie met DDoS aanvallen. Via spear phishing werden bepaalde machines geïnfecteerd en werden gegevens verzameld van het interne netwerk die werden doorgestuurd naar een Command and Control Server. Vervolgens zocht en vond de malware zijn weg naar de systemen waarmee de stroomvoorziening uitgeschakeld werd. Tussendoor werd een DDoS-aanval gelanceerd om de herstelwerkzaamheden te verstoren. Het gevolg van deze aanval: ongeveer 80.000 klanten zaten 6 uur zonder stroom. Op dit soort platforms gelden dezelfde klassieke regels van informatiebeveiliging als elders, zoals: • Zorg voor beveiliging van de IoT-devices gedurende de gehele levenscyclus (ontwerp, ontwikkeling en testen); • Zorg voor awareness van de risico’s en dreigingen onder de gebruikers van IoTdevices; • Pas best practices toe voor security. Deze zijn gericht op verschillende doelgroepen (bijvoorbeeld fabrikanten van devices, ontwikkelaars en service providers); • Richt een security-beheersingsmodel in; • Integreer security-functies in hardware en software; • Zorg voor beveiligde data-uitwisseling tussen IoT-devices; • Zorg voor adequate operationele veiligheid en onderhoud, zoals patches update en scanning van kwetsbaarheden. Het is ook gewoon je werk
Cybercrime is niet meer weg te denken. Maak daarom voldoende tijd, geld en aandacht hiervoor vrij en zorg dat informatiebeveiliging op het niveau is dat past bij de risico's van de organisatie. Het is geen ‘rocket science’ – het is gewoon je werk als IT-verantwoordelijke. Een interview met mw. Mercera en de heren Van Driel en Van Kessel (Information Risk & IT Security medewerkers bij APG) vormde de basis voor dit artikel. VOETNOOT 1 Criminele bende die vrij recent mogelijk tot 1 miljard dollar heeft buitgemaakt van verschillende financieel dienstverleners.
BoardroomIT
SECURITY & CONNECTIVITY
07
#uitbesteding
Hessel Dikkers, Chief Information Officer bij NS:
‘Het gaat niet meer om de defensieve maatregelen’ De Nederlandse Spoorwegen kondigden eind 2014 – toen het een omvangrijk uitbestedingscontract sloot met KPN – een complete verandering aan van zijn IT-omgeving. De transitie waar NS nu middenin zit, gaat echter nog veel verder dan een ‘vernieuwing van IT’, zo benadrukt Hessel Dikkers, Chief Information Officer bij NS. “Als het gaat om security is ons ambitieniveau duidelijk gestegen.”
Door Ferry Waterkamp Fotografie: Ruud Jonkers Fotografie
UTRECHT – “Binnen NS zijn we bezig om afscheid te nemen van de oude wereld”, zo vertelt CIO Hessel Dikkers. Die oude wereld wordt volgens de CIO gekenmerkt door een IT-omgeving die is opgebouwd uit “meerdere datacenters, verouderde hardware- en softwareversies, intransparante netwerken en een complexiteit die niemand meer doorziet”. “Na een ‘opschoning’ gaan we nu naar een modern platform waar de leverancier de verantwoordelijkheid heeft om de dienstverlening op niveau te houden.” Dat moderne platform waar Dikkers op doelt, is de private cloud van KPN waar vrijwel de gehele infrastructuur van NS in wordt ondergebracht. Zo verhuizen maar liefst twaalfduizend werkplekken naar de virtuele ‘KPN Werkplek’. Maar bijvoorbeeld ook de servicedesks, de hosting van websites zoals www.ns.nl, applicatiebeheer, datacenterdiensten en de integratie met publieke clouddiensten zoals Office 365 komen onder regie van KPN te staan, dat daarbij de hulp krijgt van ‘onderaannemers’ Conclusion en Motiv.
Beveiliging kroonjuwelen
Hoewel het vervoersbedrijf bijvoorbeeld voor de kantoorautomatisering dus ook gebruikmaakt van publieke clouddiensten zoals Office 365 van Microsoft, komen de bedrijfsapplicaties primair terecht in de genoemde private cloud van KPN. “Daar zitten de kroonjuwelen van onze bedrijfsvoering en hebben we ook heel duidelijk de focus om de beveiliging op een hoger plan te brengen. Niet alleen qua beveiliging, maar ook qua monitoring en response.” “Als het gaat om security is ons ambitieniveau duidelijk gestegen”, constateert Dikkers. “Beveiligingsmaatregelen die tien jaar geleden nog voldeden, doen dat nu niet meer. Het dreigingsbeeld is veranderd en dan moet je als NS meebewegen.” Volgens Dikkers vraagt de toegenomen dreiging om een groei in volwassenheid, waarbij het niet meer gaat om de defensieve maatregelen zoals een firewall of antivirus, maar om de controlemechanismen en rapportages die beschikbaar zijn. “Ik wil weten waar we staan als het gaat om bijvoorbeeld de uitgevoerde patches, het aantal inbraken waarmee we te maken hebben gehad, het aantal wachtwoorden dat niet is gereset binnen de norm, et cetera. Op die inputvariabelen beoordelen we ook onze partners. Dat is een heel andere insteek dan ‘beveilig deze server’.” Standaarddiensten definiëren
Nog dit jaar moet de transitie van de ‘oude wereld’ naar de ‘nieuwe wereld’ worden afgerond. “Voor die tijd is er nog heel veel werk aan de winkel”, constateert Dikkers. “We zitten nu midden in de transitie en zijn bijvoorbeeld nog volop bezig met het opruimen van onze datacenters – en dat met de winkel open want de treinen moeten wel gewoon blijven rijden.” Over de techniek maakt Dikkers zich overigens niet al te veel zorgen. “Die techniek komt er wel. Een veel grotere uitdaging schuilt in de samenwerking, de nieuwe processen en de nieuwe manier van werken.” Volgens de CIO moeten alle betrokken partijen – waaronder KPN, ‘onderaannemers’ Conclusion en Motiv en NS zelf – loskomen uit de oude wereld en veel meer gaan denken in standaarddiensten die als het ware ‘uit de muur’ zijn af te nemen. “We willen als NS zoveel mogelijk standaarddiensten afnemen van de leverancier in plaats van dat we zelf de IT gaan bedenken”, zo stelt Dikkers. “Als ik in een restaurant zit, wil ik niet de aardappelen, groente en vlees los moeten bestellen. Ik wil gewoon een maaltijd.” Op eenzelfde manier moeten leveranciers gaan
begrijpen dat het niet gaat om het leveren van een server met een database, connectiviteit en storage, of om een firewall met de bijbehorende kabels, maar om de functionaliteit die wordt geboden. “Dan moet je standaarddiensten gaan definiëren en ze zo klaarzetten dat je ze als het ware met ‘copy-paste’ kunt uitrollen en niet telkens opnieuw hoeft te bouwen.”
Ervaren outsourcer
NS heeft een lange geschiedenis als het gaat om het uitbesteden van IT. Al in 2007 besloot NS om ict-diensten uit te besteden, toen aan HP, CSC en KPN. Binnen het nieuwe contract – dat eind 2014 wereldkundig werd gemaakt als ‘een van de grootste ict-contracten in Nederland’ – wordt vrijwel de gehele infrastructuur van NS ondergebracht in de private cloud van KPN, dat ook volledig de regie krijgt. NS gaat daarmee terug van drie naar één leverancier. Onder de operationele regie van KPN wordt Conclusion verantwoordelijk voor de levering van technische applicatiebeheerdiensten. Ict-securityspecialist Motiv is binnen deze constructie verantwoordelijk voor de levering van beveiligingsdiensten.
“We hebben een heel duidelijk de focus om de beveiliging op een hoger plan te brengen” Andere manier van denken
“De focus op standaarddiensten vergt een andere manier van denken”, vervolgt Dikkers. “Er wordt door NS functioneel gevraagd en dat betekent voor de partners dat ze op een andere manier in het contract moeten gaan zitten.” De nieuwe manier van werken moet
bij alle partijen goed tussen de oren komen, zo benadrukt de CIO. “Maar als we die omslag naar een standaarddienstverlening goed weten te maken, dan hebben we – zowel NS als onze partners – echt goud in handen. Het ‘denken in diensten’ is iets waar de gehele industrie absoluut naartoe gaat en wij vullen dat dan in met state-of-the-art-diensten die onze partners ook mee kunnen nemen naar andere klanten. Als we dan ook nog de legacy achter de hekken weten te krijgen – en daarmee onze datacenters volledig afbouwen – mogen we daar echt enorm trots op zijn.” Ontwikkelingen absorberen
Met de nieuwe IT-omgeving – gebaseerd op standaarddiensten – wordt het volgens Dikkers voor NS eenvoudiger om de ‘sprong naar de toekomst’ te maken en alle ‘grote ontwikkelingen die er spelen te absorberen’. “Ik kan niet voorspellen hoe de wereld er over tien jaar uitziet; in 2006 zagen we ook niet aankomen dat we nu allemaal met een iPad voor ons zouden zitten. Wat ik wel weet, is dat de ontwikkelingen alleen maar sneller gaan.” “Kijk bijvoorbeeld naar cloud, mobiliteit en big data”, vervolgt Dikkers. “Dat zijn allemaal ontwikkelingen die bij ons terecht komen en waarvoor we klaar willen zijn. Zo zien we duidelijk de opkomst van ‘IT in de trein’: er komen steeds meer sensoren en we halen steeds meer informatie uit treinen waarmee we weer het onderhoud aan de treinen of de dienstverlening richting onze reizigers kunnen verbeteren. Ook mobiliteit is voor ons een belangrijk onderwerp. We hebben bijvoorbeeld heel veel medewerkers in dienst die geen werkplek hebben maar wel worden uitgerust met een smartphone en een tablet. Die mobiliteit vraagt onder andere om een ‘vertablettisering’ van onze bedrijfsapplicaties.” “Een moderne IT-basis is een randvoorwaarde om in ieder geval klaar te zijn voor de allerlaatste ontwikkelingen zodat je die kunt absorberen”, besluit Dikkers. “Daarnaast draagt het bij aan een kwaliteitsverbetering van onze dienstverlening naar zowel de reizigers als de operatie. De afhankelijkheid van IT neemt in stappen toe, zowel voor het laten rijden van de treinen als voor de beleving van de reiziger. Als de afhankelijkheid toeneemt, neemt ook de vraag naar een betrouwbare IT toe.” Dikkers met een knipoog: “De stap naar standaarddiensten is bovendien ook goed voor de euro’s; die moeten we als NS ook scherp bewaken. In het nieuwe contract zijn we dan ook scherpere prijzen dan in de oude contracten overeengekomen.”
08 BoardroomIT
SECURITY & CONNECTIVITY
ADVERTENTIE
BoardroomIT
SECURITY & CONNECTIVITY
09
#risicomanagement
Andrzej Kawalec, Hewlett Packard Enterprise:
‘Organisaties bestrijden drones met katapulten’ Door Jan Terpstra
AMSTELVEEN – Een derde van de organisaties wordt vaker geconfronteerd met cyberaanvallen dan twee jaar geleden. Deze stijging zorgt echter niet voor een stijging in het gebruik van geavanceerde beschermende maatregelen. Volgens Andrzej Kawalec, Chief Technology Officer bij Hewlett Packard Enterprise Security Services, is het voor onoplettende organisaties tijd om wakker te worden. Kawalec geeft aan dat zelfs met de beste beveiliging een aanval niet uit te sluiten is, maar dat je wél maatregelen moet nemen om goed voorbereid te zijn op een impactvol beveiligingsincident. Veel leidinggevenden en managers vrezen dat hun bedrijf onvoldoende is voorbereid op het voorkomen, signaleren en oplossen van cyberaanvallen en datalekken. En die vrees blijkt terecht, zo is te lezen in het Cybersecurity Challenges, Risks, Trends and Impactsonderzoek dat in februari 2016 door het Massachusetts Institute of Technology (MIT) onder 225 IT-managers is uitgevoerd. Het onderzoek geeft namelijk een schokkend beeld van de mate waarin organisaties (on)voorbereid zijn op een cyberaanval. Men is zich wel bewust van de impact, maar slechts 6 procent van de organisaties weet precies wat er moet gebeuren als zij slachtoffer worden van een cyberaanval. Het MIT-onderzoek toont bovendien aan dat een overgrote meerderheid van de organisaties (86 procent) onvoldoende is beveiligd tegen cybercriminaliteit. Dit is volgens Kawalec opvallend omdat er voor organisaties grote belangen op het spel staan. Hackers zijn vaak uit op financiële gegevens van medewerkers, informatie over bedrijfsovernames en intellectuele eigendommen zoals patenten. Inbraak veel te laat ontdekt
Hackers zijn gemiddeld al 146 dagen actief binnen een organisatie voordat hun aanwezigheid wordt opgemerkt, zo blijkt verder uit het onderzoek. Veel organisaties houden wel logbestanden bij, maar slechts een klein deel controleert die gegevens ook regelmatig. Daardoor kan het gebeuren dat het lang duurt voordat een lek aan het licht komt. De meeste hacks worden als eerste door externen geconstateerd, zoals klanten, leveranciers of de media. Minder dan de helft (47 procent) van de geslaagde hackaanvallen wordt intern ontdekt.
