DIT IS EEN UITGAVE VERSPREID MET HET FINANCIEELE DAGBLAD. DE REDACTIE VAN HET FINANCIEELE DAGBLAD HEEFT GEEN BETROKKENHEID BIJ DEZE PRODUCTIE.
BoardroomIT security & Datacenters
www.it-executive.nl – www.ictmedia.nl
Bescherming van de nieuwe olie
Dubbele editie!
Onderzoek: Trends in cybercrime
7
Bedrijven riskeren boetes tot 8 ton
11
Datacenterplanning baart IT-manager zorgen
15
Bouw datacenter: investeren in groei
22
Niet alleen bedrijven hebben de waarde van data ontdekt, ook de georganiseerde misdaad heeft het voorzien op de ‘nieuwe olie’ die de business draaiende houdt. Daarbij worden geld noch middelen gespaard. Onder andere de levendige marktplaatsen voor het verhandelen van kant-en-klare en geteste virussen zijn daar het levende bewijs voor. De bedrijven die actief zijn op het gebied van cybersecurity floreren bij de toenemende cyberdreigingen. Volgens sommige schattingen groeit de markt voor IT-beveiliging nog dit jaar naar een omvang van ongeveer 75 miljard wereldwijd. Voor een afdoende beveiliging is echter meer nodig dan techniek alleen. Lees verder op pagina 3
‘Nederlandse organisaties schuilen onder lappendeken’ VUGHT – Nederlandse organisaties hebben allerlei los van elkaar functionerende securitytools in gebruik. Hierdoor kan slechts een kwart alle relevante security-info op één centraal platform bij elkaar brengen. Dit betekent in de praktijk dat het erg lastig is om in realtime dreigingen te detecteren en af te slaan. Dit blijkt uit een onderzoek dat Pb7 Research heeft uitgevoerd in opdracht van Intel Security. Doordat de beveiligings-
software slecht op elkaar aansluit, ontstaan tal van problemen en uitdagingen. Zo stelt 44 procent van de respondenten dat dreigingen gemakkelijk over het hoofd worden gezien. Bijna eenzelfde percentage (43 procent) concludeert dat dreigingen onvoldoende of zelfs helemaal niet onschadelijk worden gemaakt. Een kleine minderheid (17 procent) is van mening dat de organisatie te veel securitytools gebruikt. Lees verder op pagina 3
Security
Datacenters
‘Naar data-centric security’ 4 ‘Security hoort thuis in de bestuurskamer’ 5 ICT-beveiliging blijft in gebreke 9 Organisaties niet voorbereid op geavanceerde aanval 12 Privacy in een hyperconnected wereld 14
Virtuele datacenters zijn onmisbaar 16 ‘Netwerk cruciaal voor succes cloud’ 19 Doe niet zo moeilijk met je ‘software defined’ 20 Nederland als datacentermagneet 24 De organisatorische structuur moet veranderen 27
Door onze redactie Fotografie Roelof Pot
Over deze uitgave
Redactioneel
Follow the money Door Rob Beijleveld “Nederlandse bedrijven geven meer geld uit aan de koffie-automaat dan aan het beveiligen van hun digitale infrastructuur”, zo claimde Rhett Oudkerk Pool, bestuurslid van brancheorganisatie Nederland ICT, in april van dit jaar. Aan humor geen gebrek bij Nederland ICT. Het bestuurslid wist zich in ieder geval verzekerd van de nodige aandacht, die hij gebruikte om bedrijven op te roepen om tien procent van hun ICT-budget te reserveren voor maatregelen om de cybersecurity te verbeteren.
Vervolg van pagina 1. ‘Nederlandse organisaties schuilen onder lappendeken’
Groot aantal organisaties getroffen Een derde van de ondervraagde organisaties geeft aan inmiddels met geavanceerde aanvallen te maken te hebben gehad. Waarschijnlijk is het werkelijke aantal organisaties dat hiermee is geconfronteerd veel hoger: nog eens een derde van de organisaties geeft namelijk aan niet te weten of men dergelijke aanvallen heeft ondergaan. De gevolgen van dit soort aanvallen zijn echter groot. Een op vijf organisaties geeft aan dat bij dit soort incidenten werkprocessen zijn verstoord. In een beperkt aantal gevallen (6 procent) is gevoelige bedrijfsinformatie gestolen.
Nooit genoeg Ik kan me heel goed voorstellen dat u moedeloos wordt van dergelijke oproepen. Na de aanschaf van state-of-the-art firewalls en inbraakdetectie- en -preventiesystemen, kreeg u doodleuk te horen dat de cybercrimineel toch wel binnenkomt en dat het verstandig is om ook nog even in de buidel te tasten voor post breach-maatregelen waarmee u criminele activiteiten op uw netwerk kunt detecteren en kunt voorkomen dat gevoelige informatie wordt weggesluisd. En dan is het volgens Nederland ICT nog steeds niet genoeg... Marktonderzoeker Gartner meldt dan ook al enkele jaren op rij dat de uitgaven aan IT-beveiliging met bijna tien procent toenemen. Gartner verwacht dat de wereldwijde securitymarkt dit jaar een omvang zal hebben van 76,9 miljard dollar. Alle maatregelen ten spijt is de dreiging er ook niet minder op geworden. In de Global Risk Management Survey van verzekeraar AON staan cyberrisico’s dit jaar voor het eerst ‘met stip’ genoteerd in de top 10. De totale schade van cybercrime worden door de verzekeraar wereldwijd geschat op bijna honderd miljard dollar per jaar. Nieuwe olie Is er dan helemaal geen hoop dat we het gevecht met de cybercriminelen gaan winnen? De bankovervaller is toch ook uitgestorven? In het recordjaar 1992 waren er in Nederland nog 570 bankovervallen, in 2014 waren dat er nul (0!). Nu is het echt niet zo dat bankovervallers thuis op de bank hangen, moedeloos geworden door de draconische beveiligingsmaatregelen die banken hebben getroffen om hun filialen te beschermen. Nee, ze zijn het geld gevolgd en maken miljarden buit door banken wereldwijd te hacken. Het geld ligt niet meer in de kluis van de bank, maar staat op de servers van de banken, net zoals uw waardevolle assets in de vorm van nullen en enen liggen opgeborgen in uw datacenter. Data wordt niet voor niets aangeduid als de ‘nieuwe olie’ die uw business draaiende houdt. Zolang die olie een waarde
3
Geen idee Maar ook hier geldt dat veel organisaties op dit soort vragen eigenlijk geen antwoord kunnen geven. Nog eens 22 procent stelt namelijk vast dat er eigenlijk geen idee is of er schade is geleden bij een geavanceerde aanval, en zo ja, hoe groot die schade dan was. Doordat er geen samenhangende security-architectuur in gebruik is, ontbreekt het ten eerste aan de mogelijkheden om aanvallen te ontdekken en ten tweede aan de tools om de schade ervan in kaart te brengen.
vertegenwoordigt, zullen criminelen de meest geavanceerde middelen inzetten om u uw waardevolle bezittingen afhandig te maken. De draconische maatregelen die u met die tien procent van uw IT-budget treft, brengen de criminelen echt niet op andere gedachten. Deal with it. Rob Beijleveld (
[email protected]) is CEO van ICT Media.
Beveiliging niet hoog genoeg op agenda management SCHIPHOL – Ondanks alle aandacht voor security staat het onderwerp niet hoog genoeg op de agenda bij het management. De risico’s die bedrijven lopen, komen ook steeds vaker van binnenuit. Beheerders en beveiligingsspecialisten verleggen dan ook hun aandacht van technische oplossingen naar het strenger toezien op het naleven van het security-beleid. Tot deze conclusies komt F5, specialist in cloud-, datacenter- en software defined networking, naar aanleiding van een jaarlijks onderzoek onder ruim 150 ITverantwoordelijken. Bijna de helft van alle ondervraagde bedrijven heeft afgelopen jaar te maken gehad met een gerichte bedreiging op het bedrijfsnetwerk. In een kwart van de gevallen ging het om een DDoS-aanval (25 procent), terwijl fraude inmiddels goed
is voor 13 procent van de incidenten. Een versteviging van het securitybeleid heeft dan ook de hoogste prioriteit voor 42 procent van de ondervraagden. Beveiliging op gebruikersniveau en centraal beveiligingsbeheer staan eveneens op de agenda. Reputatieschade Al jarenlang wordt geroepen dat security hoger op de managementagenda moet komen, om een groter draagvlak te creëren en beslissingen te nemen die de beveiliging ten goede komen. Nog steeds is dit niet het geval. Meer dan de helft (56 procent) van de respondenten geeft aan dat security te weinig aandacht krijgt in de bovenste lagen van de organisatie. Wat wel is veranderd, is hoe men kijkt naar de gevolgen van beveiligingsbreuken. Niet langer is men bezorgd om dataverlies of technische problemen, maar staat reputatieschade bovenaan.
Colofon: Hoofdredactie Arnoud van Gemeren Eindredactie Ferry Waterkamp Correcties Arnoud Lamboo Medewerkers Chantal Burink, Hans Lamboo, Felix Speulman, Ferry Waterkamp, Hotze Zijlstra Fotografie Roelof Pot Vormgeving Sabine van Loon Drukwerk PRinterface Uitgever Rob Beijleveld, ICT Media BV Laan van Voorburg 1, 5261 LS, Vught, t 073-6140070, f 073-6129997,
[email protected] Sales & Business Development Director Bart de Vaan Manager Media Jeffrey Ploeg, © ICT Media BV, Vught 2015
4
Door Informatica en onze redactie
Informatiebeveiliging
Vincent Harmsen, Informatica:
‘Van application-centric naar data-centric security’ NIEUWEGEIN – In deze tijd waarin personen en devices altijd met elkaar verbonden zijn en organisaties steeds meer te maken krijgen met trends als mobile, Internet of Things (IoT) en cloud, wordt het belangrijker om privacygevoelige en bedrijfskritische data goed te beveiligen. In een interview licht Vincent Harmsen, Vice President EMEA North East binnen Informatica, toe op welke manier trends in data een cruciale rol hebben in de vorming van de informatiebeveiligingsmarkt van de toekomst. Welke trends gaan volgens jou de grootste impact hebben op de toekomstige informatiebeveiligingsmarkt? “De meeste organisaties en branches hebben al te maken gehad met ‘digital transformation’. De multi-channel retailmarkt wordt bijvoorbeeld gekenmerkt door online transacties. Internet of Things verbindt devices met mensen via het internet. En organisaties ontwikkelen steeds kostenefficiëntere software development-modellen met behulp van outsourcing en offshoring. Al deze ontwikkelingen zorgen ervoor dat steeds meer data zich buiten de muren van de firewall bevinden. Dit vereist een datacentrische security strategie.”
nen verschillende technologiestacks met ‘tal van verschillende security en control frameworks. Met deze alleen maar toenemende complexiteit is een datacentrische security de enige manier om consistentie en uniformiteit te garanderen op het gebied van informatiebeveiliging. Dit verlaagt het risico op een lek in de informatiebeveiliging.” Welke rol speelt data in de informatiebeveiligingsmarkt? “Data zijn de nieuwe olie en er zijn helaas personen en organisaties die hier oneigenlijk gebruik van willen maken. Tot voor kort was olie de brandstof van auto’s, datacenters en eigenlijk de gehele wereldeconomie. In de hedendaagse wereld vervullen de data deze rol. Organisaties die in staat zijn om
de waarde van data te verzilveren, zullen de concurrentiestrijd winnen en de nieuwe leiders worden. Zij zijn in staat tijdig hun producten en services te innoveren op basis van marktdata. En zij zijn in staat tijdig de juiste beslissingen te nemen op basis van data. Kortom: data zijn de nieuwe olie en deze asset moet worden beveiligd.” In welke mate zijn security-specialisten voorbereid op het afdekken van securityrisico’s? “Op dit moment zijn veel security-specialisten nog gefocust op applicatie- of device-centrische security, terwijl er meer focus moet liggen op de beveiliging van de data zelf. Je kunt pas een lek in de informatiebeveiliging dichten als je weet waar gevoelige data zich bevinden. Investeringen in datacentrische security-technologieën zoals data security intelligence en data security controls (bijvoorbeeld masking en encryptie) kunnen vervolgens het risico minimaliseren van het ontstaan van lekken in de informatiebeveiliging.” Wat doet Informatica om de innovatie binnen de informatiebeveiligingsmarkt te bevorderen? “Informati“ca heeft haar R&D-investeringen in data-security de voorgaande jaren sterk verhoogd. Wij geloven dat we organisaties over de hele wereld kunnen helpen bij het verlagen van het risico op het ontstaan
Vincent Harmsen
“Organisaties die in staat zijn om de waarde van data te verzilveren, worden de nieuwe leiders”
Wat bedoel je precies met datacentrische security? “Datacentrische security is een nieuwe benadering van informatiebeveiliging; je gaat juist de data beveiligen in plaats van de netwerken of de applicaties. Omdat organisaties erg snel innoveren met SMAC (Social, Mobile, Analytics en Cloud)-gerelateerde architecturen, zal data zich bevinden bin-
van een lek in de informatiebeveiliging met ons Informatica Intelligent Data Platform, en onze recente ontwikkeling Secure@ Source.” Dit artikel is gebaseerd op een artikel dat eerder is verschenen op CXOtoday.com.