Apps vergroten speelveld hacker
Hackers vallen graag aan vlak voor of tijdens feestdagen, omdat ze dan verwachten dat de beveiliging minder stringent is, weten experts bij beveiligingsbedrijf FireEye. De risico's loeren op veel terreinen; naast aanvallen per e-mail en via de browser, vormt mobiel gebruik de laatste jaren een groot risico vanwege kwetsbare applicaties. Ook de opkomst van het Internet of Things biedt nieuwe mogelijkheden voor hackers om bij organisaties binnen te dringen. “Er zijn drie punten die cyberbeveiliging zo moeilijk maken. Allereerst zijn hackers over het algemeen zeer goed getraind en betaald. Daarnaast verschilt de wet- en regelgeving op het gebied van cybercrime per land. Tot slot brengt de steeds meer gedigitaliseerde wereld bedreigingen met zich mee”, aldus Kawalec. Een meerderheid van de aanvallen komt via phishing-mailtjes binnen. Vier van de vijf cyberincidenten beginnen met een phishing-mail waar een onoplettende medewerker op klikt. Daarmee krijgt de hacker toegang tot het netwerk. Het simpelweg 'dichttimmeren' van netwerken is dus niet voldoende. De rechten van gebruikers moeten goed worden beheerd en er zijn betere detectietools nodig die snel overzicht en inzicht bieden. Oefening baart kunst
Door een gebrek aan kennis en technologie weten veel organisaties niet hoe ze moeten reageren, als ze zijn gehackt. “Veel organisaties verweren zich met verouderde technologieën”, stelt Kawalec. “Zie het als het verdedigen met katapulten en kanonnen terwijl de aanvallers drones en andere zeer geavanceerde technologieën gebruiken.” Zelfs met de juiste tools is een aanval nooit helemaal uit te sluiten. Het is dan ook belangrijk om een aanval zo snel mogelijk te detecteren zodat je er direct op kunt reageren. Hiervoor is een heldere risicomanagementstrategie nodig, ook in het kader van de meldplicht datalekken. Deze meldplicht is sinds begin dit jaar van kracht en stelt organisaties (zowel bedrijven als overheden) verplicht om direct de Autoriteit Persoonsgegevens te waarschuwen zodra zij een ernstig datalek hebben geconstateerd. Doen ze dat niet of zijn persoonsgegevens onvoldoende beschermd, dan riskeren de organisaties een forse boete. Ook om deze reden is een protocol bij beveiligingsincidenten noodzaak. Kawalec: “Als sprake is van een cyberincident moet
het crisisplan al klaarliggen. Je bent te laat als je zo’n crisisplan op dat moment nog moet opstellen.” “De eerste 48 uur na een inbraak zijn essentieel, maar de snelheid waarmee je kunt reageren hangt volledig af van wat je voor de inbraak hebt vastgelegd”, vervolgt hij. “Maak daarom een breach response plan, identificeer rollen en verantwoordelijkheden en train de juiste mensen. Oefening baart kunst: door scenario’s te simuleren geef je de organisatie een real life-ervaring van een cyberaanval. Als het dan daadwerkelijk gebeurt, weet de organisatie wat er wordt verwacht.”
Andrzej Kawalec
“Als sprake is van een cyberincident moet het crisisplan al klaarliggen” Stap in de huid van de hacker
Wie cyberaanvallen wil voorkomen, wordt geadviseerd om te denken als een hacker en niet vanuit de organisatie. Ga voor jezelf na wat de waardevolste assets zijn binnen het bedrijf: waar zou een crimineel naar op zoek kunnen zijn? Bedenk vervolgens manieren om als hacker daar toegang toe te krijgen. Goede informatiebeveiliging vraagt om een geïntegreerde aanpak waarbij je niet alleen informatie en systemen beveiligt, maar ook de betrokken mensen van de beveiligingsrisico's bewustmaakt.
Attack Lifecycle
Of het nu gaat om een ‘hacktivist’, een cybercrimineel of een ethische hacker, de ‘attack lifecycle – de levenscyclus van cyberaanvallen – is in essentie hetzelfde: • Onderzoek Eerst doet de hacker onderzoek naar de organisatie, de systemen en de mensen binnen de organisatie; • Infiltratie Vervolgens infiltreren de criminelen het netwerk door de zwaktes te benutten. In 80 procent van de gevallen gebeurt dit met behulp van ‘spear phishing’-mails. Door een menselijke klik op een verkeerde link krijgen aanvallers een malafide code. Met deze code komen ze binnen via de achteringang van het netwerk; • Uitbreiden van privileges Criminelen veranderen hun systeemrechten en zorgen dat ze bredere toegang tot systemen en data hebben. Dit wordt vaak gedaan door aanmeldgegevens te stelen, wachtwoorden te kraken of kwetsbare software bloot te leggen; • Verkennen en inventariseren Als de aanvallers de juiste rechten bezitten, verkennen ze de omgeving door langs de computersystemen te gaan. Hierbij inventariseren ze wat ze zien, bekijken ze de rollen en verantwoordelijkheden van belangrijke personen en de locaties van de informatie die zij willen ontvreemden. Meestal worden meerdere achteringangen gebouwd in de omgeving om zeker te zijn dat ze langdurig binnen kunnen blijven; • Oogsten Tot slot proberen ze te krijgen waarvoor ze gekomen zijn: het stelen van gevoelige informatie, intellectuele eigendommen, financiële gegevens, kritische bedrijfsgegevens of persoonlijke informatie.
BoardroomIT
SECURITY & CONNECTIVITY
11
#mobility
CIP helpt apps veiliger maken
Mobiele apparaten zijn inherent onveilig Nu de overheid steeds meer gebruikmaakt van mobiele platformen in de communicatie met de burgers, neemt ook de behoefte toe aan meer grip op de beveiliging van mobiele apps. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) heeft de eerder ontwikkelde methode voor secure software development (SSD) uitgebreid met de module SSDm. Deze focust volledig op het ontwikkelen van veilige applicaties voor smartphones en tablets en doet dat vanuit het perspectief van een opdrachtgever.
ling van gebruikersvriendelijke en veilige applicaties, zonder in te willen breken in het ontwikkelproces van interne/externe softwareleveranciers”, aldus het CIP. In de tweede versie zijn de ervaringen van het werken met de eerste versie verwerkt. “De oorspronkelijke essentie van SSD was om opdrachtgever en opdrachtnemer met elkaar in gesprek te brengen over de veiligheidsaspecten van te ontwikkelen software”, zegt Ad Kint, werkzaam bij UWV en Projectmanager CIP-SSD. “Het is niet alleen een IT-aangelegenheid maar een gezamenlijke verantwoordelijkheid. Zoek de verbinding. Dat doel wordt met SSD bereikt, dat zie je bij verschillende organisaties. Klant en ontwikkelaar praten met elkaar over de risico’s en wij proberen opdrachtgevers te helpen bij het stellen van de goede vragen.” Grip op het proces
AMSTERDAM – Het bouwen van veilige software wordt door opdrachtgevers vaak nog beschouwd als een verantwoordelijkheid van de ontwikkelaar. Dat moet in het digitale tijdperk met steeds scherpere wet- en regelgeving toch echt anders: opdrachtgevers moeten meer grip krijgen op de veiligheid van hun applicaties. Daartoe formuleerde CIP een methodiek voor het veilig ontwikkelen van software onder de naam ‘Grip op SSD’. De ‘handreiking’ bevat vele best practices vanuit het werken met de eerste versie en belicht een scala aan securityaspecten; de beveiligingseisen beperken zich tot de applicatielaag van een systeem. Als aanvulling op de methode SSD heeft het CIP, een samenwerkingsverband van de Belastingdienst, DUO, SVB, UWV en een aantal kennispartners, recent een module geheel gewijd aan de ontwikkeling van SSD voor mobiele apps, SSDm. Daarvoor zijn samen met een aantal kennispartners 19 beveiligingseisen gedefinieerd, die leiden tot veilige applicaties voor mobiele devices.
Grip op het proces is de kern van de secure software development-methodiek. De methode beschrijft normen die gebruikt kunnen worden om de verwachtingen tussen de betrokken partijen te sturen; ook als er sprake is van uitbesteding van ontwikkeling, onderhoud en beheer aan meerdere externe leveranciers. De normen houden rekening met de wederzijdse verwachtingen en benoemen daartoe de onderlinge verantwoordelijkheden om te kunnen voldoen aan de normen. Bij de toepassing van de beveiligingseisen geldt het principe ‘pas toe of leg uit’. Belangrijk is steeds dat de genomen maatregelen en de geaccepteerde risico’s aldoor inzichtelijk zijn en aansluiten op de ‘risk appetite’ van de opdrachtgever – en dus bewaakt worden in een governance-proces. De beschreven beveiligingseisen zijn een handreiking (best practice) en geven aan hoe de maatregel ingevuld zou kunnen worden. Afhankelijk van de situatie kunnen mogelijk alternatieve maatregelen beter op hun plaats zijn; wel moeten steeds de bij de eisen genoemde risico’s zijn afgedekt. De SSD-methodiek is succesvol: zij wordt binnen een vijftal overheidsorganisaties actief gebruikt; daarnaast wordt het binnen de grote softwareleveranciers gepromoot en waar mogelijk toegepast. De methodiek is dan ook niet alleen toepasbaar binnen overheden. Waar is dat succes aan te danken? Kint: “SSD beperkt zich tot de software, het is in het Nederlands, en de normen zijn volgens de algemeen erkende, neutrale SIVA-methode beschreven. Daardoor kunnen de normen hergebruikt worden en ze kunnen aan de businesskant als requirements gebruikt worden als een eerste opzet van de maatregelen die je kunt nemen. En je kunt het gebruiken als toetsingskader achteraf. Dat is een enorm sterk element van de normen in de SIVA-stijl.”
SSD in het kort
Specifieke eisen voor mobiel
Door onze redactie
De methode ‘Grip op SSD’ is opgezet “vanuit het perspectief van een opdrachtgever die regisseert en stuurt op de ontwikke-
Securitybeleid en -maatregelen hebben zich de afgelopen jaren vooral gefocust op onpremise IT-omgevingen, terwijl de inzet van
mobility een grote vlucht heeft genomen. Mobiele apps worden ook voor zakelijke toepassingen steeds meer gebruikt. Deze apps verwerken vaak vertrouwelijke informatie, maar de risico’s kunnen vele malen groter zijn dan die met applicaties op een server. Reden waarom CIP de methode voor SSDm ontwikkelde, die geheel focust op de ontwikkeling van veilige mobiele apps. “Mobiele apps stellen echt andere eisen dan serverapplicaties. De 31 beveiligingseisen uit SSD richten zich echt op serverapplicaties, SSDm beperkt zich tot de veiligheid van mobiele applicaties in de brede zin”, aldus Kint. “Bij mobiele apps is identitymanagement van cruciaal belang. En omdat er bedrijfsinformatie wordt gebruikt moeten specifieke zaken worden afgeschermd, bijvoorbeeld door het gebruik van een pincode.” De algemene scope en approach van de SSD-methode gelden ook voor de nieuwe mobiele module. De specifieke SSDmbeveiligingseisen zijn een aanvulling op de bestaande eisen voor applicaties op servers en zijn dus ook gericht op het kunnen sturen van de verwachtingen tussen de betrokken partijen.
interne of externe partij is, is primair verantwoordelijk voor het implementeren van de beschreven eisen. Bedenk daarbij dat iedere appstore en platform zijn eigen acceptatiecriteria kan hanteren. De gebruiker is verantwoordelijk voor het beheer van het apparaat. Omdat de kennis over het veilig houden van het apparaat bij de gebruiker in de praktijk veelal beperkt is, wordt het apparaat als inherent onveilig gezien. De app zelf of een extra voorziening zal hier voor veiligheid moeten zorgen. De geformuleerde 19 beveiligingseisen worden per aspect diepgaand beschreven en toegelicht. Toekomst van SSD
De uitbreiding met SSDm is in de markt met open armen ontvangen. Daarmee lijkt SSD compleet en af. “Zeker niet”, weerspreekt Kint die constatering. “Security is een dynamisch fenomeen en criminelen slapen niet. Het up-to-date houden van SSD is dus een belangrijke taak. Daartoe zijn we actief in de practitioners community en er is een klankbordgroep ingericht die tweemaal per jaar bij elkaar komt om de nieuwste ontwikkelingen en praktijkerva-
De scope van SSDm
SSDm focust op applicaties die ontworpen worden of zijn om te draaien op mobiele apparaten, zoals smartphones en tablets. De scope beperkt zich tot apps die gebruikmaken van webstandaarden, zoals http. Legacy-applicaties, die gebaseerd zijn op de klassieke client-serverprotocollen vallen daarbuiten. In de beveiligingseisen wordt onderscheid gemaakt tussen apps die alleen in een webbrowser draaien, native apps die draaien op het OS van het mobiele apparaat, en hybride apps. Van de laatste valt alleen het native deel binnen de scope. Het Internet of Things is geheel buiten beschouwing gelaten, maar wordt een logisch vervolg van SSDm. Maatgevend voor mobiele apparaten is dat ze in iedere omgeving gebruikt kunnen worden, of dit nu een veilige werkplek via een beveiligd netwerk is, of een onveilige omgeving via een onbeveiligd netwerk. Voor de bepaling van de beveiligingsmaatregelen is uitgegaan van de meest risicovolle situaties. Door uit te gaan van een worstcasescenario is het gebruik van de software niet beperkt tot alleen de veilige omgevingen en wordt de gebruiker zodoende niet beperkt in zijn mobiliteit. 19 beveiligingseisen
Bij de beveiligingseisen zijn de rollen voor de betrokken partijen beschreven: de opdrachtgever specificeert initieel de app en definieert de securityeisen. De softwarebouwer zorgt voor het ontwerp, de ontwikkeling, het testen en waarborgt dat de applicatie kan functioneren op het beoogde apparaat. De ontwikkelaar, of dat nu een
“Het Internet of Things is geheel buiten beschouwing gelaten, maar wordt een logisch vervolg van SSDm” ringen te bespreken. Bovendien werken we aan een nieuwe aanvulling: een testkader, dat op basis van SSD helpt bij hoe er getest wordt, in welke fase en met welke tools. Medio mei 2016 ziet het eerste concept daarvan het daglicht.” En, zo geeft Kint aan, SSD gaat maar over één object in de keten van informatievoorziening. CIP werkt nu aan het beschrijven van alle objecten volgens de eenduidige, uniforme SIVA-methode. Zo zijn er conceptreferentiekaders voor hosting, logische toegangsbeveiliging, autorisatiebeheer en wordt er gestart met de ontwikkeling van normen voor IaaS, PaaS en hosting. “De stip aan de horizon is dat alle overheidsinstanties op dezelfde manier de ‘wat-vraag’ gaan formuleren, of het nu gaat om aanbesteden of inkopen. Dat is onze grote droom.” Meer informatie en de volledige lijst van beveiligingseisen is te vinden op http://www. cip-overheid.nl/downloads/grip-op-ssd/.