Ibt marktonderzoek:
Helder e-mailbeleid ontbreekt bij één derde organisaties AMSTERDAM – Een grote minderheid van bedrijven heeft geen beleid voor het gebruik van e-mail en archiveert deze ook niet. Daarop duidt onderzoek dat ibt marktonderzoek heeft uitgevoerd in opdracht van ZyLAB, leverancier van oplossingen voor e-discovery en information governance. Tweederde van de ondernemingen geeft aan dat er een duidelijk e-mailbeleid is. Hoe groter de organisatie, hoe vaker er sprake is van helder beleid. Toch heeft 15 procent van de bedrijven met meer dan duizend werkplekken geen beleid voor het gebruik van e-mail. Als er wel sprake is van een duidelijk beleid voor het gebruik van e-mail, dan wordt het door iets minder dan de helft (44 procent) van de ondervraagde verantwoordelijken overlegd met collega’s van andere afdelingen. In de meeste gevallen (45 procent) wordt het beleid
besproken met het managementteam of de board. Ook wordt overlegd met de IT-afdeling (15 procent) en juridische zaken (12 procent). Geen automatische archivering Bijna de helft (44 procent) de ondervraagde organisaties heeft op dit moment geen (technische) oplossing in huis voor het automatisch archiveren van e-mail. In de meeste gevallen wordt dit opgelost door geregeld backups te maken (42 procent) of het aan de gebruiker zelf over te laten hoe de mail te archiveren (52 procent). Bedrijven met meer dan duizend geautomatiseerde werkplekken hebben vaker een oplossing in huis dan de kleinere bedrijven. Het al dan niet hebben van een formeel e-mailbeleid heeft geen invloed op het wel of niet hebben van een technische oplossing. Jan Scholtes, Chief Strategy Officer van ZyLAB: “Het valt op dat bijna de helft van de ondervraagde bedrijven geen technische
oplossing in huis heeft voor het archiveren van e-mail. Men verwacht dat het maken van een back-up afdoende is of laten het aan de gebruiker zelf over om de e-mail verantwoordelijk op te slaan. Dat is niet altijd even verstandig. Want alle goede intenties ten spijt, het blijft een uitdaging om de honderden e-mails die we per week ontvangen, op een verantwoordelijke manier te beheren.” De ondervraagden maken zich echter weinig zorgen. Ze verwachten geen juridisch onderzoek en als het toch zover zou komen, is de verwachting dat de huidige manier van archiveren volstaat. Alleen toegankelijkheid van bestanden (formaat, locatie, etc.) of problemen met betrekking tot de privacywetgeving baren de respondenten enige zorgen. “Bedrijven zouden zich iets meer zorgen moeten maken”, zegt Scholtes. “Het maken van back-ups is niet in alle gevallen voldoende. Back-ups zijn heel slecht doorzoekbaar
en worden in tegenstelling tot archieven, niet geconverteerd naar een nieuw systeem. Dat kan een probleem worden als je onverhoopt gedwongen wordt bepaalde informatie te overhandigen. Want ook in Nederland stellen verschillende instanties, waaronder de belastingdienst, strenge retentie-eisen aan de administratie van een onderneming. Onder administratie vallen ook e-mails en zelfs afspraken en agenda’s die tegenwoordig worden gemaakt in Exchange. En let hierbij op, digitale correspondentie moet ook digitaal worden bewaard.” Over het onderzoek Het onderzoek is door ibt marktonderzoek uitgevoerd onder ruim 160 organisaties met meer dan 200 geautomatiseerde werkplekken. Binnen elke organisatie is gesproken met diegene die (eind)verantwoordelijk is voor de archivering van e-mail.“
Door onze redactie
Interview
5
Rogier van Agt, Sogeti:
‘Security hoort thuis in de bestuurskamer’
Naarmate organisaties meer vertrouwen op IT-systemen, des te belangrijker wordt het thema security. Nieuwe manieren van werken en toenemende interactie met de buitenwereld zetten informatiebeveiliging in een nieuw daglicht. De bescherming van essentiële bedrijfsmiddelen is verworden tot een maatschappelijk thema en verschuift van een gedelegeerd probleem naar een vast agendapunt in de bestuurskamer. “En terecht. De tijd van incidenteel management is voorbij”, aldus een gedreven Rogier van Agt, leider van de securitydivisie bij IT-dienstverlener Sogeti. “In dit digitale tijdperk, waarin bedreigingen aan de orde van de dag zijn, is het zaak om securitykennis permanent beschikbaar te hebben.” Hoe kunnen securityverantwoordelijken de uitdagingen het beste aangaan? “We kunnen enorm veel lessen trekken door terug te kijken. Zo weten we inmiddels dat voorkomen beter is dan genezen. Iedere organisatie is zich bewust van de noodzaak voor preventief securitybeleid en beleid dat erop gericht is adequaat te handelen tijdens en na aanvallen. De belangrijkste les is dat we gelijk bij de start van het ontwerp en de ontwikkeling van IT-systemen security-eisen meenemen. Voorheen werden veiligheidsmaatregelen achteraf genomen. Daarmee ben je per definitie te laat en krijg je met extra maatregelen te maken. Met het inbedden van securitymaatregelen in het initiële proces kun je veel gedoe, tijd en kosten besparen.” Hoe organiseer je ‘security-by-design’? “Uiteraard begint het bij de erkenning dat het nodig is security-eisen mee te nemen bij de start van een project. Vervolgens is het een kwestie van doen. De eerste stap is het vaststellen van security-eisen naast de benodigde functionele requirements. Beide requirements samen laten komen, gaat voor het echte succes zorgen. Functionele systeemeisen die tegelijkertijd ook veilig zijn.” Wat is de grootste security-uitdaging voor de komende tien jaar? “Kennis op peil houden. We hebben nog een achterstand in te halen op de slimmigheid van aanvallers. Je zou het een beetje kunnen vergelijken met de ontwikkeling van autodiefstal. Jaren terug waren dieven de autofabrikanten veel te slim af met hun handige manieren om snel en effectief in te breken. Auto-inbraken aan de lopende band waren het gevolg. Inmiddels is het aantal inbraken en autodiefstallen aanzienlijk verminderd, omdat de fabrikanten een goede inhaalslag hebben gemaakt.” Hoe zorg je ervoor dat securitykennis op peil blijft, terwijl hackers steeds slimmer worden? “Haal ethische hackers in huis. Zij kijken op een andere manier naar de wereld en in het bijzonder naar informatiesystemen en -processen. Met een gecontroleerde inzet van deze kennis en ervaring toets je voortdurend of genomen maatregelen effectief zijn. Ondertussen kom je erachter waar verbetering nodig is. De aanval is toch uiteindelijk de beste verdediging. We weten dat het tegenwoordig niet de vraag is óf je gehackt wordt, maar wannéér dat gaat gebeuren. Dat betekent dat je ervan uit moet gaan dat het fout gaat. Dit dwingt je om van tevoren alle mogelijke scenario’s tegen het licht te houden. Een goede voorbereiding is het halve werk. Door op voorhand
Rogier van Agt
maatregelen te treffen, kun je je volledig richten op de oplossing op het moment dat een aanval zich voordoet.” Is met het in huis halen van hackers securitykennis gewaarborgd? “Zeker niet. Het is slechts een voorbeeld van benodigde maatregelen. Een ander belangrijk aandachtspunt is het bewustzijn van medewerkers. Het staat als een paal boven water dat de mens nog altijd de zwakste schakel is in het proces. Dan is het zaak dat je medewerkers meeneemt in de bewustwording. Niet door een willekeurige training – dat gaat geen verschil maken. Om een gedragsverandering te laten slagen, moet je een handeling zeker dertig keer hebben gedaan. Zorg daarnaast dat je dat beloont in plaats van te straffen. Een blijvende gedragsverandering realiseer je door goed gedrag op een ludieke manier kortcyclisch te tonen en te belonen.” Hoe blijft het kennisniveau van securityspecialisten op peil? “Een van de grootste uitdagingen van morgen is het behoud van goed opgeleid personeel. Op dat vlak is er ook veel veranderd. Ook al bestaat IT-security al jaren, de functie heeft nog niet zo lang geleden een vaste plaats in de organisatie gekregen. Dat betekent dat er nog weinig wordt gedaan aan loopbaanontwikkeling voor securityspecialisten. Uiteraard is dat in eerste instantie een verantwoordelijkheid van zowel de specialist als zijn of haar werkgever. De leverancier kan eveneens een
“Met het inbedden van maatregelen in het initiële proces kun je veel gedoe, tijd en kosten besparen” belangrijke rol spelen. Er is dan geen sprake meer van een klant-leverancierrelatie, maar van een gedegen partnership. Zo werken wij samen met de klant om kennis en personeel uit te wisselen. Hoe kun je bijvoorbeeld een securityanalist die in een vast team van een security operating centre (SOC) werkt, perspectief op groei geven? Er is tenslotte maar één SOC-manager en één omgeving waar hij de afgelopen twee jaar heeft gemonitord. Met deze securityanalisten ga je bekijken hoe en waar verandering van omgeving mogelijk is. Weg van het vaste ‘eiland’. Daarmee bied je de analist een nieuwe uitdaging, maar wel in een vertrouwde omgeving. En de organisatie is verzekerd van het behoud van kennis en continuïteit, plus binding met de medewerker. Ontwikkeling van deze ‘binden & boeien’-aanpak kan heel goed samen met je leverancier.”
Wat is in het kader van een gedegen security-aanpak nog meer nodig? “Je zult ook moeten blijven monitoren. Meten is immers weten, zeker binnen security. IT-systemen actief en voortdurend monitoren, betekent continu inzicht in wat er precies gebeurt. Die data omzetten in kennis en intelligentie helpt bij het nog beter anticiperen op afwijkend gedrag. Inzet van goede monitoringstechnologie maar ook de inzichten van ervaringsdeskundigen zoals security-analisten en (ethische) hackers zijn daarbij onontbeerlijk. Natuurlijk is het daarbij belangrijk dat je leert van het verleden. Nog altijd zijn de meest succesvolle organisaties die bedrijven en instellingen die zich voortdurend weten aan te passen. Ook als straks alles aan het internet hangt. Bij de ontwikkeling van het internet of things, is security-by-design een absolute must.” Tot slot: Hoe houdt de CISO zijn eigen kennis op peil over de diversiteit aan securitytooling? “Het is belangrijk dat organisaties weten waar naartoe ontwikkeld wordt – de bekende stip op de horizon. Anders gezegd: ‘think big, start small’. Op deze manier kan de CISO een gedegen afweging maken welke technologie daar het beste bij past. De geselecteerde technologie kan voortdurend getoetst worden aan de gekozen strategie. Dat is niet altijd even makkelijk met de huidige wildgroei aan technologie. Bepaal dan ook of je die kennis zelf op peil wilt houden, of dat je daarbij een beroep doet op onafhankelijke kennis van IT-dienstverleners.”
Door Freek Blankena
Trends
7
Trends in cybercrime
Financieel risico steeds minder ongrijpbaar VUGHT – Cybercrime, of internetcriminaliteit, lijkt een ongrijpbaar fenomeen te worden. Nuchterheid en aanpassingsvermogen zijn wel nodig om de snelle ontwikkelingen het hoofd te bieden. En aandacht voor een handvol trends. De gedachte dat alles wat digitaal gebeurt ook onveilig is, bekruipt menigeen. De hack van het bedrijf Gemalto waardoor de versleuteling van het gsm-verkeer opeens ter discussie stond, een digitale inbraak die Sony dwong een speelfilm uit de roulatie te houden, een grote verzameling webwinkels die onbewust op onveilige manier met klantendata blijkt om te gaan, de Amerikaanse NSA die zich niet alleen aan ‘gewone’ spionage wijdt, maar ook aan bedrijfsspionage bij Airbus: hoe kunnen burgers en bedrijven zich nog wapenen? Cybercrime lijkt een ongrijpbaar verschijnsel te worden. Enerzijds omdat het zo gemakkelijk is geworden om op het internet kant-enklare gereedschappen te vinden waar een niet eens zo ervaren hacker werkende malware van kan maken. Anderzijds omdat de manieren waarop internetcriminelen te werk gaan steeds gevarieerder, geavanceerder en onopvallender worden. Financieel is het verschijnsel minder ongrijpbaar: verzekeraar AON schat de totale kosten van cybercrime wereldwijd op bijna honderd miljard dollar per jaar. Cyberrisico’s staan in AON’s Global Risk Management Survey dit jaar voor het eerst in de top 10. Op nummer één staat reputatieschade, die natuurlijk even goed is op te lopen door een digitale inbraak.
“Verzekeraar AON schat de totale schade van cybercrime wereldwijd op bijna honderd miljard dollar per jaar” Managementkwestie Toch is nuchterheid het devies, simpelweg omdat angst- en hype-verhalen (ja, ook afkomstig van leveranciers van beveiligingssoftware) niet echt helpen. Bestuurders en directieleden van bedrijven en organisaties moeten zich wel realiseren dat beveiliging geen technische kwestie (meer) is die geheel aan de IT-afdeling kan worden gedelegeerd. Of zoals Henk Wesseling, hoofd van de
(inmiddels opgeheven) Taskforce Bestuur en Informatieveiligheid Dienstverlening onlangs verwoordde: “Digibeet kan voor een bestuurder geen geuzennaam meer zijn.” Voor bestuurders in overheid en bedrijfsleven (dus RvB- en RvC-leden) geldt hetzelfde: beveiligen is regels stellen, voorbereid zijn en risico’s afwegen. Wat betekent het bijvoorbeeld voor een e-commercebedrijf als er twijfels zijn over de veiligheid van de klantendatabase waarin alle inlognamen en wachtwoorden staan? Wat is eigenlijk het fundamentele beleid rond wachtwoorden? De bedrijfstop moet antwoorden op zulke vragen hebben, niet de IT-afdeling. Ze kunnen daarbij rekening houden met een aantal trends: Oude software wreekt zich Vorig jaar openbaarden zich kwetsbaarheden als Heartbleed en Shellshock, zwakke plekken in internetprotocollen die al vele jaren blijken te bestaan en waarvan het onduidelijk is in welke mate er misbruik van is gemaakt. Veel software moest worden vervangen – steeds vaker is die software ingebakken in apparatuur. OpenSSL en Java zijn inmiddels berucht, maar geen enkele software is honderd procent veilig. Bestaande software up-to-date houden blijft natuurlijk altijd nodig. Maar daarmee zijn bedrijven en organisaties er niet. Het besef dat er nog heel veel software in omloop is die niet is gebouwd met ‘security-by-design’ als uitgangspunt, zal verder doordringen. Dat de Rijksoverheid herhaaldelijk miljoenen moet uitgeven voor extra ondersteuning omdat het uitfaseren van het – nota bene – desktop-besturingssysteem Windows XP meer tijd vergt dan verwacht, illustreert hoe lastig dat kan zijn. Dit soort inzichten zorgt er ook voor dat een kleiner deel van het beveiligingsbudget wordt besteed aan het beveiligen van de buitengrens van een organisatie of bedrijf; voorkomen ‘dat er iemand met kwaadaardige bedoelingen binnenkomt’ is immers gewoon niet genoeg. ‘Internet of Things’ onder vuur Bij de term Internet of Things (IoT) denkt
menigeen aan testjes met slimme koelkasten die zelf melk bijbestellen, maar er zijn al veel evidentere IoT-toepassingen in gebruik. De slimme energiemeter, auto’s, routers, IP-camera’s, wifi-printers; veel apparatuur ‘hangt al aan het net’. In bedrijven is men daarin zelfs vooruitstrevender. Deskundigen verwachten daar dan ook veel aandacht van cybercriminelen. Bedrijfsapparatuur die via het internet zijn afhandelstatus doorgeeft in logistieke processen of zijn onderhoudsstatus, is volgens hen eerder kandidaat voor een aanval dan die mooie thermostaat thuis die zich via de smartphone laat bedienen. Aanvallen op mobiele apparatuur Smartphones en tablets zijn bijna volwaardige computers geworden, die voor ons gemak veelal automatisch inloggen en informatie delen. Die gemakkelijke persoonlijke omgang met data botst vaak met die van het bedrijfsleven. Cyber security-specialisten voorzien een toename in het aantal aanvallen waarbij mobiele apparaten worden gebruikt om inlogdata te stelen om zo bedrijfsnetwerken en de door het bedrijf gebruikte clouddiensten binnen te komen. Onderzoeksbureau Gartner denkt dat driekwart van de mobiele applicaties op dit moment niet door een fundamentele beveiligingstest zouden komen. Bedrijven zijn daarin relatief machteloos. “De meeste bedrijven zijn onervaren in de beveiliging van mobiele applicaties. Zelfs als ze die testen, gebeurt dat vaak niet serieus, door ontwikkelaars die vooral bezig zijn met de functionaliteit van applicaties, niet hun beveiliging”, aldus Gartner-analist Dionisio Zumerle. De verspreiding van mobiele apparatuur brengt overigens ook een voordeel met zich mee: eenvoudigere ‘twee-factorauthenticatie’. Naast inlognaam en wachtwoord dient de gebruiker dan nog een derde gegeven aan te leveren, zoals de per sms toegezonden code die fervente DigiD-gebruikers en thuisbankiers wellicht kennen. Sms-authenticatie is een stuk goedkoper dan oplossingen voor
twee-factor authenticatie waarbij gebruik wordt gemaakt van een ‘hardtoken’. Openheid en samenwerking Er komt in Nederland een Meldplicht datalekken, waarbij hacks en/of dataverlies op straffe van een boete aan het College Bescherming Persoonsgegevens gemeld moeten worden. Maar bedrijven en overheid zouden uit zichzelf al veel opener moeten worden over gevallen van cybercrime. “De aanval-
“Beveiligen is regels stellen, voorbereid zijn en risico’s afwegen” lers werken namelijk wel goed samen”, stelde Richard Struse, Chief Technology Officer op het Amerikaanse departement Homeland Security, op de recente RSA-conferentie. “Ze gebruiken elkaars kennis en tools, omdat dat efficiënt en kostenbesparend is.” Dat zouden bedrijven en overheden dus ook moeten doen. Ook op de recente Global Conference on CyberSpace 2015 in Den Haag was de roep om meer samenwerking te horen. In het onlangs uitgebrachte rapport European Cyber Security Perspectives 2015 (van TNO, NCSC, KPN en Nationale Politie) wordt de gezamenlijke actie van politiekorpsen in 16 landen tegen gebruikers van de malware Blackshades als voorbeeld genoemd, evenals het platleggen van de illegale online-handelsroute Silk Road 2.0. Samenwerking werkt, wil men maar zeggen. Een andere ontwikkeling is het beter delen van kennis, middels gestandaardiseerde en geautomatiseerde uitwisseling van informatie over cyberdreigingen. Freek Blankena is freelance journalist
8
Door Felix Speulman
Onderzoek
Data Breach Investigations Report 2015
ICT-beveiliging blijft in gebreke AMSTERDAM – Cyberaanvallen krijgen een steeds geavan-
Digitale spionnen hebben het met name voorzien op manufacturing en de publieke sector.
ceerder karakter, maar traditionele technieken als phishing en hacking blijven populair. Wel worden de technieken in de overgrote meerderheid van de aanvallen (70 procent) gecombineerd met een tweedelijns slachtoffer. Dat blijkt uit ‘2015 Data Breach Investigations Report’ van Verizon dat in april
teerd zijn met kwaadaardige software en die beheerst worden zonder dat de eigenaar dat weet) voor denial of service (DoS)-aanvallen.
werd gepubliceerd. Een zorgwekkende ontwikkeling waar de onderzoekers op wijzen en waar ook een recente enquête van Intel op wijst, is dat veel organisaties verzuimen om bekende kwetsbaarheden te verhelpen of dit met grote vertraging doen. Beveiligingspatches worden vaak niet geïnstalleerd en veel kwetsbaarheden zijn al jarenlang bekend en dateren vaak van vóór 2010. Dat begint al bij de software-leveranciers: uit recent onderzoek van Symantec blijkt dat deze bij zero-day-kwetsbaarheden bijna twee maanden (59 dagen) nodig hebben om patches te maken en te implementeren en deze tijd wordt almaar langer. Detectiekloof Er is daarnaast sprake van een ‘detectiekloof’: de tijd die verstrijkt tussen de diefstal van gegevens en de ontdekking daarvan is te lang. Aanvallers kunnen in zes op de tien gevallen bedrijfsnetwerken binnen enkele minuten binnendringen: te snel voor detectie. Hoe later ontdekking plaatsvindt, hoe meer tijd aanvallers hebben diep in het netwerk door te dringen en schade te berokkenen. Bij meer dan een kwart van alle incidenten kost het gehackte organisaties weken of zelfs maanden om zich van een beveiligingsincident te herstellen, aldus het Verizon-rapport. De uitkomsten van de Intel-enquête wijzen er dan ook op dat veel verantwoordelijken voor beveiliging de oplossing vooral zoeken in automatisering van detectie, betere analytics en betere integratie van beveiligingstools. “Organisaties laten wat de ICT-beveiliging be-
treft nog altijd veel steken vallen”, zegt Mike Denning, Vice President Global Security bij Verizon Enterprise Solutions. “Hoewel er geen garantie tegen beveiligingsincidenten bestaat, kunnen organisaties de risico’s fors terugdringen door zich waakzamer op te stellen bij het beschermen van hun bedrijfsgegevens. Dit blijft de rode draad in meer dan tien jaar onderzoek naar beveiligingsincidenten voor onze Data Breach Investigations Reports.”
“De onderzoekers achten de berichtgeving over mobiele bedreigingen overdreven” Aanbevelingen De belangrijkste aanbevelingen uit het rapport zijn: verhogen van de waakzaamheid, ervoor zorgen dat medewerkers de eerste verdedigingslinie worden, gegevens alleen toegankelijk maken voor mensen die deze werkelijk nodig hebben, updates en patches zo snel mogelijk installeren, gevoelige informatie versleutelen, twee-staps-authenticatie
Volgens het 2015 Data Breach Investigations Report is er sprake van een ‘detectiekloof’.
gebruiken en de fysieke beveiliging niet verwaarlozen. Vooral Nederlandse organisaties zouden zich deze aanbevelingen moeten aantrekken. Onlangs maakte Symantec bekend dat ons land opnieuw in de wereldwijde top 5 staat van de ranglijst van bedrijven die het meest geraakt worden door cyberaanvallen. In Europa staat Nederland zelfs op de eerste plaats. Mobiele dreigingen vallen mee Opvallend is dat de onderzoekers de berichtgeving over mobiele bedreigingen overdreven achten. Het aantal kwetsbaarheden in de beveiliging van mobiele platforms waar cybercriminelen misbruik van maken, is verwaarloosbaar. Het IoT is echter wel nieuw werkterrein voor cybercriminelen. Waar er in 2014 geen beveiligingsincidenten op het gebied van machine-to-machine-communicatie werden gerapporteerd, maakt het rapport dit jaar melding van incidenten waarbij hackers gebruikmaakten van verbonden apparaten voor het infecteren van systemen. Ook werden IoT-apparaten gecombineerd tot een botnet (een netwerk van privécomputers die geïnfec-
De kosten van een beveiligingsincident afgezet tegen het aantal gegevensbestanden dat wordt gestolen.
Model voor schatting kosten incidenten Verizon heeft een nieuw model ontwikkeld voor de berekening van financiële gevolgen van een beveiligingsincident, gebaseerd op analyse van bijna 200 verzekeringsclaims die verband hielden met cyber-aansprakelijkheid. Het model houdt rekening met het feit dat de kosten per gestolen gegevensbestand direct verband houden met het type informatie en het totale aantal geschonden gegevensbestanden. Het geeft een bandbreedte aan voor de kosten per gestolen of verloren gegevensbestand (zoals een creditcardnummer of medisch dossier). Het model voorspelt bijvoorbeeld dat de kosten van een beveiligingsincident waarbij 10 miljoen gegevensbestanden gestolen worden, tussen de 2,1 miljoen en 5,2 miljoen dollar zullen liggen (95 procent van alle gevallen). Afhankelijk van de omstandigheden kan dit oplopen tot wel 73,9 miljoen dollar. Voor beveiligingsincidenten met 100 miljoen gegevensbestanden zullen de kosten tussen de 5 en 15,6 miljoen dollar liggen (95 procent van de gevallen) en deze kunnen oplopen tot 199 miljoen dollar. Negen basispatronen Volgens de analisten kan de overgrote meerderheid (96 procent) van de bijna 80.000 beveiligingsincidenten die zij dit jaar analyseerden, herleid worden tot 9 standaard aanvalspatronen die per sector kunnen verschillen. Deze patronen zijn: menselijke fouten zoals het verzenden van e-mailberichten naar de verkeerde persoon, crimeware (uiteenlopende vormen van malware die de controle over systemen overnemen), misbruik door insiders of gebruikers met speciale toegangsrechten, fysieke vormen van gegevensdiefstal of -verlies, aanvallen op internetapplicaties, denial of service-aanvallen, cyberspionage en inbreuk op point of sale-systemen en skimming. Volgens de onderzoekers is 83 procent van alle beveiligingsincidenten te herleiden tot de top 3 van bedreigingspatronen voor elke sector (2014: 76 procent). Felix Speulman is redacteur van IT Executive Over het onderzoek
De sector onderwijs heeft gemiddeld met 2.332 ‘malware events’ per week te maken.
De Data Breach Investigations Reports van Verizon zijn gebaseerd op praktijkgevallen. Het laatste rapport is de achtste editie en vormt de neerslag van analyses van meer dan 2.100 bevestigde gevallen van gegevensdiefstal en circa 80.000 gerapporteerde beveiligingsincidenten. In de afgelopen tien jaar heeft Verizon voor zijn rapport meer dan 8.000 gevallen van gegevensdiefstal en bijna 195.000 beveiligingsincidenten geanalyseerd. De rapporten zijn tevens gebaseerd op informatie over beveiligingsincidenten die niet in gegevensdiefstal resulteerden zodat een completer beeld van het beveiligingslandschap ontstaat. Verizon is een van de 70 wereldwijde organisaties die gegevens en analyseresultaten bijdroegen aan het rapport van dit jaar.
Door Joke Bodewits
Privacy
11
CBP kan boetes opleggen tot ruim 8 ton
Wet Meldplicht Datalekken AMSTERDAM – Recent is de Tweede Kamer akkoord gegaan met een brede meldplicht datalekken voor bedrijven die verantwoordelijk zijn voor het verwerken van persoonsgegevens, zoals werkgevers die persoonsgegevens van werknemers verwerken, of ondernemers die een klantenadministratie bijhouden. Als deze gegevens worden gelekt, dient het beveiligingsincident in de toekomst wellicht te worden gemeld bij het College bescherming persoonsgegevens en de betrokkene. De Eerste Kamer heeft aangegeven dat zij graag het wetsvoorstel nog voor het zomerreces zou willen behandelen. Een goed moment om te kijken waar we nu staan en om alvast te anticiperen op de toekomstige wetgeving.
de laptop (of de data op die laptop) niet was versleuteld, dient de diefstal eveneens te worden gemeld aan de betrokkene indien de inbreuk waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Andersom geldt dat het verlies van een laptop met versleutelde klantgegevens niet hoeft te worden gemeld aan het CBP of de betrokkene indien de gevolgen van het beveiligingsincident niet ernstig te noemen zijn.
Op dit moment kent de Nederlandse wet alleen een zogenoemde ‘smalle meldplicht’, namelijk voor aanbieders van elektronische communicatiediensten zoals mobiele providers. De Telecommunicatiewet verplicht deze aanbieders de toezichthouder te informeren over inbreuken op de beveiliging die nadelige gevolgen hebben voor de bescherming van de persoonsgegevens. Voorts dienen aanbieders de getroffen abonnees te informeren indien de inbreuk waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Deze melding aan de toezichthouder en de abonnee dient onverwijld plaats te vinden. De Wet bescherming persoonsgegevens (Wbp) kent zo’n verplichting om beveiligingsincidenten te melden tot op heden niet. Al is het in beginsel niet zo dat een datalek helemaal niet hoeft te worden gemeld aan de persoon van wie persoonsgegevens zijn ge-
“De wet is van toepassing op alle ondernemingen, van zzp’er tot multinational” lekt, de ‘betrokkene’. De Wbp vereist namelijk dat de verantwoordelijke de betrokkene informeert over de wijze waarop persoonsgegevens worden ‘verwerkt’. Dit verwerken is een breed begrip en omvat eigenlijk alle handelingen die met persoonsgegevens kunnen worden verricht, van het verzamelen, opslaan, inzien en doorgeven, tot verlies en vernietiging. Aangezien verlies van persoonsgegevens eveneens onder het verwerkingsbegrip valt, zou de verantwoordelijke nu dus reeds een verplichting hebben om de betrokkene te informeren over het verlies van de persoonsgegevens. Het College Bescherming Persoonsgegevens (CBP) dient in beginsel eveneens te worden geïnformeerd. De praktijk is echter dat beveiligingsincidenten op dit moment niet worden gemeld aan de betrokkene of aan het CBP. Samenvatting wetsvoorstel De wet zoals die nu bij de Eerste Kamer ligt vereist dat het CBP ‘onverwijld’ in kennis wordt gesteld ‘van een inbreuk op de beveiliging [...] die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de persoonlijke levenssfeer.’ Voorts moet de betrokkene, de persoon op wie de persoonsgegevens betrekking hebben, worden geïnformeerd als ’de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.’
Kort gezegd houdt dit het volgende in: • veel inbreuken op persoonsgegevens zullen moeten worden gemeld bij het CBP; • als de inbreuk ‘waarschijnlijk’ privacygevolgen heeft voor de betrokkene, moet het datalek eveneens aan de betrokkene worden gemeld, tenzij de data voldoende versleuteld waren; • bedrijven moeten een overzicht bijhouden van de datalekken die er zijn geweest; en • in bewerkersovereenkomsten moeten afspraken worden gemaakt over naleving van de verplichtingen rondom beveiligingsinbreuken. Belangrijk is dat niet alleen datalekken dienen te worden gemeld die ernstige gevolgen hebben voor de bescherming van persoonsgegevens, maar ook datalekken die leiden tot een aanzienlijke kans daarop. Doordat de wet op alle ondernemingen, van zzp’er tot multinational, van toepassing is, laat de wetgever het aan de verantwoordelijke zelf om te bepalen wat voldoende ernstig is. Volgens de wetgever zouden de aard en de omvang van het datalek leidend moeten zijn. Wat de gevolgen van het datalek zijn, hoeft niet vast te staan. Voorts is het niet van belang of de beveiliging van de gelekte gegevens passend was. Inbreuk op de beveiliging met ernstige nadelige gevolgen voor de
bescherming van de verwerkte persoonsgegevens volstaat. De vraag rijst wanneer een beveiligingsincident moet worden gemeld. Een sprekend voorbeeld is het verlies van een laptop, maar het geldt uiteraard evenzeer voor het onfortuinlijke geval waarbij een website is
“De wetgever laat het aan de verantwoordelijke zelf om te bepalen wat ‘voldoende ernstig’ is” gehackt. Als een laptop wordt gestolen, dient dit bij het CBP te worden gemeld indien er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van de persoonlijke levenssfeer, bijvoorbeeld een laptop met financiële klantgegevens. Als
Bewerkersovereenkomsten De Wbp vereist dat de contractuele verplichtingen tussen verantwoordelijke en serviceproviders zijn vastgelegd in een schriftelijke bewerkersovereenkomst. Kort gezegd eist de Wbp dat zo’n bewerkersovereenkomst in ieder geval beschrijft (i) welke acties de serviceprovider dient te verrichten (bijvoorbeeld het verrichten van payrolservices), (ii) dat de serviceprovider enkel handelingen met persoonsgegevens mag verrichten die zijn geïnstrueerd door de verantwoordelijke, (iii) dat de serviceprovider de persoonsgegevens vertrouwelijk zal behandelen en (iv) dat de serviceprovider passende technische en organisatorische beveiligingsmaatregelen treft. De verantwoordelijke dient er op toe te zien dat de serviceprovider zich aan deze afspraken houdt. Met de invoering van de meldplicht datalekken dient de bewerkersovereenkomst te worden uitgebreid. De verantwoordelijke heeft immers de verplichting om het CBP onverwijld in kennis te stellen van datalekken en kan deze verplichting alleen nakomen nadat hij door de serviceprovider is geïnformeerd over het beveiligingsincident. Het is raadzaam om in bewerkersovereenkomsten op te nemen dat de serviceprovider onmiddellijk dient te informeren indien deze kennis neemt van een beveiligingsincident waarbij mogelijk persoonsgegevens zijn gelekt. Voorts dient te worden opgenomen dat de serviceprovider de verantwoordelijke informeert over de aard en de omvang van het beveiligingsincident, de maatregelen die de serviceprovider heeft genomen om erger te voorkomen en voor zover mogelijk, welke maatregelen de betrokkene kan treffen om de negatieve gevolgen te beperken, bijvoorbeeld door te voorkomen dat data (verder) wordt gelekt. Boetebevoegdheden CBP Een belangrijke reden om datalekken te melden, kan worden gevonden in de nieuwe boetebevoegdheden van het CBP. In februari is de Tweede Kamer akkoord gegaan met een uitbreiding van de boetebevoegdheden van het CBP. Indien ook de Eerste Kamer akkoord gaat, kan het CBP voortaan boetes opleggen tot 810.000 euro, met voor rechtspersonen een mogelijke uitloop tot 10 procent van de jaaromzet, bij niet naleving van de meldplicht datalekken en een groot aantal andere bepalingen uit de Wbp. Alsof een datalek al niet vervelend genoeg is. Joke Bodewits is advocaat bij Hogan Lovells in Amsterdam
12
Door onze redactie
Onderzoek
Best practices worden genegeerd
Organisaties niet voorbereid op geavanceerde aanval VUGHT – Een meerderheid van de organisaties wereldwijd is niet goed voorbereid op geavanceerde cyberdreigingen. Ook doen zij vrijwel niets met beschikbare best practices voor incident response die hen in staat stellen cyberaanvallen, die uiteindelijk tot inbreuken leiden, te detecteren en te verstoren. Dit is de belangrijkste conclusie van een onderzoek dat beveiligingsspecialist RSA heeft laten uitvoeren. Het onderzoek is uitgevoerd in dertig landen en vergeleken met onderzoek van de Security for Business Innovation Council (SBIC), een groep top security-leiders van de Global 1000. De resultaten van beide onderzoeken zijn gebundeld om kwantitatief inzicht te verschaffen in real world security best practices, om te laten zien waar de technologie tekortschiet en om gericht te kunnen adviseren over hoe deze kloof het beste gedicht kan worden.