BoardroomIT
SECURITY & CONNECTIVITY
13
#security
De ernst van cyberdreigingen neemt snel toe
Bestuurders moeten cybersecurity-kloof dichten De kloof tussen de bescherming van een traditionele cybersecurity-benadering en de cyberdreiging uit de praktijk wordt steeds groter, ook in Nederland. Dat vraagt om een andere en intensievere benadering van cybersecurity – vooral op boardroom-niveau.
Door Eelco Stofbergen, Thoughtleader Cybersecurity bij CGI Nederland.
ROTTERDAM – Digitale inbraken, DDoS-aanvallen, datalekken, phishing; er zullen weinig bedrijven meer zijn die niet bekend zijn met digitale dreigingen en geen maatregelen hebben genomen. De bescherming van informatiesystemen is onmisbaar en onontkoombaar in een zich sterk digitaliserende wereld. Cybersecurity is inmiddels een ‘license to do business’. Een bedrijf beschikt immers over gegevens van klanten en partners, maar heeft ook steeds meer verantwoordelijkheden in een keten of netwerk. Andere organisaties en klanten rekenen erop dat uw bedrijf zijn verantwoordelijkheid neemt voor digitale veiligheid. Standaardmaatregelen als een firewall, virus- en malwarebescherming, een goed wachtwoordenbeleid en versleutelde verbindingen – als ze al correct worden ingezet – zijn niet genoeg. Maar dat besef is nog lang niet overal doorgedrongen, blijkt uit recent internationaal onderzoek van CGI onder meer dan duizend beslissers. Die zien cybersecurity wel als een belangrijke trend – zowel vanuit IT- als vanuit zakelijk oogpunt. Nederlandse beslissers noemen cybersecurity zelfs de op één na belangrijkste trend (na de kostendruk), terwijl het wereldwijd de op vier na belangrijkste trend is. Maar diezelfde beslissers geven te weinig handen en voeten aan dat inzicht.
Ernst bedreigingen neemt toe
Waarom wordt het uitblijven van passende cybersecurity-maatregelen nu een steeds nijpender probleem? Het belang van een goede beveiliging neemt om een drietal redenen snel toe. Ten eerste is er een aantal innovaties gaande die een behoorlijke impact hebben op de digitale kwetsbaarheid. Met cloud computing komen veel gegevens buiten de bedrijfsmuren terecht. In het Internet of Things krijgt een snel groeiend aantal apparaten een verbinding met het internet. En voor big data worden nog meer verbindingen tussen gegevens aangelegd. Zo groeit het aantal nieuwe risico’s exponentieel. Daarnaast is er de reactie van overheden en toezichthouders op de groeiende cyberdreiging. De regelgeving rond de omgang met gegevens groeit, zowel op nationaal als op Europees niveau. Zo is sinds begin 2016 de meldplicht datalekken van kracht. Organisaties die te maken hebben met een ernstig datalek – het verlies van een USB-stick met klantengegevens is een voorbeeld – moeten dat melden aan de Autoriteit Persoonsgegevens, op straffe van een forse boete. Ook toezichthouders als De Nederlandse Bank en de Autoriteit Financiële Markten leggen een breed scala aan eisen op. Maar de belangrijkste reden om cyberdreigingen meer aandacht te geven is het feit dat de ernst van die dreigingen zélf zo toeneemt. Het recente jaarverslag van de AIVD illustreert dat; de dreigingen komen overal vandaan en daarbij zijn zowel overheden als bedrijven doelwit. Volgens de AIVD was er in 2015 een recordaantal cyberspionage-aanvallen op Nederlandse overheidsinstellingen, maar hadden ook technologie- en nutsbedrijven en andere delen van de kenniseconomie daaronder te lijden. Aanvallers werken meer samen en worden helaas steeds vaker aangestuurd door de georganiseerde misdaad of door minder rechtschapen naties. Ongefundeerd vertrouwen
Terug naar de resultaten van het onderzoek. Zeven op de tien Nederlandse beslissers blijken vertrouwen te hebben in de eigen mate van bescherming tegen cybercriminaliteit. Maar na enig doorvragen blijkt dat vertrouwen vaak niet terecht, als je uitgaat van het inzicht dat alleen een verdedigingslijn niet voldoende is. Welke bedrijfsmiddelen zijn er eigenlijk aantrekkelijk voor cybercriminelen? 43 procent van de Nederlandse organisaties en bedrijven heeft daar geen volledig overzicht van. En 45
procent beschikt niet over een goed responsplan om adequaat te reageren op een daadwerkelijk geslaagde inbraak of aanval. Er is dus kortom veel vertrouwen in de eigen cybersecurity-programma's, maar de benodigde maatregelen om echt beschermd te zijn tegen cybercriminaliteit ontbreken. Het is tijd dat organisaties op een aantal kritieke punten stappen gaan zetten. Communicatieprobleem
Een fundamentele belemmering voor verbetering is het verschil van perceptie rond cybersecurity tussen de bestuurders en de lijnmanagers. De boardroom schat de cyberrisico's doorgaans lager in dan de lijnmanagers en heeft meer vertrouwen in de gebruikte bescherming tegen cyberaanvallen. Bestuurders hebben ook vaker privacy en gegevensbescherming als hun belangrijkste focus. In de praktijk is er bij cyberdreigingen vaak sprake van een technisch vraagstuk waar een strategisch geïnitieerde oplossing voor moet komen. Maar er is geen excuus voor het laten ontstaan van een communicatieprobleem hierover tussen bestuurders en werkvloer. In een wat grotere organisatie kan een Chief Information Security Officer (CISO) zorgen voor de juiste beveiligingsaanpak. Maar die mag nooit de eigenaar van het probleem worden; het bestuur moet zich bewust zijn van het probleem, de verantwoordelijkheid nemen, de lijnen uitzetten en budget vrijmaken. En vooral het probleem goed snappen. Anderzijds moeten mensen aan de operationele kant van de organisatie begrijpen hoe ze moeten rapporteren richting bestuur, zodat men daar voldoende informatie heeft om die verantwoordelijkheid te kunnen nemen. Plan van aanpak
Wat is nu in de praktijk de juiste aanpak? In ieder geval moet er een basisniveau aan beveiliging zijn ingericht, zowel aan de verdedigingskant – dus in de preventie – als aan de kant van monitoring en (insluip-) detectie. Dat moet 'business as usual' zijn, waarbij aanvallen gewoon worden gedetecteerd en afgehandeld. Daarnaast moet een organisatie afspraken maken over wat dan de situaties zijn die níet 'business as usual' zijn en hoe daarover moet worden gerapporteerd aan het management. Een ander aandachtspunt is het daadwerkelijk kijken naar wat nu eigenlijk de kritieke assets zijn. Bedrijven hebben maar al te vaak niet goed geïnventariseerd wat ze aan waardevols te verliezen hebben. Dat
kunnen recepturen van productieprocessen zijn, maar dat kunnen ook 'gewoon' klantgegevens zijn. Soms weten bestuurders wel hoe belangrijk die klantgegevens zijn, maar niet op welke plekken in hun systemen die zich allemaal bevinden. Ook moeten organisaties die dat nog niet hebben gedaan een goed plan opstellen 'voor het geval dat'. Bijna de helft van de Nederlandse organisaties ontbeert een goed responsplan. Wat doe je bijvoorbeeld met je informatiesystemen als er meer aan de hand is dan een simpel af te weren aanval? Hoe hou je het in de gaten? Daar komen soms ook vaardigheden bij kijken die wellicht beter uitbesteed kunnen worden. Ten slotte is het voor bestuurders een goede zaak om de financiële risico's van een (deels) geslaagde cyberaanval in kaart te brengen. Wat zijn de financiële gevolgen – direct en indirect – als bedrijfsactiviteiten in gevaar komen, intellectueel eigendom verloren gaat of de reputatie van het bedrijf een flinke knauw krijgt? Het is tegenwoordig goed mogelijk het bedrijf te wapenen tegen dergelijke risico's met een steeds populairder wordende verzekering tegen cybercriminaliteit. Maar dan moeten wel de juiste inventarisaties en responsplannen zijn opgesteld.
“Cybersecurity is een randvoorwaarde om succesvol zaken te doen” Verantwoordelijkheid nemen
De toenemende innovatie, regulering en cyberdreiging vereisen dat organisaties hun digitale veiligheid versterken. Want cybersecurity is een randvoorwaarde om succesvol zaken te doen. Klanten en partners verwachten dat uw bedrijf opereert als een digitaal verantwoorde partij. Dat betekent voor bestuurders dat ze inzicht krijgen in wat hun organisatie te verliezen en dus te beschermen heeft, bewust hun cyberrisico’s managen en de beveiligingsstrategie daarop afstemmen. Zodat de organisatie is staat is te groeien van een reactieve naar een proactieve cybersecurity-aanpak, die het verschil kan maken voor de business. En dat zal bestuurders als muziek in de oren klinken.
14 BoardroomIT
SECURITY & CONNECTIVITY
#transformatie
Agile transformatie herstelt balans en maakt organisaties wendbaar
Digitale disruptie vraagt om wendbare organisatie HILVERSUM – De eerste agile stappen werden vooral gedaan op teamniveau. De grootste kanteling is echter momenteel zichtbaar bij de organisatiebrede invoering van agile. Het eindresultaat van een dergelijke agile transformatie is het hebben van één gemeenschappelijk doel voor zowel Business als IT, het veranderen van topdown sturing en het optimaliseren van het eigenaarschap van de medewerkers. Hierbij worden nieuwe agile methodieken – zoals agile portfolio en investment management – ingevoerd om de traditionele interne focus te verleggen naar versnelling van klantgerichte innovatie. Time-to-market
De noodzaak om de ‘digitale disruptie’ te overleven en een wendbare organisatie te worden vergt een fundamentele verandering in de huidige cultuur en in de manier van werken binnen organisaties. Agile (flexibel, wendbaar) is hierbij het sleutelwoord. Agile werken geeft organisaties de juiste handvatten om de eerste stappen van het verandertraject te zetten. Je kunt immers snel gerichte innovaties in de markt brengen die aansluiten op de klantwens. Door Enrique Zschuschen (ezschuschen @xebia.com) en Marcel van Benthem (
[email protected]), beiden zijn Business Unit Manager Xebia Agile Consulting & Training. www.xebia.com
Onderzoek van Xebia toont aan dat zo’n agile transformatie veel oplevert. Specifiek ten aanzien van het ‘marktaandeel’ wordt er bij het uitvoeren van een agile transformatie een gemiddelde versnelling van de time-to-market van nieuwe producten en services verwacht van ruim 40 procent. Minder dan 10 procent verwacht dat een agile transformatie geen effect zal hebben op de time-to-market-snelheid. Daarentegen verwacht bijna 10 procent dat men twee keer zo snel de producten naar de markt kan brengen. Gevraagd naar de effecten van een time-to-market-versnelling van 10 procent, verwacht men een gemiddelde groei van 7 procent van het marktaandeel. Minder dan 20 procent verwacht dat een versnelling in time-to-market geen effect op het marktaandeel zal hebben. Wanneer een 10 procent time-to-marketversnelling leidt tot een gemiddelde groei van 7 procent marktaandeel, dan zal naar verwachting een versnelling met 40 procent leiden tot een toename in marktaandeel van 15 tot 25 procent. Nederlandse bedrijven laten dus aantoonbaar marktaandeel liggen, wanneer zij niet overgaan tot een agile transformatie van de organisatie. Digitalisering van diensten
Digitale retailorganisaties zoals Bol.com hebben traditionele retailorganisaties zoals Blokker, Hema en V&D ingehaald. De taxibranche in is rep en roer vanwege Uber. Airbnb verandert de traditionele vakantieverhuurmarkt. Klassieke bedrijven worden links en rechts door snel opkomende ‘disrupters’ ingehaald of zelfs overbodig gemaakt. Een versnelde vorm van digitalisering van diensten en producten is hiermee noodzakelijk geworden om te overleven. Uit diverse studies blijkt dat op dit moment praktisch alle organisaties met de opkomende digitalisering te maken hebben. Het tijdperk van klanttevredenheid en personalisatie lijkt definitief aangebroken te zijn. De meeste organisaties hebben echter nog geen of slechts beperkte actie ondernomen ten aanzien van de digitalisering of digitale transformatie. Aangezien dit nieuwe tijdperk van klantdenken impact heeft op alle organisaties, zullen zij op moeten letten dat ze niet het momentum laten passeren en structureel de boot gaan missen.
Klant
Gevraagd naar een rangorde van belangrijke criteria voor het starten met een agile transformatie dan komt kostenbeheersing op de eerste plaats; time-to-market en innovatie volgen. Een agile transformatie brengt de zogenoemde Agile Survival Driehoek in balans. Er ontstaat een gezonde focus op klantgerichte productinnovaties. Hierdoor kan men de concurrentiestrijd aangaan met – en winnen van – de snelle en wendbare nieuwkomers in de markt. Wanneer deze resultaten geboekt worden zonder een significante kostentoename, dan is de agile doelstelling en het belang van de Agile Survival Driehoek aangetoond.