Incident response Het onderzoek richt zich op maatregelen binnen vier belangrijke deelgebieden van breach readiness & response: incident response, content intelligence, analytic intelligence en threat intelligence. Incident response is een activiteit die bedrijven continu moeten aanscherpen om het hoofd te kunnen bieden aan het groeiend aantal aanvallen. De onderzoeksresultaten laten zien dat, terwijl alle SBIC-leden beschikken over een vorm van incident response, 30 procent van de ondervraagde organisaties in het Global Breach Readiness-onderzoek (GBR) geen formeel calamiteitenplan heeft. Bovendien geeft 57 procent van de organisaties die wel een plan hebben aan, dat ze dit plan nooit aanpast. Content intelligence Content intelligence is inzicht verkregen door de inzet van tools, technologie en processen voor het identificeren en monitoren van belangrijke assets. Terwijl
alle leden van de SBIC de mogelijkheid hebben data te verzamelen en alarm te slaan wanneer dat nodig is, doet 55 procent van
“30 procent van de ondervraagde organisaties heeft geen formeel calamiteitenplan” de ondervraagde organisaties dit niet, wat hen blind maakt voor veel bedreigingen. Het identificeren van false positives blijkt in de praktijk moeilijk: de helft van
de respondenten blijkt in staat deze te identificeren, terwijl meer dan 90 procent van de SBIC-leden over geautomatiseerde cyber security-technologie en -processen beschikken om informatie te updaten en de kans op incidenten te verkleinen. Analytic intelligence De meeste organisaties erkennen dat het verzamelen van belangrijke loggegevens met behulp van security information and event management (SIEM)-systemen slechts een gedeeltelijk beeld schetst van hun omgeving. Uit het onderzoek blijkt dat 72 procent van de respondenten toegang heeft tot malware of endpoint forensics, terwijl slechts 42 procent van de respondenten beschikt over de mogelijkheid voor meer verfijnde network forensics, waaronder packet capture en netflowanalyse. Threat intelligence Externe threat intelligence en het delen van informatie daarover is belangrijk voor organisaties om op de hoogte te blijven van de nieuwste tactieken en motieven van aanvallers. De onderzoeksresultaten laten zien dat slechts 43 procent van de GBR-respondenten een externe threat intelligence-bron gebruikt als aanvulling op de eigen kennis. Hackers maken regelmatig gebruik van bekende maar vaak niet gepatchte kwetsbaarheden, maar slechts 40 procent van de ondervraagden in het onderzoek heeft een actief vulnerability management-programma. Dit maakt het voor velen een nog grotere uitdaging om aanvallers voor te blijven.
Door onze redactie Fotografie Roelof Pot
Discussie
KPN en Cisco over de impact van Internet of Things
Businessmodellen op de schop GROENEKAN – Op 23 april vond tijdens het Jaarcongres Connected Enterprise in Fort Voordorp een rondetafelsessie plaats over de impact van het Internet of Things op businessmodellen, de veranderende rol in het ecosysteem en randvoorwaarden zoals data en connectiviteit. Het resultaat was een drukbezochte en levendige discussie over de mogelijkheden en kansen van een connected enterprise. Gastheren Joris Geertman (KPN) en Michiel Panders (Cisco) werden bijgestaan door gespreksleider Arnoud van Gemeren. Michiel Panders, Directeur Enterprise bij Cisco, legt uit dat de term ‘Internet of Everything’ (IoE) verder gaat dan het Internet of Things (IoT). Het gaat niet alleen om de verbindingen met dingen zoals sensoren en devices, maar ook om connecties tussen mensen, (bedrijfs)processen en data. Een mooi praktijkvoorbeeld daarvan is taxidienst Über. “Naast praktische informatie vanuit de auto, zoals waar het voertuig zich bevindt en wat het ritje gaat kosten, kunnen klanten direct hun persoonlijke ervaringen met elkaar delen.” Joris Geertman, Directeur Innovatie & Application Services bij KPN Consulting, voegt toe dat Internet of Things bedrijven de mogelijkheid geeft om businessmodellen volledig op de schop te nemen.
“Er is veel gebrek aan kennis over digitale transformatie” Wet- en regelgeving als hindernis Een van de deelnemers geeft aan dat in de zorg al heel veel apparaten en systemen met elkaar kunnen communiceren. De apparatuur op de intensive care toont parameters op de displays, en die waarden worden tegelijkertijd doorgestuurd naar het EPD van de betrokken patiënt. In de zorg bestaat een ander probleem: “In een Academisch Ziekenhuis moeten we meer tegenhouden dan we zouden willen. We hebben heel veel point solutions, vaak verouderde apparatuur die niet geschikt is voor het IoT. Maar ook nieuwe ontwikkelingen geven problemen: artsen adopteren bijvoorbeeld e-health volle-
dig, maar daar is de wet- en regelgeving nog helemaal niet aan toe. Een arts mag bijvoorbeeld geen diagnose stellen op basis van een niet-geijkt apparaat.” Diezelfde problematiek speelt in de wereld van de hoorapparaten. De wet- en regelgeving werkt daar beperkend: “Niet alleen speelt privacy een rol, ook de voorschriften over de wijze van aanmeting en het verbod op kalibratie op afstand belemmeren ons om ons businessmodel aan te kunnen passen. Terwijl de klanten daar wel voor open staan.” Muizenvallen en cv-ketels Een van de aanwezigen vertelt dat zijn bedrijf facilitaire dienstverlening meetbaar maakt met IoT. Wanneer moet het koffiezetapparaat bijgevuld worden, wanneer moet de muizenval worden geleegd. “Daar is heel veel efficiëntiewinst te behalen in het businessproces. Innovatie in de facilitaire dienstverlening heeft zich vooral voltrokken op het gebied van schoonmaakmiddelen. Maar nooit is de vraag gesteld: moeten wij vandaag wel schoonmaken? Met een simpele sensor kan IT veel invloed uitoefenen op de winstgevendheid. Het resultaat is dat je hetzelfde kunt blijven doen, maar met minder personeel en met hogere kwaliteit.”
De spreker geeft aan dat je die werkwijze niet zomaar in een grote organisatie kunt invoeren, terwijl de nieuwe werkwijze genoeg klanten aanspreekt. Een voorbeeld uit de installatiemarkt: de leveranciers van cv-ketels rusten hun apparatuur uit met sensoren en krijgen zo dus veel informatie buiten de installateurs om. “Zij zien dat als een serieuze bedreiging voor het doen van goed onderhoud. Bovendien krijgen de leveranciers ook inzicht in het gedrag van de gebruiker. Het is maar de vraag of onze maatschappij dat wel wil.” IT-afdeling in het gedrang Een van de deelnemers merkt op dat het een illusie is dat de interne IT-afdeling kennis zou hebben van de businessprocessen en daar toegevoegde waarde aan kan leveren. “IT komt teveel uit de administratieve hoek. En heeft nauwelijks verstand van alle nieuwe technologieën die op ons afkomen.” Hij is dan ook een voorstander van het outsourcen van IT. “Maar wel met een zeer sterke regiefunctie.” Een ander constateert dat ITafdelingen wel degelijk aan het veranderen zijn, meest conform Gartners model van Bi-modal IT. “Enerzijds een gedegen backoffice en anderzijds een soort freestyle
13
club met een heel ander type IT’er, gericht op flexibiliteit en snelheid.” Het is maar helemaal de vraag of een interne IT-afdeling zich kan permitteren om alleen mensen en processen te bedienen en alles wat met ‘things’ te maken heeft kan outsourcen. Het kan immers nadelig zijn voor de integratie tussen de voor- en achterkant van de IT-omgeving. “Een belangrijk punt. Dat is een besluit op boardniveau,” vindt een van de aanwezigen. “Zolang zij IT aan de CFO laten rapporteren, zal de aandacht op de backoffice gericht blijven.” Een ander is het daar volledig mee eens. “We moeten ophouden met IT te beschouwen als kostenpost. IT is een business enabler en naast de kosten staan ook baten. Onze CIO werd voorheen vooral afgerekend op kosten en beschikbaarheid. Nu heeft hij een commerciële doelstelling.” Boardcultuur Alles draait dus om de mindset van de organisatie. Maar leeft IoT wel in de boardroom? “De meeste boards zijn teveel bezig met risicomitigatie, compliance en het pleasen van aandeelhouders. En hoewel IT steeds belangrijker wordt, doen ze het liever de deur uit.” “Er is veel gebrek aan kennis over digitale transformatie,” stelt een ander. “Een nieuwe
“De board moet begrijpen wat de impact is van IoT op hun organisatie” CFO kan veel doen, zoals bij C&A. Die snapt het, en zet direct een andere CIO neer. Het moet echt van de top afkomen. De board moet begrijpen wat de impact is van de transformatie en van IoT op hun organisatie.” “Maar zelfs als de bestuurders begrijpen dat er iets moet gebeuren, hebben ze geen idee wat en hoe,” stelt een andere aanwezige. “Bij ons bestaat een groot perceptieverschil: de board geeft zichzelf nog 10 jaar. Ik denk meer aan twee. En mijn landenorganisatie zegt: ik heb nú al last van de veranderingen.” Adoptie van IoT IoT komt er aan, sterker nog: het is er al. Zijn bedrijven en instellingen er klaar voor? Een deelnemer antwoordt met een wedervraag: “Waren we in 1970 voorbereid op honderd tv-kanalen? Waren we twintig jaar geleden klaar voor mobiele telefonie? Kijk eens hoe we ons daaraan hebben aangepast, wat een impact dat heeft, en hoeveel gespreksstof dat nog steeds oplevert. We hebben leren omgaan met de securityrisico’s en daarbij zijn nieuwe inzichten en businessmodellen ontstaan dankzij alle nieuwe informatie die makkelijker kon worden gedeeld. Zo zal het ook met het IoT gaan.” Er leven nog vele ideeën over de toepassing van IoT en nieuwe businessmodellen. Maar het is van belang eerst te bepalen welke business driver je gaat adresseren. “Maak het zo concreet mogelijk. Anders komt het niet verder dan vage ideeën en evangeliserende analisten.”
14
Door Jaap Schekkerman en Jan Scholtes
Connected Enterprise
Privacy en Security:
Jan Scholtes
Hebben wij die nog wel in een hyperconnected wereld? ROTTERDAM – In de laatste
ook risico’s en uitdagingen.
liefst 7 triljoen apparaten met elkaar verbonden kunnen zijn, roept wel de vraag op of wij als samenleving niet security-eisen moeten stellen aan technologieën en apparaten. Bedrijven en overheden kunnen een deel van de risico’s verkleinen en de schade beperken door beter samen te werken en zelf eisen te stellen aan het gebruik ervan. Steeds meer organisaties doen dit al: zij delen informatie over risico’s en dreigingen en er zijn bepaalde sectoren waarin bedrijven samenwerken aan contingency-plannen of een gezamenlijke aanpak om kwetsbaarheden op te sporen en aan te pakken. Ook delen steeds meer organisaties hun security-informatie zodat het mogelijk wordt om kenmerken of patronen vroegtijdig te herkennen.
Als gevolg van innovatieve technologieën als cloud, mobile computing en het Internet of Things staat alles en iedereen tegenwoordig in verbinding met elkaar, de zogenaamde ‘hyperconnected world’. Onderzoekers denken dat rond 2025 meer dan 7 triljoen apparaten draadloos met elkaar zijn verbonden. Deze verbonden wereld zorgt voor economische en maatschappelijke groei, maar maakt organisaties ook kwetsbaar voor identiteitsdiefstal, cyberspionage en digitale oorlogsvoering.
Privacywetgeving Er bestaan grote verschillen tussen landen als het gaat om privacywetgeving. Zo kent de VS een bijna ‘laissez faire’ sectorspecifieke aanpak, gericht op een aantal specifieke gebieden van datamanagement (medische en financiële gegevens et cetera). In tegenstelling tot deze aanpak, maken Canada en de EU gebruik van een omnibus-regeling voor gegevensbescherming; hierbij wordt alle persoonsgerelateerde data gereguleerd. Veel nationale overheden en grote handelsblokken zoals de EU herzien bestaande overeenkomsten wat betreft het delen van data
twintig jaar heeft de technologische revolutie een enorme impact gehad op hoe we leven en werken. Het heeft ons nieuwe kansen voor innovatie en verbeterde productiviteit gebracht, maar
De uitdaging is dus om deze nieuwe technologieën aan de ene kant te omarmen, en aan de andere kant de hieraan verbonden risico´s op het gebied van databescherming en privacywetgeving te managen. Deze nieuwe technologieën zijn echter niet ontworpen met de gedachte dat zij ook misbruikt kunnen worden. De snelheid waarmee zij ontworpen worden, zorgt ervoor dat er onvoldoende aandacht is voor het security- en privacyaspect. De wetenschap dat rond 2025 maar
Jaap Schekkerman
“Rond 2025 zijn meer dan 7 triljoen apparaten draadloos met elkaar verbonden” met andere landen zoals de VS, met als doel het garanderen van dezelfde mate van databescherming - de huidige databescherming in de EU is nog gebaseerd op een richtlijn uit 1995. De nationale ministers van alle EUlanden kijken momenteel naar het voorstel van de Europese Commissie, dat op enkele kleine aanpassingen na in maart 2014 is aangenomen door het Europees Parlement. De verwachting is dat er dit jaar uitsluitsel komt over een nieuwe Europese privacywet. Onze toenemende afhankelijkheid van connectiviteit zorgt ervoor dat gegevensbescherming een kritieke factor is voor ons allemaal. De vraag is of de nieuwe Europese regelgeving voldoende waarborgen biedt in een ‘hyperconnected wereld’ en wat wij er zelf als samenleving aan kunnen doen. Geen enkele regelgeving of samenleving kan gegevensbescherming en privacy-issues alléén oplossen. We moeten kiezen voor een samenwerkende multi-stakeholder aanpak, zelfs als dit betekent dat concurrenten in een bepaalde branche of land met een andere visie op privacy moeten samenwerken om een stabiele en veilige omgeving te creëren. Jaap Schekkerman is Director Global Cyber Security bij CGI
Databeveiliging hoog op de agenda
eDiscovery startpunt voor een efficiënt cybersecuritybeleid AMSTERDAM – Bij de combinatie ‘beveiliging’ en ‘datacenter’ denkt iedereen al gauw aan bescherming tegen bedreigingen van buitenaf. Aan hackers die het voorzien hebben op de kostbare bedrijfsgeheimen die zijn opgeslagen op de servers in die datacenters. Aan gevoelige informatie in digitale archieven die het bedrijf ernstig kan schaden wanneer deze naar buiten zou komen. Veel mensen gaan echter voorbij aan de gevaren die in de data zelf op de loer liggen. Want in die data, opgeslagen op soms dramatisch verouderde servers, huist vaak een enorme hoeveelheid gevoelige informatie die daar helemaal niet had hoeven liggen. En een vijandelijke data-inbreuk is dan niet de enige bedreiging. Ook een externe toezichthouder kan een bedrijf onverhoopt dwingen bepaalde informatie te overhandigen. Databeveiliging staat bij bedrijven hoog op de agenda. Voor de meeste organisaties zijn het beschermen van intellectueel eigendom, bedrijfsgevoelige informatie en persoonsgegevens de belangrijkste drijfveren om zich te verdiepen in een efficiënt cybersecuritybeleid. Terecht, want er staat meer op het
Praktische tips om uw data te beveiligen:
spel dan verlies van kostbare informatie en mogelijke boetes van toezichthouders. Ook het imago van de organisatie en zelfs de omzet lopen gevaar. Koppen als ‘Klantgegevens van bedrijf X liggen op straat’ doen het goed in de media en de consument lijkt bereid om actie te ondernemen. ‘Privacy is het waarom, technologie het hoe’ Het toenemende volume van data en de complexiteit van het formaat van die data verhogen de druk op de verantwoordelijke professionals om hun activiteiten te automatiseren. Een doelgerichte aanpak voor de naleving van de wetgeving voor privacy- en gegevensbescherming en het veilig stellen van bedrijfskritische informatie, begint met het lokaliseren en identificeren van de informatie die moet worden beveiligd. Aangezien niemand de mogelijkheid heeft om alle aanwezige gegevens te analyseren, is het noodzakelijk om proactieve eDiscoveryoplossingen in te zetten waarmee organisaties kunnen vaststellen welke gegevens ertoe doen. ‘Privacy is the why, technology is the how’, zei iemand laatst op een congres over dit onderwerp. Prof. dr. ir. Jan Scholtes is CSO van ZyLAB
Zo weet u wat u waar opslaat en worden incidenten die kunnen leiden tot ongewenste of ongeautoriseerde openbaarmaking van persoonsgegevens, vroegtijdig opgespoord.
• De wet vereist niet dat ieder stukje papier of elk elektronisch bestand moet worden bewaard. Begin daarom met het grondig maar verantwoord opschonen van data in verouderde systemen (legacy data). Zorg daarna voor het ordenen van documenten volgens een juridisch verantwoord archiveringsplan en de invoering van een strikt beleid voor retentie en vernietiging.
• Maak een noodplan (incident response plan) om snel te kunnen reageren op mogelijke lekken of cyber aanvallen. Stel een incident response team op met duidelijke rolverdeling en verantwoordelijkheden. Combineer in dit team professionals met zowel technologische als juridische expertise.
• Technologie is onmisbaar bij het beheren van big data. De grootste uitdaging bestaat erin de gevoelige informatie te lokaliseren voordat u deze ongezien opslaat. Gebruik technologie voor het vooraf doorzoeken van big data, inclusief audio, multimedia en visuele bestanden om PII te identificeren en lokaliseren.
• Mocht het toch fout gaan, gebruik dan wederom technologie. De meeste tijd gaat immers zitten in de cruciale onderzoeksfase: wat is er gebeurd? Welke data is erbij betrokken? Wat stond daarin? Om de situatie snel en adequaat te kunnen beoordelen, is forensische en dataclassificatie-technologie onmisbaar.
Door onze redactie
BoardroomIT
Datacenters
Het datacenter is de ‘machinekamer’ die trends zoals cloud, Internet of Things en big data mogelijk maakt. De data die door mensen en machines wordt gegenereerd, wordt hier verwerkt, opgeslagen en verrijkt. Iedere wijziging in de machinekamer heeft dan ook direct
invloed op de informatievoorziening van een organisatie. Het is de vraag of het topmanagement van organisaties zich voldoende realiseert wat het belang van het datacenter is en dat datacenters, ondanks alle standaardisatie, niet één pot nat zijn.
Europees onderzoek Opinion Matters:
‘Dagelijkse werk lijdt onder datacenterplanning’ VUGHT – In 2014 deed Opinion Matters een onderzoek onder 700 IT- en data centermanagers in België,
X
Denemarken, Duitsland,
44 procent vindt security de grootste belemmering voor verandering, daarmee kosten, ongemakken, contracten en regelgeving ver achter zich latend. Opnieuw zijn de Duitse managers het meest bevreesd voor security, dit keer in relatie tot change. Het weegt zelfs zo zwaar dat ze daarmee het gemiddelde flink omhoog trekken; de anderen vinden vooral de kosten een hindernis voor verandering.
Frankrijk, Nederland, de UK en Zwitserland. Meest in het oog springend zijn de vele hoofdbrekens die de data centerplanning en security de
Virussen in het netwerk vormen de grootste zorg van de Britse en Duitse IT-managers, voor de andere respondenten zijn dat vooral externe hacks. Rampen zoals brand, overstroming en aardbevingen, worden nauwelijks als bedreiging gezien.
ondervraagden bezorgt – terwijl ze tegelijkertijd een rotsvast vertrouwen in hebben dat hun aanpak de juiste is.
Vertrouwensparadox Uit het onderzoek blijkt dat er onder de Europese IT-managers een ‘vertrouwensparadox’ bestaat. Ondanks dat ze zich zo zorgen maken over de planning van hun datacenter, dat het hun dagelijkse functioneren beïnvloedt, hebben ze vertrouwen in hun strategie. Terwijl 21 procent van de respondenten zich het hoofd breekt hoe hun colocatie in de pas blijft lopen met de businessbehoefte, heeft 79 procent er het volste vertrouwen in dat alles goed komt. Dat is in het licht van alle geuite zorgen over druk, complexiteit en security een opvallende uitkomst. De Duitse (93 procent) en Britse (90 procent) IT-managers steken daarbij met kop en schouders
De verantwoordelijken voor de datacenterplanning staan onder grote druk. Meer dan driekwart van de Europese datacentermanagers meldt dat de capaciteit van hun datacenter in 2014 is gegroeid en ze verwachten dat de groei in 2015 zich onverminderd zal voortzetten. Dat geeft managers veel hoofdbrekens: meer dan de helft zegt daardoor gebukt te gaan onder zorgen. De Zwitserse managers het meest: ze geven allen aan zich zorgen te maken; meer dan driekwart maakt zich zelfs ernstige zorgen. Het is goed om te
“64 procent vindt security de belangrijkste component van datacenterstrategie” weten dat de Nederlanders zich het minst zorgen maken, volgens het onderzoek. 90 procent van de IT-managers maakt zich zó veel zorgen om de planning van zijn datacenter, dat zijn dagelijkse werk daar onder lijdt. Dat blijkt uit een onderzoek onder 700 Europese IT- en datacentermanagers dat Opinion Matters uitvoerde in opdracht van Colt. Meer dan de helft van de respondenten geeft aan dat ze meer tijd besteden aan de planning van hun datacenterstrategie dan eigenlijk zou moeten, 22 procent maakt zich
den ziet optimale security en betrouwbaarheid de komende 2 jaar als belangrijkste taken bij het ondersteunen van de business doelstellingen. 70 procent van de Duitse IT-managers noemt alleen security. Ook de Denen en de Fransen vinden beveiliging het zwaarst wegen; de Belgen, Nederlanders en Britten (samen met flexibiliteit) benadrukken de betrouwbaarheid. De Zwitsers vinden risicobeperking het belangrijkst. 36 procent van alle ondervraagden vindt security de grootste risicofactor. Dat is iets meer dan de twee andere genoemde aspecten samen, te weten beschikbaarheid (14 procent) en operationele kwaliteit (14 procent). Security houdt vooral de Duitse managers bezig: met 54 procent hadden ze veruit de hoogste score. Andere, minder genoemde zorgen waren: dataprotectie, capaciteit, datalocatie en carrier beschikbaarheid.
meer zorgen dan hen lief is en 19 procent zegt dat de zorgen ze minder productiever maken. De Duitse managers zeggen de impact het meest te voelen, terwijl ook hier de Nederlanders het laagst scoren. Complexiteit Het plannen van een datacenterstrategie is een ingewikkelde materie, vindt het merendeel van de respondenten; de Duitse, Franse en Zwitserse managers voorop. Daartegenover zegt de helft van de Nederlanders dat hun colocatie-strategie helemaal niet zo complex is. De gecompliceerdheid bemoeilijkt uitbreiding van het datacenter. Ongeveer een derde van de datacentermanagers zag zich geplaatst voor grote uitdagingen op het gebied van regelgeving en technische migratie bij de uitwijk naar een datacenter over de grens. De Belgische, Deense, Franse en Duitse ITmanagers noemen de beperkende en onbekende wet- en regelgeving, de Nederlanders en de Britten misten vooral bekendheid met de lokale markten. De Zwitsers zagen zich
vooral geconfronteerd met slechte connectiviteit over de landsgrenzen. Ook problemen met leverancierscontracten vergroten de complexiteit, zo geeft twee derde van de managers aan; de Zwitsers spannen de kroon met 93 procent, ook hier scoren de Nederlanders het laagst met 43 procent. In het algemeen geldt dat de starheid van de dienstverlening voor de meeste problemen zorgt, op de voet gevolgd door de inflexibele locatie en slechte SLA’s, inflexibele schaalbaarheid en de looptijd van het contract. Per land zijn er enkele accentverschillen. Security, risicofactor #1 Beveiliging geeft de Europese IT-managers de meeste kopzorgen: 64 procent vindt security de belangrijkste component van datacenterstrategie, 33 procent noemt securityaspecten in relatie tot cloudproviders. Opvallend is dat de Duitse respondenten in dit kader ook stroomvoorziening als belangrijke risicofactor beschouwen. Iets meer dan de helft van alle ondervraag-
“De Zwitsers zien zich geconfronteerd met slechte connectiviteit over de landsgrenzen” boven de anderen uit. Slechts de Zwitsers zijn bescheiden, of misschien wel gewoon realistisch: met 61 procent sluiten zij de rij. Tot besluit citeren we een van de Nederlandse respondenten, die op de vraag wat zijn grootste zorg rond de planning van zijn datacenterstrategie was, antwoordde: “Datacenterplanning zou geen zorgwekkend proces moeten zijn. En hoeft dat ook helemaal niet te zijn.”
16
Door Martijn ten Kate en Onno Louwen
Datacenterplanning
Nederland digitale mainport van Europa
Ligt de toekomst van datacenters boven NAP? HENGELO – Previder hield onlangs een bijeenkomst voor datacenter-consultants om de ontwikkelingen in de branche te bespreken. Stijn Grove, directeur van de Dutch Datacenter Association (DDA), en Eric Vredeveldt, directeur van Previder, discussieerden met de aanwezigen over vragen als ‘bestaat er een ideale locatie voor datacenters?’ en ‘is er een businesscase voor duurzame datacenterdiensten?’ In onderzoek van Deloitte over ‘Digitale Infrastructuur in Nederland’1 wordt ons land gepositioneerd als één van de koplopers met een snelgroeiende digitale infrastructuur. Door de aanzienlijke bijdrage die dit levert aan de interneteconomie mag het met recht de derde mainport van Nederland genoemd worden. De vraag naar datacenterdiensten uit het bedrijfsleven groeit, maar op dit moment is nog veel vloerruimte in datacenters beschikbaar. In tegenstelling tot de VS blijken nog relatief veel Nederlandse bedrijven een eigen datacenter te hebben. De verwachting is echter dat dit de komende jaren sterk zal gaan veranderen. Google kiest voor Nederland Bedrijven zien de ligging van een datacenter ten opzichte van de Amsterdam Internet Exchange (AMS-IX) vaak als de heilige graal. Maar is dat wel terecht? Een datacenter in de randstad kan soms lagere responstijden bieden, maar hoeveel verschil maakt het als een datacenter honderd of meer kilometer verderop ligt? Is dit vooral marketing of echt op harde feiten gebaseerd? De aanwezige consultants stellen dat er zeker
verschil is, maar dat die paar milliseconden voor de meeste bedrijven te verwaarlozen zijn. Voor organisaties in de financiële sector of grote internationale organisaties is het te verantwoorden, maar de meeste bedrijven kunnen hun kosten aanzienlijk reduceren met een datacenter buiten de randstad. Daarnaast is de ligging boven NAP voor sommige internationale bedrijven een eis. Als voorbeeld wordt genoemd dat Google vorig jaar 600 miljoen investeerde in de bouw van een enorm datacenter in Eemshaven. Relatief ver van de AMS-IX, maar boven NAP en dichtbij een knooppunt waar elf van de vijftien internetkabels tussen Europa en de VS aan land komen. Big data en IoT: trends of hypes? Naar verwachting zal de vraag naar datacenterdiensten de komende jaren doorzetten door trends als cloud computing, big data, het Internet of Things (IoT) en SaaS. Big data is nog grotendeels een hype, maar cloud en SaaS vertegenwoordigen zonder twijfel een enorme groeimarkt. Van bedrijfsapplicaties tot consumenten-apps staan we pas aan het begin van wat er in de
onder Twitter, Amazon, Facebook, Netflix en Akamai. Deze bedrijven leveren hiermee een aanzienlijke bijdrage aan de Nederlandse positie als digitale mainport van Europa. Nederlandse organisaties met een eigen datacenter die besluiten om deze diensten uit te besteden, kunnen hiermee hun ITkosten reduceren en tegelijk de Nederlandse interneteconomie stimuleren.
nabije toekomst vanuit het datacenter geleverd gaat worden. Voor het afnemen van hosting geldt dat bedrijven de prijs steeds belangrijker vinden dan locatie. Aanvullende dienstverlening door datacenters kan doorslaggevend zijn voor het maken van een keuze, maar ook zaken als duurzaam-
“De meeste bedrijven kunnen hun kosten aanzienlijk reduceren met een datacenter buiten de randstad”
Onno Louwen is journalist 1 Onderzoek ‘Digitale Infrastructuur in Nederland’: www.digitale-infrastructuur.nl
heid zijn een opkomend thema, zowel vanuit een MVO-gedachte als voor kostenreductie. De top van de internettechnologiebedrijven worden al vanuit Nederland gehost, waar-
Virtuele datacenters zijn onmisbaar voor Nederland Innovatieland Door Martijn ten Kate SCHIPHOL-RIJK – ‘In The Dutch Mountains’, was ooit dé wereldhit van popgroep The Nits. Een cryptische titel, want Nederland kent helemaal geen bergen. Net zoals Nederland geen Silicon Valley kent waar alle innovatieve bedrijven samenklonteren. Dat wil echter niet zeggen dat er in ons land geen vruchtbare voedingsbodem is voor innovatie. Integendeel. Wat te denken van Eindhoven Valley, Energy Valley, Health Valley, Food Valley, Immuno Valley, de Dutch Game Valley en Game Garden Breda? Binnen al deze innovatieclusters spelen big data, sensortechnologie, Internet of Things en ‘last but not least’ (virtuele) datacenters steeds vaker een cruciale, onmisbare rol.