Productinnovaties
Marktaandeel
Kostenbesparing
Agile Survival Driehoek Het principe Agile Done Right heeft aanzienlijk veel invloed op de tevredenheid op de invoering van agile. Tot Agile Done Right behoren de volgende elementen: • Volledige betrokkenheid van alle afdelingen; • Optimale openheid en transparantie; • Inrichting van professioneel product ownership; • Inzet van end-to-end verantwoordelijke teams.
“Agile zorgt voor balans tussen innovatie, marktaandeel en kosten” De invoering van Agile voor Business wordt in het onderzoek beoordeeld met een 6-. De invoering van Agile voor IT wordt met een 6+ niet veel hoger beoordeeld en laat duidelijk zien dan Agile Done Right nog niet wordt gevoeld door Business en IT.
Volledige betrokkenheid
De afgelopen jaren zijn er goede resultaten geboekt met de invoering van agile op teamniveau. De invoering van Agile binnen grote organisaties vraagt om een geschaalde aanpak van agile en hierbij wordt de lat telkens nadrukkelijk hoger gelegd. Men geeft aan dat de agile manier van werken – dus met flexibele en wendbare teams – binnen alle afdelingen van de gehele productwaardeketen dient te worden ingevoerd. Echter, circa 9 op de 10 organisaties wordt geheel of gedeeltelijk geremd door onvolledige of onduidelijke betrokkenheid van de afdelingen. Hieruit blijkt duidelijk dat afdelingen niet alleen licht geraakt kunnen worden, maar juist echt betrokken moeten worden binnen de integrale implementatie. Een succesvolle transformatie naar een wendbare organisatie geschiedt op diverse lagen van de organisatie. Hierbij worden meestal in meer of mindere mate de processen, procedures, het functiehuis, de organisatiecultuur en de marktinteractie veranderd. Uit het onderzoek blijkt dat een agile transformatie de meeste invloed heeft op de processen en gedragingen van medewerkers binnen de organisatie. Het gaat dus om de cultuur van een organisatie. Continue feedback is een belangrijk, zo niet cruciaal element van agile werken. Goede feedback is de basis voor een continu verbeterende organisatie. Gevraagde en ongevraagde feedback houden de organisatie en de medewerkers scherp. Optimale openheid en transparantie
Binnen agile organisaties is het nastreven van volledige transparantie en openheid een belangrijk aspect. Echter bij ruim 9 op de 10 organisaties is geen sprake van volledige openheid en transparantie. Onbegrijpelijk, maar ook de harde realiteit. Professioneel Product Ownership
Professioneel product ownership blijkt bij lange na nog niet geborgd. De rol van product owner is zeer complex. Het vinden van de meest geschikte interne product owner(s) blijkt in de praktijk een uitdaging. Het ontwikkelen van het juiste niveau Product Owner is een langdurig proces. Bij 83 procent van de organisaties blijkt dat de borging van interne professionele product owners momenteel niet op orde is. Deze organisaties geven aan het aanwezige kennisgat te willen dichten met externe hulp in de vorm van coaching, begeleiding en/of interim Product Owners. Inzet van end-to-end verantwoordelijke teams
Een indicatie van ondernemerschap dan wel gedeeld ondernemerschap binnen autonome teams is een van de cultuuraspecten binnen het agile gedachtegoed. Dit ondernemerschap komt pas volledig tot zijn recht als het team compleet end-to-end verantwoordelijk is voor de dienstverlening. Vooralsnog blijkt dat invoering van dergelijke end-to-end service gerichte teams veelal niet goed of zelfs slecht wordt ingevuld. Hierdoor ontstaat het ondernemerschap en eigenaarschap niet op een natuurlijke manier, waardoor de teams minder kunnen excelleren.
BoardroomIT
SECURITY & CONNECTIVITY
15
#organisatie
www.connectedenterprise.nl
JAARCONGRES CONNECTED ENTERPRISE
BUSINESS CONNECTIVITY IN SAFE MODE
24 MEI 2016
Programma
Tijdens het Jaarcongres Connected Enterprise staan dit jaar drie thema’s centraal: ‘smart everything’, ‘netwerk nieuwe stijl’ en ‘security & compliance’. Vanzelfsprekend is er tijdens het congres op dinsdag 24 mei volop aandacht voor architectuur, leiderschap. Smart everything & IoT – Slimme steden, slimme bedrijven, slimme medewerkers, gebouwen, auto’s noem maar op. Hoe meer er binnen het ecosysteem verbonden wordt, hoe krachtiger het wordt. Ontwerp- en bouwbedrijven anticiperen al volop op ‘smart’. Door een optimale gegevensstroom kunnen processen beter verlopen, mensen effectiever werken, wordt schaarse ruimte beter benut. Ook onderhoud aan gebouwen, gebieden en wegen kan op basis van key enablers als sensoren, Internet of Things (IoT), mobiele technologie en analytics vele malen beter en efficiënter. Netwerk nieuwe stijl – Het lijkt een beetje stil rond de trend van software defined netwerken (SDN) en dito datacenters, maar ondertussen gaat de klassieke wereld op de schop. Door het scheiden van de routeringsfunctie van de besturing ervan zijn nieuwe netwerk- en datacenteromgevingen flexibeler, veiliger, eenvoudiger in gebruik en gemakkelijker te beheren. Tijdens het congres worden de laatste en meest veelbelovende ontwikkelingen vanuit diverse hoeken belicht: klant, leverancier en specialisten op bijvoorbeeld het gebied van architectuur. Security & Compliance – De kansen liggen in de smart, virtual, en ‘alles op basis van services’ connected wereld voor het oprapen. Er is evenwel een voorwaarde: het moet allemaal wel veilig zijn en voldoen aan de geldende wetten en regels. Denk aan onduidelijkheid over de locatie en segregatie van de data, data recovery, data continuity, maar bijvoorbeeld ook op het risico van vendor lock-in. Het thema security & compliance krijgt op 24 mei in Maarssen de plek die het verdient. Op het Jaarcongres Connected Enterprise maken we stappen richting een slimmere, veiliger en beter te beheren wereld.
10.00-11.00
REGISTRATIE &WELKOM
11.00-12.45
PLENAIRE PROGRAMMA
•
Customer Engagement Will Accelerate To Speed of Digital Business
•
•
•
•
Keynote Don Scheibenreif, VP Distinguished Analyst, Gartner Smart & connected bouwen Keynote Hendrik Jan Smaal, CIO Heijmans Fundament voor slim watermanagement Keynote René Kint, CIO HH Delfland Gaming helpt bij security & compliance Keynote Foppe Vogd, Program Director CIO Platform Nederland Paneldiscussie Security Interactieve paneldiscussie rondom security n.a.v. het onlangs uitgebrachte Data Breach Report
12.45-14.00
LUNCHPAUZE
14.00-17.00
BREAK-OUTSESSIES met onder andere:
•
Cybercriminals “Exploiting Human Nature”, door Verizon
•
Anders kijken naar KPI’s: van Service Level Agreement (SLA) naar Experience Level
•
Digitalisering & het toenemend belang van Information security, door Brunel
•
Beren op de weg naar de cloud – voor of achter ons? door Dimension Data
•
Business Connectivity in safe mode, door Verizon
•
Connected enterprise vanuit CXO perspectief, door Appian
•
Standaarden in de connected wereld:
•
Internet of Things: nieuwe technologie, nieuw informatiemanagement?
•
Wat is de impact op uw organisatie?
•
Netwerk en datacenter nieuwe stijl, door Masergy
•
Hyperconnected World - #Tegenlicht 8 mei - Surveillance Capitalism
17.00-18.15
Agreement (XLA), door KPN
Omarming van internet of things, sensoring en gedeelde data
WALKING DINNER & NETWORKING
VOOR MEER INFORMATIE, NEEM CONTACT OP MET: JENNIFER ROOSE • PROJECTMANAGER •
[email protected]
Partners PLATINUM PARTNER
GOLD PARTNER
GOLD PARTNER
GOLD PARTNER
GOLD PARTNER
SILVER PARTNER
SILVER PARTNER
KNOWLEDGE KNOWLEDGE MEDIA PARTNER PARTNER PARTNER
MEDIA PARTNER
MEDIA PARTNER
MEDIA PARTNER
MEDIA PARTNER
MEDIA PARTNER
LIFESTYLE PARTNER
LIFESTYLE PARTNER
BoardroomIT
SECURITY & CONNECTIVITY
17 #cloud
Application Platform as a Service
Configureren en klaar? Steeds meer bedrijven zoeken een hybride oplossing tussen standaard goedkope en schaalbare SaaSdiensten en de vaak dure en complexe zelfbouw op maat. Application platform as a service wordt daarbij steeds vaker genoemd, maar wat is aPaaS precies?
Door Maarten Kleyn en Rudolf Liefers, Managing Partner en Associate bij Qhuba.
UTRECHT – Met name voor middelgrote bedrijven is het steeds lastiger topteams met applicatie-ontwikkelaars aan zich te binden die razendsnel kunnen ontwikkelen. Maar standaard software as a service (SaaS)-producten kopen is daarentegen ook niet voor alle gevallen de oplossing, gezien de precaire balans tussen de veelal inflexibele functionaliteit van SaaS-oplossingen en de specifieke functionaliteit die de business eist om zich te kunnen onderscheiden van de concurrent. Opkomst aPaaS
De bekende ‘as a service’-oplossingen hebben zo hun voor- en nadelen. Een publieke SaaS is tamelijk flexibel qua op- en afschalen van volumes, maar is dan weer tamelijk inflexibel qua functionaliteit. Met een platform as a service (PaaS), zoals Microsoft Azure, heb je een technologieplatform waarop je als klant nog altijd zelf de businessapplicatielaag moet plaatsen en onderhouden. De behoefte om, samen met de business, snel te kunnen ontwikkelen in een SaaS-achtige omgeving heeft geleid tot de opkomst van het application platform as a service (aPaaS). Volgens Forrester en Gartner is een aPaas een cloudgebaseerd platform, waarin de klant zelf applicaties kan bouwen, hosten, deployen én onderhouden. Het vormt een alomvattende omgeving, die de gehele application lifecycle ondersteunt. Een aPaaS moet dus worden beschouwd als een tussenlaag tussen een pure (publieke) SaaS-oplossing en een pure PaaS. Het verschil tussen PaaS en aPaaS wordt overigens steeds kleiner, omdat bekende PaaS-leveranciers application development services toevoegen (Google, Amazon, Microsoft). Model-driven design
Met de komst en steeds sneller verlopende adoptie van business apps, die in hoge mate zelfstandig configureerbaar zijn door de eindgebruiker binnen de business, is het niet meer dan logisch dat deze XaaS-
vorm zou ontstaan. Wat nu het verschil maakt is dat aPaaS sterk uitgaat van ‘model-driven design’, wat erop neerkomt dat de softwaredevelopers met behulp van logische ontwikkelmodellen de applicaties ontwikkelen, testen en deployable maken. Daarbij wordt al rekening gehouden met gevolgen voor op- en afschalen van aantal gebruikers, databases en dergelijke. Dat is een eigenschap waar de IT-servicemanagers en beheerders eisen aan stellen. Bovenaan in het lagenmodel kan de medewerker in de business de beschikbaar gestelde bouwstenen in zekere zin zelfstandig aan elkaar verbinden tot een app of ‘grotere’ applicatie, die op dat moment aan zijn behoefte voldoet. Ontwikkelaars en businessusers kunnen samen in een visuele weergave van hun proces of workflow bepalen hoe het proces moet lopen, waarna het systeem automatisch de code genereert of compileert voor de vereiste applicatie die direct te gebruiken is op alle devices. De code die wordt gegenereerd kan ‘as is’ in gebruik worden genomen of de code kan worden aangepast naar eigen wens. Dus: niet coderen maar configureren! Voordelen aPaaS
Een aPaaS maakt het bijvoorbeeld mogelijk om sneller te ontwikkelen: rapid application deployment as a service. Maar hoeveel sneller? Ton van Rhijn, CIO van CZ verwoordt het als volgt: “De beloftes van aPaaS zijn natuurlijk aantrekkelijk op papier, maar ik wilde eerst wel eens zien hoe het in de praktijk werkt. Als pilot heb ik
“Met aPaas kan de klant zelf applicaties bouwen, hosten, deployen én onderhouden” daarom twee dotnetters een testapplicatie laten ontwikkelen en twee andere dotnetters opdracht gegeven om dit op basis van een aPaaS-platform te doen. De traditionele aanpak kostte bijna twee weken, via het aPaaS-platform duurde het iets meer dan twee dagen.” Verder heeft aPaaS als voordeel dat door de visuele manier van configureren de business beter passende apps kan samenstellen, inzetten en ook weer aanpassen of uitzetten. Dit past goed in de sterke opkomst van agile development – feedback op een ‘nieuwe’ app kan nu veel sneller plaatsvinden en bijstellingen daarmee ook sneller worden opgepikt en doorgevoerd. Ten slotte vermelden we dat kopzorgen rond security en usability deels wegvallen, doordat aPaaS-platforms inherent zorgen voor consistentie tussen de OTAP-lagen. De aPaaS-platforms beloven allemaal werkende applicaties te leveren die op alle devices te gebruiken zijn.
Issues bij inzet aPaaS
aPaaS kent duidelijke voordelen, maar ook een aantal aandachtspunten: • Lock-in. Ondanks de mogelijkheden voor een soepele exit die sommigen bieden is een stevige lock-in met de leverancier onvermijdelijk. Als je immers veel businesslogica in het platform bouwt, zet je dat niet zomaar over naar een ander. Pijnlijk was bijvoorbeeld dat IBM besloot de SmartCloud Application Services (SCAS) te vervangen door Bluemix, waardoor de eerste klanten aanzienlijke continuïteitsvraagstukken te verwerken kregen. Je data kun je terugkrijgen uit Salesforce.com, maar de ingebouwde logica niet. Outsys-
Nieuwe vormen van outsourcing? Met de adoptie van aPaaS ontstaan er enkele scenario’s die met uitbesteding samenhangen. Delen ervan zullen op diverse manieren bij diverse soorten vendors kunnen worden afgenomen of in beheer gegeven. In het geval van bijvoorbeeld (Sales)Force. com kan veel standaardfunctionaliteit in de ‘marketplace’ worden aangeschaft en deels of geheel aangepast worden aan de specifieke wensen. De software draait in dit geval geheel in de cloud, op de servers van Salesforce. In het geval van Outsystems kun je besluiten om de applicatieserver op Amazon Web Services te draaien, maar het kan ook in je eigen datacentrum of in een hybride vorm (bijvoorbeeld alleen de productieserver in eigen beheer en de rest in de cloud). tems biedt als een van de weinige de mogelijkheid in geval van een exit de sourcecode (en de werkende applicatie) te behouden, zonder het onderliggende applicatieontwikkelplatform; • Continuïteit. Voor kleinere spelers als Mendix en Outsystems is het niet ondenkbaar dat ze bij voortdurend succes worden opgekocht door een van de grotere par-
tijen, die vervolgens hun oplossing zullen opdringen of integreren; • Licentiëring. Vaak zijn licenties complex en moeilijk te doorgronden, waardoor het financiële eindplaatje niet direct duidelijk kan zijn; • Regie. Adoptie van cloudservices zorgt vaak voor een versnippering van het vendorlandschap, met de zoveelste XaaS in huis, doordat clouddiensten vaak door aparte leveranciers worden geleverd. Immers, per functioneel domein (businessunits, finance, HRM, marketing, sales, et cetera) worden aparte oplossingen aangeboden, wat voor versnippering kan zorgen. Regie is daarmee het bovenliggende aandachtspunt. Een goed doordachte cloudsourcingsstrategie is een vereiste, waarbij ook is nagedacht over architectuurvisie en zaken als security en compliancy. Inzet van aPaaS kan daarentegen wel voor meer eenheid zorgen, mits breed ingezet door bijvoorbeeld alle businessapplicaties op een van de aPaaS-platforms te ontwikkelen of kopen. Dit kan wel gevolgen hebben voor de kosten (hoger?) en voor de relatie met de leverancier (potentiële lock-in?) en de technische mogelijkheden (minder?). Valt de keuze op best of breed, dan is het belangrijk te kijken hoe alles met elkaar gaat praten. Steeds meer partijen hebben zich daarom aangesloten bij de Cloud Foundry Foundation, die interoperabiliteit garandeert. Kenmerken van regie bij aPaaS
Demandmanagement zal bij aPaaS vooral moeten inzetten op het verkrijgen van een goed inzicht in het geheel, zodat de nieuwe risico’s goed kunnen worden gemanaged. De aandacht zal daarbij verschuiven van focus op harde techniek naar focus op data, informatiemanagement en businessarchitectuur. Mogelijk spelen processpecialisten, met een achtergrond in lean, hier een belangrijke rol bij het aanbrengen van de knip tussen ‘zelf doen’ en ‘uitbesteden’ vanuit een ketenperspectief. Daarnaast zal ook procurement beter moeten gaan leren begrijpen wat de financiële impact is van dergelijke platforms en zullen businesscases moeten gaan ontstaan waarbij meer wordt gekeken naar licentiekosten, aantallen gecreëerde objecten en verwachte users in plaats van naar ‘simpele’ investeringen in hard- en software. Ten slotte
Hoe je het ook inricht, aPaaS verbindt alles met alles en is daarmee vloek en zegen tegelijk. Via aPaaS wordt een meer eenduidige architectuur verkregen en kunnen DevOps-processen strak worden ingeregeld. Maar maakt een slecht opgeleide of geïnformeerde ontwikkelaar een fout in bijvoorbeeld het datamodel, dan wordt ook echt elke applicatie bij redeployment geraakt, met potentieel dramatische gevolgen. Interessant gegeven voor een penaltyclausule in een uitbestedingscontract. Last but not least, de business zal in staat moeten zijn de eigen processen en eisen helder te formuleren en de visuele weergave daarvan te doorgronden. What you see is what you get, so you better think twice...
18 BoardroomIT
SECURITY & CONNECTIVITY
#security
Security is een gezamenlijke verantwoordelijkheid
Security cruciaal voor vertrouwen in technologie
In steeds hoger tempo worden mensen, processen, dingen en data met elkaar verbonden. Met het Internet of Things (IoT) kan, volgens onderzoek van IT-bedrijf Cisco, de komende jaren wereldwijd biljoenen euro’s aan waarde gerealiseerd worden. Die enorme waarde is echter ook een magneet voor cybercriminelen. Om het vertrouwen bij bedrijven en de consument in de technologie – die een cruciale rol speelt bij het benutten van deze waarde – te waarborgen, is cybersecurity van groot belang. Dit maakt een fundamenteel andere aanpak van beveiliging noodzakelijk.
Door Fred Noordam, Cyber Security Lead Nederland bij Cisco.
AMSTERDAM – De huidige aanpak van informatiebeveiliging is niet effectief meer. Organisaties werken meestal met tientallen verschillende producten en diensten, afkomstig van een groot aantal leveranciers. Dit is uitgegroeid tot een onhoudbare situatie: er zijn voortdurend updates nodig en het gebrek aan integratie leidt tot beveiligingsgaten. Bovendien is de personele belasting te groot geworden. Zowel de benodigde mankracht als de benodigde kennis zijn niet meer toereikend. Cybercrime is vergaand geautomatiseerd en geïndustrialiseerd. Naast georganiseerde cybercriminaliteit zijn er nu ook staten die zich bezighouden met (bedrijfs)spionage en diefstal van intellectueel eigendom, zoals de AIVD onlangs in haar jaarrapport heeft
vastgesteld. Dit zijn tegenstanders van een heel ander kaliber dan de gemiddelde hacker. Tot slot worden de aanvallen steeds geavanceerder en gebruiken cybercriminelen allerlei technieken om ongemerkt door de beveiliging heen te dringen. Het is daarom zaak om niet alleen maar naar de buitenkant – het ‘hekwerk’ rond het bedrijfsnetwerk – te kijken, maar ook intern voortdurend te monitoren op mogelijke indringers. Security als bedrijfsproces
Deze andere aanpak gaat uit van een securityarchitectuur op basis waarvan de beveiliging kan worden ingericht als een bedrijfsproces. Binnen dit proces dienen de beveiligingscomponenten (producten, diensten) tezamen een platform te vormen, zodat zij naadloos informatie kunnen uitwisselen. Nieuwe beveiligingscomponenten moeten hier ook zonder problemen aan gekoppeld kunnen worden. Het beveiligingsbedrijfsproces en het platform dienen zo te worden ingericht dat het gehele aanvalscontinuüm ‒ vóór, tijdens en na een aanval ‒ wordt afgedekt. Van het tegenhouden en detecteren van aanvallen tot het afslaan ervan, plus de (forensische) analyse van wat er gebeurd is en het bepalen welke impact de aanval heeft gehad. Deze aanpak is nodig om de dreigingen van vandaag en morgen het hoofd te bieden. Voor, tijdens en na de aanval
De beveiligingsaanpak van Cisco biedt deze ‘voor, tijdens en na de aanval’-bescherming. ‘Voor’ gaat over alle defensieve beveiligingsmaatregelen. Een belangrijk aspect daarvan is het met zekerheid kunnen bepalen wie er toegang tot het netwerk krijgt en wie niet. Hiervoor zijn zogeheten identity services beschikbaar. Die gaan niet alleen na wat de identiteit is van degene die toegang wil en welke rechten daarbij horen, maar kunnen ook de context van een verzoek tot toegang bepalen. Denk hierbij aan aspecten zoals het tijdstip en vanaf welke locatie er om toegang wordt gevraagd. Op basis hiervan kunnen verdachte omstandigheden worden vastgesteld, zoals toegang uit een land of op een tijdstip dat voor de desbetreffende werknemer hoogst onwaarschijnlijk is. Alle maatregelen in deze ‘before’-fase zijn gericht op het bouwen van een solide beveiliging rondom het bedrijfsnetwerk. In de ‘tijdens’-fase gaat het om aanvallen die in uitvoering zijn, bijvoorbeeld na het klikken op een kwalijke link op een website of in een e-mail. Cisco biedt met onder andere websecurity en beveiliging van e-mail de middelen om in deze fase
maatregelen te nemen. Zeer belangrijk is ook om de connecties binnen het netwerk zelf in de gaten te houden. Het gaat dan om verbindingen tussen applicaties onderling en tussen de applicaties en gebruikers. Als het hekwerk faalt en een aanval in uitvoering niet in de kiem wordt gesmoord, dient er actie te worden ondernomen om een aanval alsnog aan te pakken en de gevolgen ervan te minimaliseren. In deze ‘na de aanval’-fase kunnen bedrijven bijvoorbeeld te maken krijgen met gebruikers die onbedoeld de connectie met een computer van cybercriminelen mogelijk maken. Dit zou kunnen gebeuren als gebruikers via het bedrijfsnetwerk bestanden downloaden die malware bevatten. Het zijn acties van legitieme gebruikers en worden in principe niet tegengehouden. Maar de gevolgen van deze acties, bijvoorbeeld in de vorm van onverwacht uitgaand netwerkverkeer, moeten in deze fase worden gedetecteerd. Achteruit kijken
Het gaat er steeds meer om real-time inzicht te krijgen in wat er precies op het bedrijfsnetwerk gebeurt: wat je niet ziet, kun je immers niet beveiligen. Door permanente monitoring en analyse is het mogelijk om afwijkende verkeerspatronen boven tafel te krijgen en te bepalen of er sprake is van ongewenst gedrag. Bijzonder is dat er ook kan worden ‘teruggekeken’. Dat wil zeggen dat als later blijkt dat onschuldige bestanden toch niet zo onschadelijk zijn, bijvoorbeeld doordat ze via allerlei methodes proberen om detectie te omzeilen, deze bestanden alsnog opgespoord worden. Bovendien kan deze oplossing achteraf nagaan waar de kwaadaardige bestanden het netwerk zijn binnengekomen en welke apparatuur daar vervolgens mee in aanraking is geweest. In feite wordt met alle middelen in de voor-, tijdens- en na-fasen getracht om aanvallen zo veel mogelijk tegen te houden en, als dat niet lukt, via forensisch onderzoek te bepalen wat er precies aan de hand is. Wat er dan precies moet gebeuren willen bedrijven meestal graag zelf bepalen. Het gaat immers vaak om gevoelige informatie. Samenwerking en integratie
Nu het steeds moeilijker wordt om aanvallen tegen te houden, wordt het essentieel voor bedrijven om voortdurend inzicht te hebben in wat er precies op hun netwerk gebeurt. Cisco werkt nauw samen met derde partijen om dit mogelijk te maken. Ook wordt samen met andere securityleveranciers informatie uitgewisseld en kijken we naar mogelijkheden om verschillende beveiligingsoplos-
singen beter op elkaar aan te laten sluiten. Die samenwerking is cruciaal om tot een optimale beveiliging te komen. Cybercrime is een internationaal verschijnsel en zal dus ook internationaal moeten worden aangepakt. Daarnaast kan de overheid, in samenwerking met het bedrijfsleven, tot een security-ecosysteem komen en nog meer stimuleren dat organisaties adequate beveiligingsmaatregelen nemen. De overheid stelt ook in toenemende mate eisen aan organisaties en hun beveiliging, in eerste instantie vanuit het besef dat cybercriminelen ook kritieke infrastructuren, zoals onze mainports, de energievoorziening en de financiële wereld kunnen aanvallen. Er geldt nu een meldplicht datalekken en er komen boetes als organisaties zich niet aan deze plicht houden. Andere organisaties zullen met specifieke regels voor informatiebeveiliging te maken krijgen, zoals ziekenhuizen die nu snel digitaliseren en daardoor doel-
“Wat je niet ziet, kun je niet beveiligen” wit worden voor het stelen en/of manipuleren van gevoelige data. Mede door deze regelgeving moet cybersecurity uit de hoek van het netwerk- en IT-beheer komen. Informatiebeveiliging is een zaak van het topmanagement, het komt daar immers ook terecht als het misgaat met de beveiliging. Gezamenlijke verantwoordelijkheid
Voor het verbinden van mensen, processen, data en ‘dingen’ (het Internet of Everything), is security cruciaal en die security is een gezamenlijke verantwoordelijkheid van overheid, bedrijven en consumenten. Ook leveranciers van securityoplossingen dragen een maatschappelijke verantwoordelijkheid. Samenwerking en bijdragen uit de securityindustrie zijn onmisbaar om tot een optimale bescherming tegen cybercrime te komen. Uiteindelijk zal technologie het verschil maken tussen falen en succes. Maar dan moet er vertrouwen zijn, vertrouwen dat komt en vooral ook blijft als de security op orde is en onlosmakelijk deel uitmaakt van de bedrijfsprocessen. Daarvoor is zichtbaarheid in het volledige digitale traject noodzakelijk. Want wie meer ziet kan zich beter beveiligen.
20 BoardroomIT
SECURITY & CONNECTIVITY
#management
IT-afdelingen worstelen met security
De vijf stappen van Wichard Hulsbergen
‘Maak risico’s expliciet en bespreekbaar’ Als een ict-project fout loopt, kan dat resulteren in niet-werkende systemen, mopperende klanten en verspilde budgetten. Maar als in de scheepvaart, luchtvaart of de bouw iets fout gaat, leidt dat sneller tot een échte ramp, mogelijk met dodelijke slachtoffers. In deze sectoren wordt daarom al veel langer en professioneler aandacht besteed aan het beheersen van de risico’s. Wat kan de ictsector hiervan leren?