Martijn ten Kate
Zo is Noord-Holland hard op weg om dé biologische provincie van Nederland te worden. De regio rond Harenkarspel moet uitgroeien tot BioValley, dé biologische groentetuin van Nederland. En het gebied tussen Enkhuizen en Warmenhuizen wordt
al de Seed Valley genoemd. Hier zijn tientallen bedrijven gevestigd die zijn gespecialiseerd in de veredeling, productie en verkoop van hoogwaardige zaden. De vraag naar mais en sojabonen stijgt wereldwijd explosief, omdat de wereldbevolking toeneemt tot 9,6 miljard mensen in 2050. De enthousiaste CEO Jan Willem Breukink van Incotec mocht in DWDD uitleggen waarom een zak veredelde tomatenzaadjes 100.000 euro waard is. De kwaliteit van elk zaadje wordt namelijk beoordeeld aan de hand van een röntgenfoto. Kwaliteitsbewaking in de voedselketen is bittere noodzaak om de productiviteit verder te verhogen. Gegevens over de kwaliteit van de bodem, irrigatie, gewasgroei, het weer en de bemesting worden op de proefvelden in Nederland en op exotische plekken in het buitenland verzameld en verstuurd. Enorme hoeveelheden gegevens die worden geanalyseerd in laboratoria en vervolgens bewaard moeten worden: big data en Internet of Things in optima forma. IoT vraagt om een gedistribueerde data-
centermanagement-aanpak. Analisten van Gartner raden organisaties aan om ICT-systemen te bouwen op meerdere locaties, omdat verwerking op één gecentraliseerde locatie technisch en economisch niet haalbaar zal zijn.1 In die gedistribueerde (virtuele) datacenters zo dicht mogelijk bij de bron wordt de big data met minimale latency verwerkt en opgeslagen. Matthew Finnie, CTO bij Interoute, is van mening dat ‘Machine to Machine Communication’ de belangrijkste motor wordt voor cloud computing in de komende jaren. 2 De revolutie die IoT teweeg brengt, dwingt bedrijven om ICT-architecturen te bouwen die dit kunnen ondersteunen. Interoute gelooft in gedistribueerde cloud computing met virtuele datacenters, vlakbij de bron, de markt of de afnemers. Martijn ten Kate is Country Manager bij Interoute 1
http://www.gartner.com/newsroom/id/2684915
http://venturebeatcom/2014/12/24/%E2%80% 8Bevolved-understanding-what-2015-holds-forthe-cloud/
2
Door onze redactie
Insourcing
17
Bol.com koos na 7 jaar voor insourcing datacenter
Eigen datacenter maakt agile UTRECHT – Ruim 7 jaar besteedde online megastore bol.com de weboperations inclusief infrastructuurmanagement, databasebeheer en middleware uit aan een derde partij. Begin 2013 besloot het bedrijf alles te gaan insourcen en zelf een datacenter te ontwerpen en in te richten, waarbij alleen de housing is uitbesteed. Wat waren de afwegingen die aan die beslissing ten grondslag liggen? Directeur IT Jurrie van Rooijen legt uit. het concept housing maakt ons onafhankelijker en autonomer. En dus agile.” Het zelf inrichten van een in-house datacenter is nooit overwogen. “Het vergt niet alleen een flinke investering, een datacenterfacility bouwen en runnen is echt een vak apart. De stroomvoorziening, de koeling – daar heb je specialisten voor nodig,” weet Van Rooijen. “En we hebben er de schaalgrootte niet voor om dat lonend te kunnen doen.”
“Bol.com groeit ontzettend hard. We zijn gaan beseffen dat diepgaande kennis van onze infrastructuur, middleware en databases voor ons essentieel is om de kosten onder controle te kunnen houden. En we willen continu snel en flexibel kunnen innoveren en dat gebeurt in 90 procent van de gevallen via IT,” begint Van Rooijen. “Big data speelt een hoofdrol – we beschikken over enorme datavolumes. Alleen al de catalogus bevat ruim 9 miljoen producten, en we hebben meer dan 5 miljoen klanten die we ook nog eens gepersonaliseerd willen helpen. In dat spel is bij softwareontwikkeling kennis van de eigen infrastructuur en middleware van groot belang. Alles bij elkaar heeft ons dat doen besluiten die zo strategische keten te gaan insourcen. We zijn er van overtuigd dat we daarmee voor onze klanten het verschil kunnen maken.”
Experimenteren met werkwijze IT is voor bol.com een differentiator waar het bedrijf dus volledige greep op wil houden. Alles draait om innovatie, reden waarom Van Rooijen geen contracten van 3 jaar of langer kan sluiten. Veel en snelle innovaties impliceren ook voortdurende verandering in wat hij noemt ‘ways of working’. “We zijn meer en meer volgens DevOps aan het werken. Dat betekent dat onze developmentteams ook run-verantwoordelijkheid krijgen. ‘You build it, you run it,’ dat is het motto. Die keuzevrijheid heb je niet als er een derde partij bij betrokken is. Dan liggen er dikke contracten op tafel waarin precies staat beschreven wat de rechten en de verantwoordelijkheden van de klant en de service provider zijn, daar zit je aan vast. Wij willen juist kunnen experimenteren met andere manieren van werken, waarbij ontwikkelteams heel veel verantwoordelijkheden krijgen op productie.”
“Bij outsourcing zijn vooral de changes duur. En wij innoveren constant” Housing Het datacenter is gehuisvest bij Telecity. De gehele IT-stack, inclusief de software, is door bol.com zelf ontworpen en gebouwd, en wordt ook door bol.com zelf beheerd. “In de praktijk moeten we vaak zelf onze software ontwikkelen, omdat we qua businessmodel voorlopen op de markt. Er zijn dus vaak geen oplossingen voorhanden die kunnen bieden wat we nodig hebben. Met onze eigen software kunnen we het verschil maken naar de klant. Qua hardware en besturingssystemen is alles gestandaardiseerd om de kosten zo laag mogelijk te maken. Maar aan de softwarekant wil je zo goed mogelijk de businessprocessen enablen en ondersteunen.” Outsourcen is op zich een prima model, vindt Van Rooijen, vooral voor commodity’s en applicaties waar weinig changes op plaatsvinden. “Dan kun je goede afspraken maken over de kosten en over meerwerk. Bij ons is verandering een constante factor, en dan wordt dat lastig; op het moment dat je een contract afsluit met een derde partij is het al weer verouderd, omdat de business zich razendsnel ontwikkelt en je nieuwe inzichten hebt gekregen. Het outsourcemodel is absoluut niet agile.” Changes zijn duur De kosten van housing wegen niet op tegen die van outsourcing. “Omdat er immers geen partij meer tussen zit die ook zijn marges moet maken. En je hebt in je eigen organisatie geen mensen nodig die constant grip op de service provider houden; bij ons zijn de lijntjes kort en dat houdt de kostprijs laag,” zegt Van Rooijen. “Daar komt nog bij dat bij traditionele outsourcing vooral
Jurrie van Rooijen
de changes duur zijn. De meeste providers bieden hun basisdiensten scherp aan, maar de klant moet flink zijn portemonnee trekken voor de changes. Innovatie zit in ons DNA en zorgt voor een stortvloed aan changes. Dat maakt outsourcen voor ons duur en dus onaantrekkelijk.” De meeste contracten met serviceproviders hebben een looptijd tussen de drie en vijf jaar. Bij elke wijziging in de dienstverlening volgen opnieuw onderhandelingen over de voorwaarden en de prijs. Een vendor lockin, vindt hij, omdat je als klant in feite geen keuze meer hebt. “Nu hebben we een housingcontract voor een langere periode. Bovendien is migreren naar een andere locatie of dienstverlener
“Kennis over onze zo strategische IT kunnen en mogen we niet outsourcen” relatief gemakkelijk omdat we de bestaande configuratie simpelweg zouden kunnen kopiëren. Niet dat daar sprake van is, we zijn zeer tevreden met de huidige situatie, maar
Greep op de deliveryketen “Wij houden krachtig greep op de gehele application development chain, onder andere door stevig in te zetten op monitoring en alerting, een heel belangrijk specialisme. We hebben daarvoor een aantal experts in huis.” Ze maken deel uit van de ongeveer 200 medewerkers van de IT-afdeling van bol.com, waaronder architecten, ontwikkelaars, analisten, infrastructuur engineers en projectmanagers. Dat geeft aan hoe belangrijk IT is voor het bedrijf dat innovatie zo hoog in het vaandel heeft staan. Maar niet alles draait om IT: zeker ook om marketing en klantsupport - en natuurlijk logistiek, die zorgdraagt voor de aflevering van vele tienduizenden bestellingen per dag. Goede IT’ers die het verschil kunnen maken zijn moeilijk te krijgen, maar het lukt bol.com tot nu toe wel om vacatures in te vullen. “Goede mensen willen graag met andere goede mensen samenwerken. Het is een soort vliegwieleffect, waardoor andere goede mensen zich aandienen. We maken het werk ook aantrekkelijk door de verantwoordelijkheden heel laag in het bedrijf te beleggen, bij autonome teams. Het management is veel meer ondersteunend en de mensen in de teams hebben heel veel vrijheid om te innoveren. Dat spreekt professionals aan.” De kleine teams, tussen 3 en 8 mensen, werken dicht tegen de business aan. “Onze IT’ers begrijpen de businesscontext, onze businessmensen zijn IT-savvy. Dat zorgt voor perfecte alignment tussen business en IT. Mede daardoor is bol.com in staat snel te innoveren en een eigen datacenter te runnen”, besluit Jurrie van Rooijen.
18
Door Felix Speulman
Onderzoek
Overheden minimaliseren infrastructuur- en datacenterbeheer
Gartner ziet rol IT-organisaties overheid veranderen AMSTERDAM – Omdat leveranciers een steeds groter deel van de koek voor de publieke cloud in handen krijgen, is het zeer waarschijnlijk dat IT-organisaties bij overheden hun taak als aanbieder van infrastructuur en datacenterbeheerder langzaam gaan terugbrengen. Ze zullen in plaats daarvan als bemiddelaar gaan optreden van deze fundamentele dienstverlening en de IT-functie gaan oriënteren van ‘legacy first’ naar ‘digital first’, zo voorspelt Gartner op basis van een onderzoek. Overheden leunen nu nog zwaar op traditionele, verouderde technologieën en dit is een obstakel voor CIO’s die hun organisaties willen digitaliseren. Daarbij komt dat een aanzienlijke meerderheid bij hogere overheden te maken heeft met dalende budgetten. Volgens Gartner zal de vraag ‘waarom geen cloudoplossing?’ leidend worden in de planning van projecten voor vervanging van traditionele technologie. In de Verenigde Staten zou deze trend al zichtbaar zijn bij CIO’s op staatsniveau. “Door het beheer van en het voorzien in infrastructuur over te hevelen naar gecentraliseerde, gedeelde service-eenheden of betrouwbare commerciële aanbieders, kunnen CIO’s bij de overheid een voorbeeldfunctie verwerven en IT-managementtechnieken verbeteren en de Design for Change-mindset omarmen die essentieel is in het digitale tijdperk”, zegt Rick Howard, Research Director bij Gartner. “In betrekkelijk korte tijd is de ‘cloud’ van concept naar mogelijkheid naar betrouwbare keuze bewogen. Voor een kleine minderheid van overheids-CIO’s is het nu de eerste keuze wanneer zich een nieuw project aandient.”
Overheden staan open voor de cloud Terwijl IT-leveranciers cloudgebaseerde dienstenmodellen omarmen, staan overheidsdiensten steeds meer open voor oplossingen in de cloud binnen regionale of nationale grenzen. Dit laatste is hoofdzakelijk om redenen van abonnementskosten en de wendbaarheid van de organisatie. Vooral Australië, de Verenigde Staten en het Verenigd Koninkrijk hangen strategieën aan waarin de cloud bij projecten als eerste optie wordt benaderd. Ofschoon de openbaringen van Edward Snowden over de dataverzamelwoede van (vooral Amerikaanse en Britse) inlichtingendiensten IT-beslissers en CIO’s zorgen hebben gebaard, hebben in de praktijk maar heel weinig organisaties in Europa hun data bij cloud of hostingleveranciers in de VS teruggehaald, zo werd onlangs bekend. Grote aanbieders als Amazon en Microsoft bieden als antwoord op de ontwikkelingen ook ‘regionale clouds’ aan. “Met kosten, waarde en beveiliging als belangrijkste overwegingen zouden CIO’s bij de overheid moeten uitgaan van de aanna-
me dat de publieke cloud de voorkeursoptie verdient. En als het nodig is, kunnen ze een stap terugdoen naar opties in de cloud, of naar colocatie- of on-premise-opties die het beste aansluiten op hun bedrijfsomgeving”, aldus Howard. Voorspellende analytics Daarnaast liggen er kansen voor de verbetering van dienstverlening van overheden als deze gebruik gaan maken van ongestructureerde data, zoals die van multimedia en sociale media, zegt Gartner. Rapportage achteraf voor het sturen van beleid biedt steeds minder waarde. Overheids-CIO’s moeten mogelijkheden ontwikkelen om voorspellende analytics in te zetten en deze informatie te combineren met data-experimenten om de toekomst vorm te geven. Over het onderzoek
Gartner heeft voor dit onderzoek meer dan 2.800 CIO’s over de hele wereld geïnterviewd over onder andere hun prioriteiten inzake digitalisering. Het aandeel CIO’s bij overheden was 343.
Centrum kiest voor twin datacenter
Naturalis verhuist IT-infrastructuur LEIDEN – Naturalis Biodiversity Center in Leiden is een overeenkomst aangegaan voor datacommunicatie met The Datacenter Group. Vanwege uitbreidingsplannen – een samengaan met drie andere universitaire instituten – krijgt het centrum nieuwe huisvesting en daarin past uitbesteding van de ICT-infrastructuur. Met een rijksmuseum, academisch onderzoeksinstituut en erfgoedinstelling mag Naturalis zich tot de wereldtop in het natuurhistorisch domein rekenen. Dagelijks doen er honderden wetenschappers van het centrum onderzoek naar biodiversiteitsvraagstukken. De collectie van het museum – die jaarlijks door 300.000 mensen wordt bezocht – bestaat uit ruim 37 miljoen planten, dieren en fossielen. Daarnaast worden jaarlijks duizenden nieuwe soorten planten en dieren ontdekt en aan de collectie toegevoegd: in 2014 stond de teller op maar liefst 18.000. Daar komt nog bij dat Naturalis
samengaat met drie universitaire instituten, namelijk het Zoölogisch Museum Amsterdam en de twee vestigingen van het Nationaal Herbarium Nederland in Leiden en Wageningen. Al deze ontwikkelingen hebben Naturalis doen besluiten om tot nieuwbouw over te gaan. Met dit besluit is door de directie van het centrum ook de huidige IT-infrastructuur onder de loep genomen. Intern onderzoek wees uit dat het uitbesteden van de apparatuur de beste optie is. Na een openbare aanbesteding en een viertal inschrijvingen van aanbieders, is de keuze op The Datacenter Group gevallen. Naturalis heeft voor een twin datacenteroplossing gekozen – met Amsterdam als uitwijk – en gaat de verhuizing gefaseerd uitvoeren. De eerste servers zullen in het eerste kwartaal van dit jaar in de datacenters aangesloten worden. De ontsluiting wordt verzorgd door SURFnet, die het scala aan connectiviteitsoplossingen binnen de datacenters nog verder uitbreidt.