Door Menzo de Muinck Keizer
VUGHT – Eind 2014 publiceerde de commissie-Elias haar rapport over de oorzaken van mislukkende ict-projecten bij de overheid. De conclusies waren weinig verrassend: de overheid stuurde de ictleveranciers niet goed aan; specificaties voor nieuwe systemen waren vaak slecht doordacht, onduidelijk, nutteloos of onuitvoerbaar. Daarnaast werd er te weinig naar deskundigen buiten de overheid geluisterd. Ook de aanbevelingen leverden geen nieuwe invalshoeken op. Dat is jammer, want er is meer kennis aanwezig. Elders beter?
Waar vinden we deze kennis? We spreken met Wichard Hulsbergen, senior adviseur risicomanagement bij Cratos Risk, een bedrijf dat organisaties helpt bij het beheersen van projectrisico’s, onder meer in de sectoren bouw en luchtvaart. Wat doen ict’ers verkeerd? “Ict’ers zijn heel goed in staat technisch geavanceerde systemen te bouwen, maar als een nieuw systeem in gebruik genomen wordt, doen zich vaak problemen voor die met techniek niet veel te maken hebben. Dat geldt ook bij de overheid, zoals blijkt uit de mislukte invoering van het systeem om persoonsgebonden budgetten uit te betalen. Toch spreekt men dan van een mislukt ict-project. Daarnaast wordt binnen de ictsector vaak verzuimd min of meer bekende risico’s serieus te bespreken en de benodigde beheeracties te ondernemen.” Waardoor wordt kritiek vaak niet gehoord? “De meeste projecten hebben vanaf het begin voorstanders, tegenstanders en critici. De voorstanders willen graag snel van start gaan en ervaren kritische kanttekeningen als hinderlijk. Daarnaast zijn zij soms bang dat het hele project ter discussie gesteld zal worden, wanneer zij te veel ruimte geven aan critici. Hierdoor kan waardevolle informatie over risico’s over het hoofd gezien worden.”
Wat doet men buiten de ict-sector beter? “Wanneer iets fout gaat, hoor je vaak: ‘Dat had ik je van tevoren kunnen vertellen’. Dat betekent dat veel kennis over mogelijke risico’s al in de omgeving aanwezig is. De kunst is om deze kennis van tevoren boven tafel te krijgen en serieus te nemen.” Hoe doe je dat? “Door het te vragen aan diverse mensen in de omgeving van het project, dus niet alleen aan de mensen die rechtstreeks bij het ontwerp en de realisatie zijn betrokken.” Vijfstappenplan
Hulsbergen heeft vijf stappen gedefinieerd om de kennis die achteraf aanwezig blijkt te zijn vooraf boven tafel te krijgen: • Stap 1: Luisteren naar de onderbuik. De onderbuik vertelt je soms dingen die rationeel weggedrukt worden. Het gaat erom dit gevoel niet te negeren, maar te proberen de knagende vragen scherp te krijgen. Vraag alle betrokkenen om voor zichzelf op te schrijven wat het belangrijkste projectdoel of ambitie is. Loop in gedachten het project af en bedenk je: waar kan het nou zo uit de bocht vliegen dat we onze doelstellingen niet halen? Wat zit nog niet lekker? Welke misverstanden zie je voor je? Waar loopt de communicatie uit de bocht? Vat dit samen in drie tot vijf ongewenste gebeurtenissen. Deze risico’s moeten voor iedereen zonder toelichting duidelijk zijn. Dus niet ‘vertraging’, maar ‘vertraging doordat de klantspecificaties niet op tijd helder zijn’. Probeer bij elk van deze drie à vijf risico’s de belangrijkste oorzaak te bedenken. Van bovengenoemd risico zou een oorzaak kunnen zijn: ‘De klant is onvoldoende doordrongen van zijn rol in de planning’; • Stap 2: Maak risico’s expliciet en bespreekbaar. Een essentieel en krachtig onderdeel van risicomanagement is het expliciet maken van risico’s. Door de zorgen vanuit meerdere disciplines over elkaar te leggen en bespreekbaar te maken, ontstaat een overzicht van welke risico’s veel raakvlakken hebben en welke specifiek voor één discipline gelden. Ook zorgt het belichten van een risicovol onderdeel vanuit verschillende hoeken ontstaan inzichten die voor sommige betrokkenen vanzelfsprekend zijn en voor anderen verrassend. Het kan helpen om de projectdoelstellingen als kapstok te gebruiken en de risico’s die een projectdoel bedreigen hier bij te plakken. Als er dan risico’s zijn die nergens bij horen, kun je je al direct afvragen of dit wel echte risico’s zijn; of wellicht zijn er meer projectdoelstellingen dan gedacht; • Stap 3: Bepaal vijf toprisico’s en maak afspraken. Het beheersen van risico’s begint bij focus. Door alleen over de top 5-risico’s expliciet afspraken te maken, is het haalbaar om deze lijst bij het hele team te laten doorleven zonder dat er een uitgebreide database nodig is. Bepaal met het team welke vijf risico’s de grootste zijn en vraag je af of het beheersen van deze risico’s het onderbuikgevoel uit stap 1 weg zou nemen. De meest efficiënte manier van risicobeheersing is het wegnemen van de oorzaken die kunnen leiden tot optreden van het risico. Per toprisico worden daarom de volgende drie vragen beantwoord. Wat zijn de belangrijkste oorzaken? Met welke maatregel kunnen wij de oorzaken voorkomen of beheersbaar maken? Wie is eigenaar van het risico? Dit is meestal degene die de meeste invloed heeft op de beheersing van het risico en kan maar één persoon zijn;
#organisatie
Door onze redactie
UTRECHT – Meer dan één op de drie IT’ers (36 procent) heeft moeite om zicht te krijgen op de effectiviteit van getroffen securitymaatregelen. Door het gebrek aan inzicht worstelen IT-afdelingen ook met de extra werkdruk die securitymaatregelen met zich meebrengen.
• Stap 4: Doen. De grootste toegevoegde waarde en tegelijkertijd de grootste valkuil ligt in deze stap. Want je kunt honderd risico’s bedenken, pas als de maatregelen daadwerkelijk worden doorgevoerd en risicogestuurd denken en handelen van hoog tot laag wordt doorleefd, is er sprake van beheersing. Enkele tips hierbij: maak het belangrijk bij alle teamleden! Veel risico’s treden op door onhandige communicatie of slecht gemaakte afspraken. Bewust zijn van de risico’s helpt om op de juiste momenten scherp te zijn. Koppel maatregelen zo mogelijk aan een document waarin de beheersing geborgd wordt. Veel risico’s zijn te beheersen door ‘zachte’ acties zoals betere communicatie over een bepaald onderwerp. Bedenk dan iets concreets en toets na een periode of het beoogde effect behaald is; • Stap 5: Maak de cirkel rond. Elke risicosessie is een momentopname en de beste plannen verwateren als er geen updates zijn. Regelmatige updates vinden plaats op diverse niveaus zoals de actualiteit van toprisico’s, de voortgang van de risicobeheersing en last but not least: Hoe staat het met betrokkenheid van het team? Zijn er gebeurtenissen de afgelopen tijd waaruit blijkt dat er risicogestuurd gewerkt wordt en dat het helpt? Of zijn er nog hobbels te nemen? Met bovenstaande stappen wordt een project niet risicovrij, maar worden risico’s wel beheersbaar en daarmee komen doelen, ambities en dromen binnen bereik. Dat klinkt mooi, maar is deze aanpak ook bruikbaar binnen de ict-sector? “Jazeker! Ict’ers lopen niet snel warm voor deze aanpak omdat het hun technische problemen niet beter oplost dan ze zelf al deden. Maar als je naar het hele plaatje kijkt en voor de gebruikers ligt dat anders. Zij krijgen een methode die beter bruikbaar en beter onderhoudbaar is, omdat eventuele knelpunten al in een eerder stadium zijn onderkend en opgelost en er veel meer aandacht is voor belangrijke zaken zoals communicatie, raakvlakken, houding en gedrag.” “Een bijkomend voordeel is dat de omgeving al eerder betrokken is en zich gehoord voelt, en ziet wat er met hun zorgen gebeurt. Daardoor staat men positiever tegenover het nieuwe systeem en mogelijke procesverandering. Ook dát maakt dat de invoering soepeler verloopt.”
“Een projectomgeving is voor één persoon erg moeilijk te overzien” Is er al ervaring opgedaan met deze aanpak binnen de ict-sector? “Jazeker. Zo hebben wij een opdrachtgevende partij mogen begeleiden bij een grootschalig ict-project aangaande invoering van IBAN. De risicoaanpak was nieuw voor ze, maar iedereen deed enthousiast mee. Tijdens de workshops kwam een aantal interessante zaken aan het licht. Zo bleek dat niet alle afdelingen al even ver waren in de scopevorming en ook de validatie bij de gebruiker bleek een onderwerp dat men onbewust wat vooruitgeschoven had, terwijl daar nog veel onzekerheden zaten. Door het op tafel te leggen werden de onderwerpen bespreekbaar en konden nog tijdens de dag goede afspraken worden gemaakt.”
Dit blijkt uit onderzoek van Telindus onder 402 IT-professionals. Het resultaat bevestigt dat security bij veel organisaties hoge prioriteit krijgt, maar het nog lastig is om dit effectief in te richten. 35 procent van de respondenten heeft dan ook behoefte aan hulpmiddelen om aan te tonen dat hun organisatie qua securitymaatregelen voldoet aan wet- en regelgeving. 31 procent van de IT-professionals is op zoek naar methoden om de operationele werkzaamheden rondom security te verminderen. Eenvoudiger extra capaciteit en kennis over IT-beveiliging bijschakelen (20 procent) en het minimaliseren van de diversiteit in beveiligingsproducten (18 procent) worden als een minder dringend probleem gezien. Integrale aanpak
“Security is in de afgelopen jaren compleet veranderd, onder invloed van mobility en de ontwikkeling van internet”, aldus Harm de Haan, Manager Consultancy & member Advisory Board bij Telindus. “Organisaties staan op meerdere zichtbare en onzichtbare manieren in contact met de buitenwereld, dus alleen een firewall werkt niet meer. Het valt op dat veel IT-afdelingen moeite hebben om een security-aanpak op de rails te krijgen die rekening houdt met de IT-omgeving van vandaag de dag. Niet alleen het voorkomen van een breach zou aandacht moeten krijgen, ook de processen die in gang worden gezet bij een digitale inbraak zijn ontzettend belangrijk. Hoe detecteer je een inbraak tijdig, hoe reageer je er vervolgens op en hoe monitor je dit proces? Security vraagt om een integrale aanpak, met aandacht voor prevent, detect en react in de volledige infrastructuur. Dit biedt de IT-afdeling veiligheid en inzicht in het effect van getroffen maatregelen.”
JUNI IS DUTCH SOURCING MAAND 1 JUNI SOURCING DISCUSSIETAFEL 13 JUNI BOARDROOMIT SOURCING 16 JUNI JAARCONGRES STRATEGIC SOURCING 30 JUNI OUTSOURCE MAGAZINE VOOR C ON TAC T J EF F REY PLOEG J EF F REY @IC T M ED IA.N L 06 317 448 58
BoardroomIT
SECURITY & CONNECTIVITY
23
#educatie
Sheraz Ali, European Cyber Resilience Research Network:
‘Bedrijven moeten meer investeren in phishing awareness’ Cybersecurityconsultant Sheraz Ali (35) ontwikkelde tijdens zijn Modular Executive MBA in Business & IT aan Nyenrode Business Universiteit een methodiek die organisaties helpt vaststellen welke medewerkers kwetsbaar zijn voor phishing. Het leverde de ondernemer de Best in Business Award op. Sheraz: “Gericht medewerkers trainen die ontvankelijk zijn voor phishing, bespaart tot 70 procent van het opleidingsbudget. En het is een stuk effectiever dan de huidige aanpak.”
Door Nynke Poortinga
BREUKELEN – Cybercriminaliteit is booming. Er gaat meer geld in om dan in de wereldwijde drugshandel. Sheraz Ali is Director General van European Cyber Resilience Research Network (ECRRN), een organisatie die overheden en bedrijven helpt hun digitale weerbaarheid te vergroten. In het laatste jaar van zijn MBA in Business & IT aan Nyenrode Business Universiteit onderzocht hij de trends in cybersecurity. Hij ontdekte dat organisaties zich nog steeds vooral proberen te beschermen tegen cybercriminaliteit door te investeren in harde technologie. Zachte factoren, zoals de psychologische verleidingstechnieken die hackers toepassen, krijgen nog onvoldoende aandacht. En dat terwijl de mens, consument en medewerker, de zwakste schakel is in de veiligheidsketen. Sheraz: “Ongeveer 95 procent van het beveiligingsbudget van bedrijven gaat naar hardware, zoals firewalls, routers en switches en overige vooral technische maatregelen. Slechts een fractie wordt gebruikt om medewerkers bewust te maken van de risico’s van phishing. Maar er hoeft maar één collega een phishing link aan te klikken en hackers zijn je bedrijf binnen.”