Door onze redactie Fotografie Roelof Pot
Infrastructuur
19
Kevin Leahy, Dimension Data:
‘Netwerk cruciaal voor succes van cloud’ Barneveld – Het is een wervelende tijd die hoge eisen stelt aan het aanpassingsvermogen van bedrijven en instellingen. Vooral op het gebied van IT. Het aanhouden van het bestaande aantal datacenters voor de totale IT-dienstverlening is niet langer wenselijk en eigenlijk onmogelijk. Het inkrimpen van de eigen datacenters en het betrekken van IT-diensten op basis van een consumptief model uit de cloud is een steeds populairdere vorm om de IT-dienstverlening te laten aansluiten bij alle wensen, eisen en mogelijkheden. Volgens Kevin Leahy, Group General Manager Data Center Business Unit bij Dimension Data, zijn drie zaken cruciaal om succesvol te zijn: het netwerk, de invoer van DevOps en standaardisering. De meeste gesprekken die Leahy met klanten voert, gaan over de toekomst van hun datacenter: wat draait er precies on-premise en hoe kan de dienstverlening worden verbeterd? “Ze onderzoeken nieuwe technologieën zoals converged en zelfs hyper-converged infrastructuren. Kun je het daarmee beter doen on-premise? Of moeten we toch naar de cloud? En zo ja, welk deel van ons ITlandschap moet dan de cloud in? Helaas wordt bij al die afwegingen vaak de meest cruciale succesfactor over het hoofd gezien: het netwerk.” Behoorlijk disrupting De meeste klanten willen hun eigen datacenterfaciliteiten inkrimpen, zowel in aantal – als dat van toepassing is – als in omvang. “Een eigen datacenter betekent hoge vaste kosten. Klanten zoeken naar manieren om die zo laag mogelijk te houden en waar mogelijke vaste kosten variabel te maken, door ze naar de cloud te brengen. Veel klanten vragen ons om advies welke IT-diensten in aanmerking komen om voor dat laatste in aanmerking te komen. Disaster Recovery is een perfect voorbeeld, omdat het mes aan twee kanten snijdt: het reduceert het eigen datacenter omdat veel
“Een eigen datacenter betekent hoge vaste kosten” zaken daarin niet meer nodig zijn, en Capex wordt Opex”, zegt Leahy. Hij noemt het buiten de muren van de onderneming brengen van IT ‘behoorlijk disrupting’. “Het vergt veel van organisaties. En er blijven altijd tegenstanders van cloud, vaak gevoed door angst en een oude mindset.” Leahy vertelt: “De CIO van een grote klant heeft als doelstelling om in 2018 de helft van zijn IT in de cloud te hebben. Het mag ook minder of meer zijn, dat luistert niet zo nauw, maar hij heeft zichzelf en de organisatie een doel gesteld. Op die manier kan hij de mensen omzeilen die zich tegen een gang naar de cloud blijven verzetten: vanaf het moment dat zijn directie de plannen goedkeurde, kan niemand uitbesteding naar de cloud meer tegenhouden.” Om zijn eigen datacenter te kunnen laten samenwerken met de cloud standaardiseerde de CIO naar datacenter Vblocks. Dimension Data standaardiseerde haar architectuur met dezelfde Vblocks, dezelfde images en dezelfde VM-standaarden. Dat werkte prima.
“Vervolgens vroeg de CIO ons om Disaster Recovery uit onze cloud op basis van een Opex-model. Dat is behoorlijk disrupting. En dat geldt ook voor Software-as-a-Service, de snelste manier om datacenters te consolideren. Dat vraagt van de organisatie om de businessprocessen aan te passen aan de service stack. Cloud drijft IT dus naar standaardisatie, waar we gewend geraakt zijn aan maatwerk. Disrupting.”
Kevin Leahy
Managed private cloud Op zoek naar passende oplossingen experimenteren organisaties met verschillende vormen van cloud. “Ik hoor wel eens discussies of een private cloud eigenlijk wel een cloud is. Ik denk dat het niet veel uitmaakt hoe je het noemt”, vindt Leahy. “Sommigen zeggen een eigen cloud te hebben gebouwd, die in feite niets meer blijkt te zijn dan een gevirtualiseerde omgeving. Als ze daarmee geholpen en tevreden zijn, mooi toch? Een verzekeraar bijvoorbeeld, draait op gevirtualiseerde servers met slechts één change per jaar. Ze bedienen alleen de eigen organisatie en hebben geen chargeback nodig. Dan is dat een goedkopere oplossing dan de ‘echte’ cloud.” Dimension Data levert ook managed private clouds on-premise als consumptief model. “In het algemeen zien we dat cloudgebruik elke zes maanden verdubbelt. We lopen dus weinig risico,” zegt Leahy. “Veel klanten houden van die aanpak, omdat de hamvraag bij private clouds is: waar realiseer je besparingen? Als je bedenkt dat het gebruik in het begin klein zal zijn kun je de kosten in lijn brengen met de geleverde business waarde. Dat consumptieve element is belangrijk onpremise. We zorgen bovendien dat de private cloud competatief blijft ten opzichte van andere vormen van cloud, door elke 6 weken nieuwe functionaliteit toe te voegen, iets dat onze klanten zelf niet zouden kunnen.” Next-generation datacenter Wat Gartner ‘Hybrid IT’ noemt, heet bij Dimension Data ‘next-generation datacenter.’ “Noem het hoe je wilt”, zegt Leahy. “ Als een organisatie een datacenter on-premise heeft, worden de resources gemanaged; IT uit de cloud gaat om het managen van gebruik. Zodra data en applicaties buiten de deur gaan moet bepaald worden wat waar heen gaat, wie waar toegang toe heeft, en – heel belangrijk – wanneer bepaalde diensten aan- of weer uitgeschakeld worden. Met dat laatste kan echt veel geld worden bespaard.” De kwaliteit van de dienstverlening is afhankelijk van de routering van de workloads. Het netwerk is de kritieke succesfactor in de totale infrastructuur, benadrukt hij. “Het vertrouwde netwerk dat niet buiten het datacenter on-premise kwam, wordt nu daarbuiten
uitgebreid tot een next-generation datacenter. Dat kunnen wij. We hebben zeer veel ervaring met Enterprise Architecture en de meeste onpremise technologieën. Onze concurrenten zijn goed in zowel de cloud als on-premise,
maar dat zijn de uiteinden van de connectie. Maar daar zit ook nog iets tussen, zeg maar de derde poot van de kruk: de verbindingen zelf. Daar zijn wij goed in. Dat is mede wat ons onderscheidt van de anderen.”
“In een datacenter on-premise worden de resources gemanaged; IT uit de cloud gaat om het managen van gebruik”
Het security-tij gekeerd Het leven was mooi toen iedereen veilig achter de firewall bleef. Maar nu, met alle externe verbindingen en mobiele devices, ligt elk datacenter continu onder vuur. “Onze clouddiensten zouden weinig voorstellen als ze niet veilig zijn. Het is de ‘sophistication of security’. De techniek is voor een IT-gebruiker niet meer bij te benen. Het tij is echt gekeerd: de meeste mensen begrijpen nu dat service providers beter in security zijn dan ze zelf ooit kunnen worden. Dimension Data is de grootste security system integrator ter wereld. Wat moet ik daar nog meer van zeggen?”, besluit Kevin Leahy.
20
Door Bert Stam en Paul Cornelisse
Connected Enterprise
IoT-as-a-service
Internet of Things is here to stay AMSTERDAM – In gesprekken met klanten hoor ik steeds vaker de vraag: “wat is precies het Internet of Things en wat moeten wij daarmee?” Het Internet of Things (IoT) is alles dat verbonden kan worden met het internet. Het aantal ‘things’ dat verbonden is, neemt snel toe. Dat varieert van smartphones en tablets tot auto’s en huishoudelijke apparatuur, zelfs huisdieren of tandenborstels kunnen (en zullen!) met internet worden verbonden. Al lang wordt er gesproken over het Internet of Things, maar de infrastructuur ervoor was er gewoonweg niet. Het IoT is here to stay. Bedrijven zullen ermee aan de slag moeten om niet achter te raken op de concurrentie en competitief voordeel te behalen door optimaal gebruik te maken van het Internet of Things. Tegenwoordig hebben we de mogelijkheid grote hoeveelheden data op te slaan en te analyseren. Hierdoor kunnen we de technische eisen van al deze ‘connected’ zaken ondersteunen. De eindeloze mogelijkheden en onbeperkte informatie dat het IoT biedt, zorgt voor een aanzienlijke impact op bedrijven. Outsourcen Mogelijkheden liggen er op het gebied van operationele efficiëntie. Dankzij het Internet of Things is het mogelijk gepersonaliseerde, op maat gemaakte ervaringen te creëren, die resulteren in betere klantervaringen, producten en diensten die realtime worden geleverd. Dit creëert tevens nieuwe inkomstenbronnen. Zo heeft surfmerk Rip Curl op een slimme manier ‘wearable’ technologie ingezet om bij te houden waar de beste golven om op
te surfen zijn en waar de surfers precies surfen. Deze technologie maakte betere klantenbinding en hogere omzetten mogelijk. MapMyFitness zet op een vergelijkbare manier apps als MapMyRun en MapMyRide in om sporters te helpen bij het bijhouden van hun activiteiten. Van mobiele telefoons tot polsbandjes tot sensoren in T-shirts, MapMyFitness combineert mobiele apps met draagbare technologie om sporters te blijven verbazen.
“Mogelijkheden op het gebied van operationele efficiëntie” Hierdoor verandert het Internet of Things van een nice-to-have in een must-have. Organisaties moeten daarom investeren in expertise om hun IoT-zaken te beheren
Bert Stam
of het beheer daarvan te outsourcen naar gespecialiseerde partijen. Qua gebruik werkt het Internet of Things net als de cloud en SaaS-diensten die daarop draaien: mensen willen het gebruiken en hoeven niet te weten hoe het werkt. Het is de taak van organisaties zoals Rackspace de complexiteit van de cloud en allerlei IoT-diensten die daarop draaien uit handen te nemen zodat organisaties zich kunnen richten op waar zij goed in zijn.
IoT-partnerships zal ontstaan tussen consumenten en bedrijven met als resultaat: IoT-as-a-service. Standaard pakketten om complexiteit te reduceren. Of u nu werkt bij een slagerij of een multinational, het is belangrijk dat u begrijpt wat het Internet of Things u kan bieden en dat u in zee gaat met de juiste strategische partners zoals hardware- en softwareleveranciers en een goede hostingpartner die ervoor zorgen dat uw plannen effectief worden gerealiseerd.
IoT-as-a-Service De verwachting is dat er een aantal grote
Bert Stam is Regional Director CEMA bij Rackspace www.rackspace.nl.
Doe niet zo moeilijk met je ‘software defined’ Door Paul Cornelisse SCHIPHOL-RIJK – Niet zo heel lang geleden zag ik een man op tv aan wie werd gevraagd wat voor beroep hij had. De man zei: “Een bestuurlijke functie in de logistieke sector”. Hij was vrachtwagenchauffeur en lachte zelf het hardst om zijn creatieve woordgrap. En ik lach stiekem net zo hard om de kreet ‘software defined anything’. In de IT-wereld maken we de zaken graag groots en mooi. Veel bedrijven plakken de term ‘software defined’ voor hun product en de oh’s en ah’s zijn niet van de lucht. Dan zie ik weer Software Defined Hardware van HP, dan weer Software Defined Network van Citrix. Een regelrechte hype is geboren en iedereen buitelt weer over elkaar heen als het gaat om wie er het hardst mee kan koketteren.
“We willen de IT met z’n allen als roze wolk neerzetten”
We willen de IT met z’n allen als roze wolk neerzetten. Als een droomwereld waar we allemaal in mee-zweven. Social media, big data, cloud computing; het klinkt toch als een zonnig utopia, als het Beloofde Land? Nu de werkelijkheid. Datacenters zijn stenen muren, met betonnen vloeren, wat koeling links en rechts en een hoop ijzerwerk in de
vorm van computers. En wat doen ze, die huizen? Ze bieden de wereld computercapaciteit zodat de wereld met de computertechnologie kan werken. De wereld maakt er ook steeds meer gebruik van door het social media- en big datageweld dat er wordt opgeslagen. Vroeger liepen in die huizen mannen en vrouwen rond die al die apparatuur aan de praat hielden of ontstane problemen oplosten. Het laatste decennium komen we er steeds meer achter dat we die hardware in die betonnen blokken slimmer kunnen inzetten en meer kunnen automatiseren. En dat is dus ‘software defined’: dat je steeds meer handelingen die door mensen gedaan worden in zo’n center steeds meer invult met behulp van software-oplossingen en platforms, zodat er automatisch een signaal en een oplossing wordt geboden als een computer vastloopt. Ik werkte een paar jaar terug bij een IT-bedrijf in België en daar ging wel eens wat mis omdat zo’n man op het moment suprême even op de wc zat. Zei die beheerder: “Allez, ik moet ook weleens, nietwaar?” Dit soort problemen is opgelost door de hardware slimmer te gebruiken, te virtualiseren, strak te monitoren, de boel maximaal te automatiseren met minimale menselijke bezetting. En nu zeggen we met z’n allen wat voor een geweldige oplossingen we tegenwoordig hebben. Terwijl het niets
meer is dan een natuurlijke evolutie: de hardware slimmer, en het beheer intelligenter en meer geautomatiseerd inzetten. De hype geeft ook een verkeerd beeld. Alsof alles in de software zit, en dan het liefst in de cloud. Alsof we helemaal geen datacenters meer nodig hebben. Dat is een grove misvatting, want onder die romantische cloud zitten gewoon onze duizenden vierkante meters in Noordoost-Groningen of het NoordHollandse Middenmeer. Nu nog is dit een explosief groeiende markt van veel partijen, maar dat duurt niet lang meer. Slechts een paar ‘global players’ zullen de enorme race in expansie kunnen volgen waarbij alles draait om sneller, groter en goedkoper. Misschien zullen een paar kleine bedrijven overleven; zij die echt specifieke kennis gaan leveren en met lokale partijen op basis van ‘customer intimacy’ opereren. En de grote partijen stellen op hun beurt steeds hardere eisen aan computerleveranciers: de devices moeten op hun maat gesneden worden, waardoor zij nog grotere machtsbolwerken worden die er puur voor de massa zijn en dat betekent automatiseren, standaardiseren en de prijs omlaag. Dat doen ze in een ouderwets pand met veel ijzer en veel draadjes. Met je software defined anything! Paul Cornelisse is directeur bij benchmarking- en sourcingadviesorganisatie Metri Group.
DISCONNECTED
CONNECTED
CONNECT@SUCCESS We address our connected future needs with connected digital solutions. At Tech Mahindra, we specialize in information technology and digital transformation, providing consulting and business re-engineering solutions to 672 global enterprise and telecommunication customers. We are a USD 3.5 billion company with 98,000+ professionals, working across 51 countries. Connect with us through conversations, as we build a Connected World.
We are part of the USD 16.5 billion Mahindra Group that employs more than 200,000 people in over 100 countries. Mahindra operates in the key industries that drive economic growth, enjoying a leadership position in tractors, utility vehicles, information technology, financial services and vacation ownership.