Phishing awareness
Dat bedrijven onvoldoende investeren in phishing awareness is begrijpelijk, zegt Sheraz. “Het is kostbaar om al je medewerkers te laten trainen. Niet alleen vanwege de opleidingskosten, maar ook omdat je mensen op dat moment niet aan het werk zijn voor je klanten. Bovendien is na een algemene securitytraining lastig te meten of medewerkers zich daadwerkelijk meer bewust zijn van de risico’s van phishing.” Op basis van de Big Five-theorie naar persoonlijkheidskenmerken, ontwikkelde Sheraz een methodiek waarmee organisaties op basis van persoonlijkheid en cognitieve kennis kunnen vaststellen wie van hun medewerkers kwetsbaar zijn voor cybercriminelen. “Vooral mensen die nieuwsgierig zijn, die graag kennis willen vergaren en die graag anderen een plezier doen, zijn ontvankelijk. Als zij bovendien weinig weten over phishing en de psychologische verleidingstechnieken die hackers toepassen, vormen zij een kwetsbaar doelwit.”
zijn onderzoek. De feedback is positief. “Ik wil graag bijdragen aan meer veiligheid in de wereld. De Best in Business Award is voor mij een bevestiging dat ik op de goede weg ben. Dat anderen mijn inspanningen waarderen en zinvol vinden, geeft mij de kracht om nog meer cybergerelateerde problemen aan te pakken. Het geeft me bovendien veel voldoening dat ik mijn MBA-traject heb afgesloten met een concreet product. Een methodiek die organisaties praktisch kunnen gebruiken om hun digitale veiligheid te versterken.”
“Slechts een fractie van het beveiligingsbudget wordt gebruikt om medewerkers bewust te maken van de risico’s van phishing”
Juryoordeel
Een mooi resultaat, vond de jury van de Best in Business Award van Nyenrode Business Universiteit. En daarom verkoos zij het onderzoek van Sheraz Ali boven drie andere genomineerde theses en beloonde deze met de Best in Business Award. De jury benadrukte dat Sheraz Ali een wereldwijd probleem had aangekaart, relevant voor zowel overheden, organisaties als particulieren. Ze noemde de ontwikkelde methodiek, die makkelijk toepasbaar is voor bedrijven, bewezen effectief én kostenbesparend doordat niet alle medewerkers een opleiding hoeven te volgen. Door gericht het bewustzijn te vergroten, voorkomt een organisatie bovendien (potentiële) schade door hackers. Meer veiligheid in de wereld
Sheraz Ali heeft inmiddels op conferenties in binnen- als buitenland gesproken over
Best in Business Award Nyenrode Business Universiteit reikt de Best in Business Award (BiBa) twee keer per jaar uit tijdens de diploma-uitreiking van deelnemers aan het Modulair Executive MBA programma, een Engelstalig flexibel opleidingstraject voor ervaren managers en executives. Deelnemers volgen een individuele leerroute van tien modules en ronden hun MBA in vier tot vijf jaar af. Het Executive MBA programma kent drie varianten: Food & Finance, Public & Private en Business & IT.
Training op maat
Medewerkers bij wie is vastgesteld dat zij voorlichting nodig hebben, krijgen een aangepaste training aangeboden, specifiek gericht op hun individuele informatiebehoefte. Sheraz: “Zijn zij onvoldoende bekend met de security policy van het bedrijf? Of is meer inzicht nodig in de schade die phishing veroorzaakt? Dan legt de training daar de nadruk op.” Uit een effectmeting blijkt dat medewerkers die zo’n training op maat volgen, zich beter bewust zijn van de risico’s op hacks en daardoor minder ontvankelijk zijn voor dubieuze e-mails. Sheraz: “Ik heb een kosten-batenanalyse opgesteld. Daaruit blijkt dat organisaties met deze methode tot 70 procent kunnen besparen, doordat ze alleen mensen trainen die dat nodig hebben.”
deelnemers ontmoet tijdens het traject. Een heel diverse populatie qua achtergrond, ervaring en leeftijd. Iedereen deelde zijn ideeën en was bereid om te reflecteren op de plannen van anderen, met als gemeenschappelijk belang: bijdragen aan groei en
Kennis delen
Sheraz biedt zijn phishing awareness-methodiek aan via European Cyber Resilience Research Network. De methodiek uitbouwen tot businessmodel wist de ondernemer te realiseren dankzij zijn MBA-opleiding. “Ik heb geleerd een idee vanuit verschillende perspectieven te bekijken, met oog voor marketingstrategie, risicobeheersing en change management. Daardoor sta je sterker als je het management van een bedrijf wilt overtuigen. Mooie bagage voor mij persoonlijk en voor mij als ondernemer.” Maar de meest waardevolle les die Ali opdeed bij Nyenrode, was het belang om kennis te delen. “Ik heb bijna tweehonderd
Hoogste relevantie De theses van afgestudeerden worden beoordeeld op relevantie voor organisaties en bedrijfsleven, actualiteit, originaliteit, directe toepasbaarheid en zakelijke uitwerking. De prijs voor beste afstudeerscriptie gaat naar de deelnemer die in zijn scriptie een hoogst relevant onderwerp behandelt en wel zo dat organisaties direct hun voordeel kunnen doen met de aanbevelingen, omdat ze praktisch zijn toe te passen. De jury die de Best in Business Award toekende aan Sheraz Ali, bestond uit Wim Assink (Managing Director Banking Review), Hans van Vliet (partner Deloitte Consulting BV), Karin van Willigen (Algemeen Directeur Oost NV), Gea Cramer (HR-manager Rabobank IT) en Loes BiewingaPennings (Research & Startup business support model).
een betere samenleving. Ik voel me sinds de opleiding ook meer verantwoordelijk en betrokken bij de maatschappij. En het mooie is: het contact met deelnemers en docenten blijft, ook na afronding van je MBA. Je blijft elkaar steunen bij het doel dat iemand wilt bereiken. In mijn geval: bijdragen aan een veiliger samenleving.”
24 BoardroomIT
SECURITY & CONNECTIVITY
#compliance
Jan Scholtes, ZyLAB:
‘Informatie verstoppen is een kat-en-muisspel’ Door Annelore van der Lint, Corporate Marketing Director bij ZyLAB.
AMSTERDAM – Grote data-onderzoeken, regulatory compliance, legal fact-finding, security en eDiscovery zijn onlosmakelijk met elkaar verbonden. Of u nu bij een toezichthouder moet aantonen dat uw bedrijf aan bepaalde eisen voldoet of dat u feiten boven water moet krijgen voor een juridisch of intern compliance-onderzoek; het is essentieel dat de juiste gegevens zo snel mogelijk boven water komen. Maar de eisen die aan een data-onderzoek worden gesteld, veranderen voortdurend en zo’n onderzoek is erg arbeidsintensief. “Effectief bijblijven met de technieken die worden gebruikt om relevante informatie te verstoppen, is een oneindig kat-en-muisspelletje”, betoogt Jan Scholtes, hoogleraar Text-Mining aan de Universiteit van Maastricht en verantwoordelijk voor de strategie van ZyLAB, leverancier van oplossingen voor eDiscovery. “En niet iedere onderneming is op dit spelletje ingesteld.” De uitdaging bij data-onderzoek is te
vergelijken met wat we zien bij cybersecurity. Iedere cyberaanval resulteert in een nieuw type beveiliging die al snel weer omzeild wordt door een nieuw type aanval. Beveiliging is een doorlopend proces van analyseren, implementeren, evalueren, verbeteren en weer opnieuw beginnen. Jan Scholtes: “De eisen aan en technologie die gebruikt wordt bij grote data-onderzoeken ontwikkelt zich via een vergelijkbaar katen-muisspel. Mensen die toezicht of compliance willen ontlopen, verzinnen regelmatig nieuwe trucs waar toezichthouders en onderzoekers dan weer nieuwe remedies voor moeten vinden.” Alles doorzoekbaar
Als een van de eerste leveranciers van eDiscovery-oplossingen in Nederland, is ZyLAB voortdurend bezig met het ontwikkelen van nieuwe technieken om zaken op te sporen in de enorme hoeveelheden data die we met z’n allen verzamelen. Scholtes: “Onze eDiscovery-technologie vindt zijn oorsprong in de opsporings- en inlichtingenhoek. Ons doel is technologie te ontwikkelen waarmee onze gebruikers met minder middelen, sneller, meer relevante informatie kunnen vinden.”
Voorbeelden van deze technologie zijn het kunnen omgaan met complexe en samengestelde dataformaten, het automatisch vertalen van gegevens, het doorzoeken van audio en visuele classificatie. Een ander voorbeeld is het herkennen en doorzoekbaar maken van plaatjes en images waardoor de inhoud van elektronische informatie die oorspronkelijk niet doorzoekbaar of leesbaar zijn voor de onderzoeker, toch toegankelijk wordt gemaakt. Bibliotheek van zoekpatronen
Naast dit technische kat-en-muisspel is er ook een wedloop die wordt veroorzaakt door continue veranderende regelgeving, eisen van toezichthouders en (internationale) jurisprudentie. Deze kennis wordt onder andere in bibliotheken van zoekpatronen en regels opgenomen en dient eveneens onderhouden te worden. Scholtes: “Omdat het niet voor iedere organisatie mogelijk of economisch zinvol is om alle technische en juridische ontwikkelingen bij te houden, is het verstandig de laatste techniek voor grote data onderzoeken niet te kopen, maar per zaak te huren via een SaaS-model. Zo beschikken zij altijd over de laatste technologie en over de
ADVERTENTIE
laatste bibliotheken van zoek-, complianceen jurisprudentiepatronen.” Diverse partijen die software ontwikkelen ter ondersteuning van grote dataonderzoeken, bieden om die reden hun technologie zowel als een on-site licentie als in een SaaS-model aan. Bij dat laatste
“Mensen die toezicht of compliance willen ontlopen, verzinnen regelmatig nieuwe trucs” beschik je dan altijd over de laatste technologie, de laatste aanpassingen en ondersteuning voor recente wetgeving en kun je direct aan de slag zonder dat je eerst een complex IT-traject hoeft af te leggen om te kunnen profiteren van de voordelen van dit soort technologie.
BoardroomIT
SECURITY & CONNECTIVITY
25
#onderzoek
‘Beveiligingsincidenten zijn meestal voorspelbaar’
Als het om informatiebeveiliging gaat, hebben bedrijven en organisaties grote moeite de ontwikkelingen en de regelgeving bij te benen. Het goede nieuws: we weten steeds beter waar we naar moeten zoeken en de reactie daarop kunnen we wellicht zelfs automatiseren.
Door Freek Blankena
Van het doornemen van het 2016 Data Breach Investigations Report (DBIR) van Verizon word je niet vrolijk. In het rapport is informatie over meer dan 100.000 beveiligingsincidenten en 2260 daadwerkelijke datalekken uit het afgelopen jaar verwerkt. De negen patronen die uit al die incidenten naar boven komen, doen vertrouwd aan. “De ‘bad guys’ gebruiken over het algemeen dezelfde oude aanvalswijzen met kleine aanpassingen steeds weer. Ze gebruiken wat er al is, want dat werkt gewoon”, zegt Jonathan Nguyen-Duy, hoofd strategie en onderzoek bij Verizon Global Security Solutions en mede verantwoordelijk voor de totstandkoming van het rapport. Twee dingen zijn Nguyen-Duy zelf opgevallen. Het eerste is dat er zoveel beveiligingsincidenten bij zijn die met eenvoudige maatregelen voorkomen hadden kunnen worden. “Veel van onze onderzoeksresultaten uit de elf jaar dat we dit rapport uitbrengen, zijn nog steeds relevant. Dat wijst erop dat wij er als beveiligingsindustrie nog steeds niet in slagen de fundamentele kanten van security onder de knie te krijgen.” In het rapport zijn voor elk van de dreigingspatronen enkele aanbevelingen opgenomen. In het geval van aanvallen op webapplicaties zijn dat onder andere de invoering van twee-factor- of multifactorauthenticatie (dus met bijvoorbeeld een extra SMS-code) en een rigoureuze bewaking van kwetsbaarheden in die webapplicaties (dus de onderliggende systemen zeer regelmatig van de nieuwste upgrades voorzien). “Die twee alleen zouden al de helft van de gegevenslekken het hoofd kunnen bieden. Maar ze worden vaak niet ingezet. We zien dus dat na al die tijd beveiligingsteams moeite hebben met het uitvoeren van zelfs de meest basale securitytaken. Ze houden geen gelijke tred met de groei van het IT-ecosysteem, met de regelgeving en de opkomst van nieuwe soorten aanvallen.” Een tweede cijfer dat hem opviel is dat
80 procent van de daadwerkelijke inbraken simpelweg financieel gemotiveerd is. “Er is een cybercrime-markt waar je alles kunt kopen van de toegang tot een fysiek netwerk tot speciaal aangepaste malware en allerlei inloggegevens. Het is een zeer efficiënte markt, uitermate toegankelijk, met een laag risico en hoge verdiensten voor de kwaadwillenden. Die dynamiek zullen we moeten doorbreken.” Simpele criminelen
Zijn bedrijven dan niet in staat zichzelf te beschermen met fundamentele beschermingsmaatregelen? Actuele firewalls en antivirustools, insluipdetectie, voortdurende monitoring, het regelmatig patchen van software en een goed wachtwoordenbeleid zijn voor de hand liggende maatregelen, maar het aflopen van dat lijstje is simpelweg niet genoeg, want die maatregelen hebben inmiddels bewezen nooit sluitend te zijn. Toch is Nguyen-Duy niet pessimistisch. “De meeste aanvallers zijn gewoon simpele criminelen en als je die begrijpt kun je je succesvol verdedigen, meestal met simpele maatregelen. Kijk gewoon naar die negen dreigingspatronen. Dan heb je al 90 procent van de aanvallen te pakken waar je mee te maken zult krijgen. En richt je resterende inspanningen op de bijzondere en afwijkende aanvalsvormen en de dreigingen van binnenuit.” Per bedrijfstak is zelfs steeds een drietal dreigingspatronen aan te wijzen waarop de securityspecialisten zich kunnen concentreren.
ze dat een idee van hoeveel geld ze moeten vrijmaken voor het afdekken van de verschillende risico’s.” Analyse
Zonder innovatie in security-technieken is het bijbenen van de cyberdreiging onmogelijk, denkt Nguyen-Duy. “Er zijn simpele oplossingen als het verwijderen van lokale beheerdersrechten zodat gebruikers niet zomaar ergens een USB-stick in kunnen stoppen of software kunnen downloaden. Er zijn ook nieuwe oplossingen waarmee je per sessie dynamische netwerken kunt opzetten die niet doordringbaar zijn. Er zijn ook al technieken als software defined perimeters die ervoor zorgen dat niet alleen de juiste persoon met de correcte inloggegevens zich kan authenticeren, maar dat het gebruikte apparaat eveneens goedgekeurd moet zijn voor toegang tot een applicatie. Een aanvaller zou dan ook over het apparaat moeten beschikken waarop een transactie uitgevoerd mag worden. Dat is vrijwel onmogelijk.” Maar de snelheid waarmee digitale inbraken zich toch kunnen voltrekken noopt ook tot een andere benadering – namelijk verdere automatisering op basis van analyses. “We zien een probleem dat geïnitieerd wordt door mensen, maar opereert op
Niet gepatcht
Een probleem waar bedrijven in hun beveiligingsinspanningen mee kampen is dat kwetsbaarheden in systemen blijven zitten en upgrades (‘patches’) vaak achterwege blijven. “De meest misbruikte zwakke plekken die we zien zijn soms al vijftien jaar oud. Het is niet omdat bedrijven die niet proberen te dichten en er niet genoeg geld aan uitgeven. Het is simpelweg omdat de complexiteit in het IT-landschap zo groot is geworden. Soms is het onmogelijk om kritieke systemen te patchen, omdat ze niet offline mogen. Er zijn ook maar weinig bedrijven die precies weten hoe hun netwerk eruitziet, welke systemen erop draaien en wat er allemaal mee verbonden is. En met mobiele devices en het Internet of Things komen daar iedere dag dingen bij.” Daarom kunnen bedrijven en organisaties die informatiebeveiliging serieus nemen zich niet beperken tot de genoemde fundamentele maatregelen. Nguyen-Duy: “Vandaag de dag gaat het veel meer over het managen van risico’s. Je moet begrijpen welk risico een bedrijf op elk moment loopt. Een deel van dat risico is te neutraliseren met de standaardverdediging, deels is het af te weren door bijvoorbeeld te werken met gesegmenteerde netwerken en andere manieren om potentiële schade te beperken. En een deel van de risico’s is af te kopen met een cyberverzekering. Als bestuurders weten dat het bedrijf X miljoen euro aan risico loopt door een enkele aanval, geeft
“Wie naar de negen dreigingspatronen kijkt, heeft 90 procent van de aanvallen te pakken” machinesnelheid. Je wint die race nooit. Tot dusver zien we de berg waarschuwingsberichten in het netwerk groeien totdat we het niet meer aankunnen. Je kunt dan wel meer mensen inhuren, maar het is in essentie een machineprobleem en met de komst van het Internet of Things, waarbij nog veel meer apparatuur op het bedrijfsnetwerk wordt aangesloten, geldt dat nog veel sterker.” In
het overgrote deel van de geslaagde inbraken die Verizon wereldwijd met forensisch experts heeft onderzocht blijkt het bewijs en het verloop van de inbraak terug te vinden in de logbestanden van applicatieservers en/of databases. “We weten dus al waarnaar we moeten zoeken en op welke plek.” Analyse van dat soort gegevens, in combinatie met de kennis uit bijvoorbeeld het DBIR-rapport, geeft inzicht in de te nemen maatregelen en vervolgens zou die reactie op een geautomatiseerde wijze moeten plaatsvinden, zoals bijvoorbeeld het automatisch afsluiten van een deel van het netwerk. “Eén van de dingen die ik hoor van Chief Information Security Officers is dat we het meer geautomatiseerd moeten maken en de menselijke aspecten er zoveel
Negen dreigingspatronen Van de ruim 100.000 beveiligingsincidenten die Verizon inventariseerde is 86 procent in negen patronen onder te brengen: • Uiteenlopende vergissingen - 17,7 procent • Misbruik van inloggegevens van binnenuit - 16,1 procent • Fysieke diefstal en verlies van laptops, USB-sticks etc. - 15,1 procent • Denial of service (DoS) (wat een organisatie onbereikbaar maakt) - 15,0 procent • Crimeware; allerlei kwaadaardige software, meestal consumentgericht - 12,4 procent • Aanvallen op webapplicaties (via CMS of e-commerce-platform) - 8,3 procent • Point-of-sale (POS)-aanvallen om betaalgegevens te achterhalen - 0,8 procent • Cyberspionage; vaak namens staten die op intellectueel eigendom uitzijn - 0,4 procent • Skimming; extra apparatuur die kaartgegevens kopieert - 0,2 procent
mogelijk tussenuit moeten halen. Dat móet gewoon, want de tijd tussen de detonatie van malware en het moment dat die echt schade aanricht is inmiddels minder dan een halfuur. Het is een race tegen de klok.” Het DBIR-rapport is te downloaden op www.verizonenterprise.com/verizoninsights-lab/dbir/2016/
BoardroomIT
SECURITY & CONNECTIVITY
27
#security
Sluit deze
alles-in 1-deal
en blijf up-to-date
CIO Magazine
Tijdschrift IT Management
Innovatie leidt onder kwetsbaarheden in versleuteld verkeer
CIO’s zien geld verdampen door ineffectieve cybersecurity Door Kevin Bocek, VP Security Strategy & Threat Intelligence bij Venafi.
SALT LAKE CITY – Een meerderheid van CIO’s bij bedrijven en organisaties in Europa geeft toe dat zij ineffectieve infrastructuur voor beveiliging inzet en daardoor veel geld verspilt, en dat de organisatie wordt blootgesteld aan nieuwe bedreigingen. Driekwart denkt dat hun innovatiestrategie kan worden ondermijnd door kwetsbaarheden in versleuteld verkeer. Daarop duidt onderzoek door beveiligingsspecialist Venafi onder 300 Europese CIO’s.
hun beveiliging minder effectief is omdat zij geen versleuteld netwerkverkeer kunnen inspecteren. Eenzelfde aantal denkt dat gestolen encryptiesleutels en digitale certificaten de volgende grote markt voor hackers wordt. Organisaties vertrouwen op tienduizenden sleutels en certificaten als basis voor het vertrouwen van hun websites, virtuele machines, mobiele apparatuur en cloud-servers. Deze technologie is geïmplementeerd met het oorspronkelijke security-probleem
“Bijna negen op de tien Europese CIO’s zijn slachtoffer geweest of verwachten dat te worden van een aanval verborgen in versleuteld verkeer”
Veel populaire beveiligingsapparatuur is onvoldoende toegerust om sleutels en certificaten adequaat te controleren. Oplossingen voor bescherming van end points en opsporing van advanced threats, de nieuwe generatie firewalls, analyses van netwerkverkeer, IDS (intrusion detection systems) en DLP (data loss prevention) bieden onvoldoende bescherming omdat ze niet kunnen onderscheiden welke sleutels en certificaten te vertrouwen zijn. Omdat de verwachting is dat pakweg de helft van alle infrastructuuraanvallen de komende jaren via SSL/TLS zal verlopen, is dit een fundamenteel probleem. De ondervraagde CIO’s beseffen dat dit strategische plannen in gevaar kan brengen. Bij Agile en DevOps wordt immers vaak met externe partijen gewerkt.
van internet in gedachten. Praktisch elk apparaat met een IP-adres gebruikt sleutels en certificaten voor een beveiligde en vertrouwde verbinding. Helaas worden onbeschermde sleutels en certificaten steeds vaker misbruikt door cybercriminelen.
Markt in malafide certificaten
Securityfundering
Bijna negen op de tien Europese CIO’s zijn al slachtoffer geweest of verwachten dat te worden van een aanval verborgen in versleuteld verkeer. Acht op de tien vinden dat
fundering instort, zijn de gevolgen groot. Met een nagemaakte of gestolen sleutel en certificaat kunnen aanvallers zich namelijk voordoen als een vertrouwde gebruiker, voor het observeren van target websites, infrastructuren, clouds en mobiele apparatuur. Maar ook communicatie afluisteren waarvan men denkt dat deze veilig is. Negen van de tien Europese CIO’s spraken zijn bezorgdheid uit over het kunnen beschermen van alle encryptiesleutels en certificaten. Als de snelheid van
Sleutels en certificaten vormen de fundering van cybersecurity en authenticatiesystemen, om te laten zien dat software en apparatuur werkt zoals het hoort. Als die
IT-veranderingen verder toeneemt door het creëren en beschikbaar stellen van flexibel schaalbare services, groeit het aantal sleutels en certificaten exponentieel. Gevraagd naar hun mening of de DevOps-trend het lastiger maakt om te onderscheiden wat te vertrouwen is, antwoordde 73 procent van de CIO’s bevestigend. Agile-methoden en DevOps kunnen tot risico’s leiden. In die omgevingen kan security in het gedrang komen en het moeilijk worden om bonafide en malafide verkeer te onderscheiden. #opleiding
War for Talent
Werkt wederzijds vertrouwen bij beveiliging? Door Guus de Mari, Education Manager en verbonden aan Anderson MacGyver en Antwerp Management School.
Outsource Magazine Vraaggestuurde IT-organisaties staan aan de vooravond van grote wijzigingen. Door digitalisering verandert de klantvraag ingrijpend en naast operationeel beheer vraagt ook innovatie meer aandacht. Om u en uw team te inspireren en van nieuwe ideeën te voorzien bieden we nu een corporate-abonnement aan op drie magazines van ICT Media. Neem nu een corporateabonnement en ontvang CIO Magazine (6x), Tijdschrift IT Management (6x) en Outsource Magazine (4x) voor maar € 249 excl. BTW per jaar (normaal € 325). Kijk voor aanmelding en actievoorwaarden op www.it-executive.nl/corporate
DEN HAAG – “Alles wat hier gezegd wordt, blijft binnenskamers”, een veel gebruikte uitspraak tijdens trainingen om vertrouwen te wekken. En we ervaren het als veilig. Hoe zou het klinken als de IT-directeur in de boardroom een soortgelijke uitspraak doet “Alle gegevens van dit bedrijf blijven binnen het bedrijf.” Vertrouwen we dat? Informatiebeveiliging is een vak apart, een serieus vak met terecht veel aandacht. Organisaties beschermen hun gegevens en worden desondanks aangevallen of er verdwijnen gegevens. Hoe goed we ook beveiligen, helemaal waterdicht krijgen we het nooit. Een zwakke schakel in beveiliging is de factor mens. Gegevens komen op straat te liggen door het onzorgvuldig handelen (bewust of onbewust) van medewerkers. De verhalen van usb-sticks die in de trein blijven liggen en websites die gegevens blootleggen, kennen we. Het zou mooi zijn als de IT-directeur uit de inleiding zijn stelling waar kon maken; de realiteit is weerbarstiger. Wenselijk voor iedereen
Zou het vertrouwen in een trainingssituatie te realiseren zijn bij informatiebeveiliging? Laten we de situatie uitrafelen en vergelijken. Een trainer stelt expliciet de vertrou-
wensvraag en hij/zij vraagt commitment. Door de vraag te stellen, wordt iedereen zich bewust van de wenselijkheid van veiligheid. In veel organisaties ondertekenen medewerkers een geheimhoudingsverklaring als ze in dienst gaan. Het commitment is gegeven, maar hoe expliciet wordt het gemaakt? Wordt het niet gezien als een van de bijlages van het arbeidscontract en verliest het daarmee geen waarde? Trainingsdeelnemers getuigen, verbaal of non-verbaal, in de groep dat ze het vertrouwen niet zullen schenden. Juridische waarde heeft dat niet, maar groepsdruk is bindend. De geheimhoudingsverklaring, getekend door nieuwe medewerkers, heeft juridische waarde, dat is een individueel commitment en voelt daardoor minder gecontroleerd. Net als bij te hard rijden, de pakkans is klein. Wederkerig
In een training is het belang wederzijds. Door zelf commitment uit te spreken en te vragen, ontstaat een wederkerig vertrouwen. Zoiets van: ‘als ik niet lek doet een ander het ook niet’. Bij organisaties is er van wederkerigheid nauwelijks sprake, het gaat immers om de bedrijfsinformatie. Bij openbare trainingen zien we dat het commitment kort houdbaar is, als de groep uiteen valt en mensen elkaar uit het oog verliezen, is ook het commitment kwijt. In zo’n groep laten mensen niet het achterste van de tong zien, zij weten dat informatie op straat kan komen te liggen. Hoe gaan bedrijven om met de bescherming van ge-
gevens voor tijdelijke medewerkers? Is niet iedere medewerker tijdelijk? Een apart fenomeen is het vertrouwen bij 1-op-1 coaching. Omdat de onderwerpen persoonlijker zijn, wordt er meer aandacht besteed aan het onderling vertrouwen. Het commitment is dan sterk. Coach en gecoachte hebben schade bij lekken. Zonder een vertrouwensbasis zal coaching niet werken. In de relatie werkgever-werknemer is die wederzijdse afhankelijkheid kleiner.
“Als de groep uiteen valt en mensen elkaar uit het oog verliezen, is ook het commitment weg”
Wederzijdse baten
Ik zie veel aandacht binnen bedrijven voor beveiligingsbewustwording bij medewerkers en het formaliseren van commitment. Er wordt dan gedacht in regelgeving en minder in wederzijdse afhankelijkheid. Wat zijn de baten van goede informatiebeveiliging voor een individuele medewerker? Gaat u het gesprek aan en vraagt u expliciet om vertrouwen? En dat met regelmaat? Kunt u de principes van een training toepassen op beveiliging?