[email protected]
www.facebook.com/techmahindra
www.twitter.com/tech_mahindra
www.linkedin.com/company/tech-mahindra
22
Door Jeroen de Coster
Realisatie
Cegeka bouwt energie-efficiënt datacenter in Geleen
Investeren in groei
VEENENDAAL – Op 10 april startte het Belgische ICT-bedrijf Cegeka met de bouw van een nieuw datacenter in het Nederlandse Sittard-Geleen, Zuid-Limburg. Dat datacenter zal het meest energie-efficiënte zijn in Nederland en zal het Tier III-label dragen. De investering in het nieuwe datacenter wordt gedaan door ICTroom, Europees datacenterspecialist uit Amsterdam. ICTroom draagt zorg voor het ontwerp en de realisatie. Cegeka is exclusief huurder en zal vanuit het datacenter onder andere outsourcing en Managed IT-Services leveren voor haar klanten. De bouw van een gloednieuw datacenter is niet evident. Maar mits de goede aanpak en de keuze voor een geschikte locatie levert het enkel voordelen op. De bouw van het datacenter in Geleen past dan ook helemaal in de Europese groeistrategie die Cegeka heeft uitgestippeld. In de digitale wereld
“In gesprekken met onze klanten voelen we de nood aan eigen lokale, sterk beveiligde datacenters” moeten ICT-systemen 24/7 beschikbaar zijn en beveiligd worden tegen cyberaanvallen. Dat is voor bedrijven een complexe aangelegenheid geworden, ook al hebben ze een eigen ICT-afdeling. Steeds meer bedrijven kiezen daarom voor clouddiensten. Dat leidt tot lagere investeringen in eigen ICT, men
heeft geen omkijk meer naar onderhoud of updates en betaalt meestal alleen voor de capaciteit die men gebruikt. Die kan dus eindeloos variëren. “Al van bij de oprichting in 1992 maken eigen datacenters deel uit van onze kernactiviteiten”, zegt André Knaepen, CEO van Cegeka Group. “Hierdoor zijn we meer dan een pure integrator van informaticatoepassingen. In gesprekken met onze klanten voelen we de nood aan eigen lokale, sterk beveiligde datacenters. Klanten willen hun gegevens in de cloud zetten, maar de controle behouden. Ze hebben die gegevens en systemen liever dichtbij staan. Daar spelen we op in met onze bestaande datacenters in België en Nederland met de bouw van het datacenter in Nederlands Limburg.” Momenteel heeft de Belgische ICT-leverancier drie eigen datacenters in Hasselt, Leuven en Veenendaal. Op termijn wil Cegeka enkel de twee modernste datacenters in Hasselt en Geleen overhouden, met beperkte activiteiten in Leuven. Op die manier kan het bedrijf zijn Europese uitbreiding beter ondersteunen. Cegeka heeft al verschillende klanten in Nederland. Voor hen is het een voordeel dat ze een datacenter dichter bij huis kunnen gebruiken. “Je bent beter af met twee grote gebouwen
dan met verschillende kleinere datacenters. Dat komt niet enkel het energieverbruik ten goede, maar ook de kosten voor telecommunicatie tussen de datacenters dalen”, zegt Luc Greefs, verantwoordelijk voor de datacenterstrategie bij Cegeka. Keuze voor strategische locatie De keuze voor de gemeente Sittard-Geleen is een weloverwogen keuze: dankzij een recente, internationale overname kreeg Cegeka er heel wat Nederlandse en Duitse klanten bij. Geleen is een strategische locatie om die klanten te bedienen. Het nieuwe datacenter moet ook op voldoende afstand van Hasselt liggen, zodat bij een ramp geen twee datacenters verloren gaan. De afstand mag ook niet te groot zijn, want ze worden synchroon gebruikt. “Als iemand iets opslaat in een applicatie, gebeurt dat zowel in Hasselt als in Geleen. Als de afstand te groot is, komt dat niet ten goede aan de snelheid van de toepassing”, aldus Greefs. Meer flexibiliteit en minimale verspilling “De laatste jaren zien we dat er een trend is naar meer flexibiliteit”, zegt Frank Brand, Associate Director van ICTroom Company. “Als we vandaag een datacenter bouwen, dan we-
ten we dat we het binnen enkele jaren moeten uitrusten met nieuwe technologieën zoals meer energiezuinige koelsystemen. Daarom zoeken we steeds naar modulaire systemen.” “ICTroom heeft met Cegeka het datacentrum opgebouwd op basis van de meest optimale total cost of ownership, waarbij de energiekosten de belangrijkste sleutel zijn geweest. Hierdoor is er minimale verspilling en komt vrijwel alle energie direct ten gunste van de IT-apparatuur. We gebruiken ook zonneenergie zodat er minder energie uit het elektriciteitsnet betrokken hoeft te worden. Dat doet Cegeka vandaag ook al in zijn Belgische datacenters. Het onderhoudsprogramma van ICTroom waarborgt dat deze energiedoelstellingen voor Cegeka geoptimaliseerd blijven.” Meest energie-efficiënte datacenter van Nederland Door die investeringen zal het nieuwe datacenter het meest energie-efficiënte zijn in Nederland. ICTroom en Cegeka hebben gekozen voor de meest efficiënte componenten inzake elektrische infrastructuur en koeling die momenteel beschikbaar zijn op de markt. Zo zal een redundante koelinstallatie het datacenter koelen met koude buitenlucht.
“Je bent beter af met twee grote gebouwen dan met verschillende kleinere datacenters” Hierdoor wordt het energieverbruik van de koelinstallatie met een factor zeven gereduceerd in vergelijking met klassieke koeling en is geen verontreiniging mogelijk in de IT-apparatuur. Het nieuwe datacenter zal het Tier III-label dragen. Dat betekent dat de technische infrastructuur volledig redundant is opgebouwd, waardoor elk onderdeel onderhoud kan gebeuren zonder impact op de IT-systemen. De meest kritieke schakels in de stroomvoorziening worden zelfs in een hogere redundantie uitgevoerd dan volgens de Tier III-topologie vereist is en zijn in hoge mate geautomatiseerd en beveiligd door Siemens. De beschikbaarheid wordt hierdoor hoger dan 99,98 procent. Jeroen de Coster is journalist
24
Door onze redactie
Economie
Relatieve populariteit nauwelijks bedreigd
Nederland als datacentermagneet VUGHT – Waarom zetten al die buitenlandse bedrijven hun datacentra voor de Europese markt in Nederland neer? Waar komt ‘onze’ populariteit vandaan? Daar is een groot aantal redenen voor, die we hier op een rijtje zetten. Het leidt geen twijfel dat Nederland populair is als land om een datacentrum neer te zetten. Equinix, euNetworks, Global Crossing, Interoute, Level 3, Global Switch, Terremark, Digital Realty, SoftLayer, Ericsson, Colt Technology Services, TCN (Google), Cofely-GDF Suez, British Sky Broadcasting Group en vele anderen kozen voor Nederland. Waarom? De meest gehoorde redenen om Nederland als vestigingsland te kiezen zijn de gunstige geografische ligging, de goede verbindingen met de Verenigde Staten en Europa en de gunstige energieprijs. Ook het goede economische en het stabiele politieke klimaat, het voorhanden zijn van gekwalificeerd personeel, goede voorzieningen en het fiscaal voordelige vestigingsbeleid worden genoemd. Connectivity Heel belangrijk voor de populariteit van Nederland als vestigingsland voor datacenters is de connectivity, de rijkheid aan verbindingen hier te lande. Nederland is een van de best verbonden’ landen ter wereld. Elf van de vijftien onderwater internetkabels doen Nederland direct aan. Het grootste internetknooppunt ter wereld, Amsterdam Internet Exchange (AMS-IX), is een belangrijke factor in de connectivity. Het is een van de meest efficiënte data-exchanges ter wereld en de maximale capaciteit voor de doorvoer is groter dan die in Frankfurt en Londen. De tarieven heten concurrerend te zijn en meer dan zeventig datacarriers zijn op het Amsterdamse inter-
netknooppunt aangesloten. Net als vrijwel alle multinationals en bijna vierhonderd internet service providers. De kwaliteit van de Nederlandse datainfrastructuur is ook zeer goed. Vorig jaar was Nederland, na Finland, Singapore en Zweden het ‘most network-ready’ land van de wereld volgens het Global Information Technology Report (GITR) 2014, van INSEAD, het World Economic Forum en de
“De AMS-IX is een van de meest efficiënte data exchanges ter wereld” Cornell Universiteit. De aanwezigheid van veel andere datacenters in de directe omgeving is bovendien een duidelijke pré. Voorzieningen Het niveau van de aanwezige voorzieningen in Nederland is voor veel bedrijven een andere belangrijke reden om hier hun datacenter te vestigen. Vooral de betrouwbare en betaalbare stroomvoorziening wordt geroemd. Gemeten in het aantal stroomuitvallen per jaar en de duur van onderbrekin-
gen in stroomlevering is Nederland een van de betrouwbaarste landen in Europa. En ook de prijs van elektriciteit is in Nederland gunstig. Alleen in Estland, Bulgarije, Finland, Frankrijk en Roemenië ligt de prijs van stroom lager. Google heeft bijvoorbeeld expliciet gezegd dat de beschikbaarheid van een groot volume van goedkope elektriciteit voor de stroomvoorziening van datacenters een belangrijke reden was om voor de Eemshaven te kiezen. De beschikbaarheid van goedgeschoolde en productieve arbeidskrachten die hun talen spreken, wordt als positief ervaren. Dan gaat het overigens niet alleen om IT’ers en datacenteroperators, maar ook om bouwkundigen, elektrotechnici, facilitaire en cateringmedewerkers. De goed ontwikkelde logistieke infrastructuur in Nederland valt bij buitenlandse bedrijven ook in de smaak. Denk aan het wegennet, openbaar vervoer en waterwegen, havens en vliegvelden. Wat ook tot de voorzieningen gerekend kan worden, zijn de relatief gunstige wetten en regels die in Nederland gelden voor datacentra. Zo vallen datacenters hier niet automatisch onder de Telecommunicatiewet, wat in sommige andere landen wel zo is. Ook gelden hier beperkingen voor het transport van persoonsgebonden data over de grenzen heen, bovenop de Europese regelgeving. Dat is vooral van belang voor Amerikaanse bedrijven die de Nederlandse markt willen bedienen. Klimaat Het gunstige economisch klimaat in Nederland wordt door de meeste bedrijven als de belangrijkste reden genoemd om voor Nederland te kiezen. Volgens het IMF (Internationaal Monetair Fonds, 2013) is de Nederlandse economie de 17e van de wereld in omvang, net boven Turkije, net onder Indonesië. Gerekend in GDP per capita is Nederland de vijfde economie van Europa.
Naar schatting hebben meer dan 400 Noord-Amerikaanse bedrijven hun Europese hoofdkantoren in Nederland gevestigd. De Nederlandse belastingtarieven voor bedrijven behoren tot een van de laagste van Europa. De progressieve belastingstructuur voor bedrijven is aantrekkelijk voor investeerders, ook al staat de deelnemingsvrijstelling onder druk. Daar komt nog bij dat innovatieve bedrijven en ondernemers in aanmerking komen voor extra belastingverlaging. Datacenters die energiebesparende technieken toepassen of duurzame energie gebruiken, komen in aanmerking voor de Energie Investeringsaftrek (EIA). Die bedrijven kunnen 41,5% van de investeringskosten aftrekken van de fiscale winst, bovenop de gebruikelijke afschrijving. Veel bedrijven ervaren dat wet- en regelgeving in Nederland minder stringent wordt toegepast vergeleken met andere Europese landen. Niet alleen het belastingklimaat in Nederland is gunstig, ook het meteorologische klimaat is gunstig voor datacenters. De gemiddelde buitentemperatuur komt in Nederland zelden boven de 27 °C, de normtemperatuur voor datacenters. Dat maakt het gebruik van mechanische koeling minder duur. In de Lage Landen zijn voldoende locaties boven de NAP beschikbaar, wat het overstromingsrisico reduceert. Het stabiele politieke klimaat in Nederland en de relatieve maatschappelijke rust zijn gunstige omstandigheden. Dat de focus in Nederland van oudsher op open internationale handel ligt, helpt ook mee. Van blijvende aard Een deel van de factoren die Nederland aantrekkelijk maken voor het vestigen van een datacentrum zijn van blijvende aard. In de geografische ligging, het meteorologische klimaat, de goede verbindingen en de aanwezigheid van datacenters zullen het komende decennium geen ingrijpende veranderingen optreden. Ook is de kans klein dat het niveau van de infrastructurele voorzieningen in Nederland scherp zal dalen. Er zijn ook factoren die Nederland maar beperkt beïnvloeden, zoals het economische en politieke klimaat. Wat de komende jaren wel kan veranderen is de gunstige energieprijs. Maar aangezien Nederland deel uitmaakt van een vrije internationale energiemarkt, ligt het niet voor de hand dat de prijs van energie in Nederland alleen scherp zal stijgen, ten guste van ons omringende landen. De arbeidsmarkt en de beschikbaarheid van het juiste hooggeschoolde personeel is een punt waar aandacht naar toe moet blijven gaan. Nederlandse onderwijsinstellingen doen er verstandig aan met hun onderwijsaanbod in te spelen op de behoeften in de datacenterwereld als het gaat om kennis en vaardigheden van medewerkers. Vooral als
“De kans dat de fiscale aantrekkelijkheid van Nederland binnen enkele jaren gaat afnemen is reëel” het om nieuwe technologieën in netwerken, opslag en beheer en as-a-service toepassingen gaat. Dan blijft het fiscaal voordelige vestigingsklimaat voor buitenlandse bedrijven over. De internationale kritiek op Nederland als belastingparadijs dat multinationale bedrijven faciliteert in belastingontduiking, werd steeds luider. Vanuit Europa neemt de druk op Nederland toe om maatregelen te nemen. De kans dat de fiscale aantrekkelijkheid van Nederland binnen enkele jaren gaat afnemen, is reëel.
Door Hotze Zijlstra
Informatietechnologie
25
Jeff Dodds, CEO Tele2 Nederland
Disruptie met een doel Diemen – Jeff Dodds verruilde in het voorjaar van 2014 Virgin Media voor Tele2 Nederland. Zijn ervaring en focus op commerciële strategie, klantervaring, marketing en innovatie zet hij in om samen met zijn team de Nederlandse markt verder te veroveren. Informatietechnologie is daarbij volgens de oud-CMO zowel enabler als onderscheidend kenmerk. Je was CMO bij Virgin Media. In hoeverre helpt die achtergrond jou binnen Tele2? “Beide bedrijven hebben de nodige overeenkomsten. Allebei opgericht door rasondernemers die de concurrentie wilden aangaan met de grote jongens door consumenten en businessklanten een beter alternatief te bieden voor de bestaande dienstverlening: goedkoper, sneller en flexibeler. Challengen zit in hun aard. Ze hoeven niet met alles de eersten te zijn, maar wel de besten door de klant de meeste toegevoegde waarde te bieden. Ik werk inmiddels een jaar bij Tele2 en voelde me vanaf het begin thuis.”
daging is een goede combinatie van marketing, communicatie, propositie en prijs.” Je hebt consumenten en zakelijke klanten meerdere malen in één adem genoemd. Is dat bewust? “Vanwege de verschillen in behoeften, focussen we binnen Tele2 op twee doelgroepen: consumenten en zakelijke klanten. En al zijn er duidelijke verschillen in behoeften, ook is er de nodige consistentie: iedereen de meeste waarde leveren voor z’n geld. De corporate markt is daarbij een stuk complexer, omdat klanten veelal zeer uiteenlopende producten en diensten afnemen: fixed, mobile, converged, IT-diensten, enzovoorts. De benadering en behoeften verschillen dus sterk. Doorgaans zijn zakelijke relaties vooral gefocust op betrouwbaarheid, integreerbaarheid en consistentie, minder op prijs.”
Wat zijn de belangrijkste verschillen qua bedrijfsvoering en cultuur? “Virgin Media heeft door de jaren heen kunnen groeien door overname en samenvoeging van diverse Britse kabel bedrijven. Dat betekent dat er veel legacy was qua systemen en netwerken. Die lappendeken legde een behoorlijke druk op het interne IT-team. Een van de grote verschillen met Tele2 is dat onze mobiele business helemaal vanaf de basis en daarmee vrij van legacy is opgebouwd. We hebben de licenties eind 2012 bemachtigd en zetten nu een compleet ‘state of the art LTE Advanced’ 4G-netwerk neer.”
Jullie hebben als Tele2 een duidelijke signatuur: jong, toegankelijk, flexibel, down-toearth, internationaal. Ook voor de zakelijke markt een belangrijke usp? “Het zijn waarden die zeker voor de consument heel belangrijk zijn. Ook veel corporates vinden het prachtig, omdat het de samenwerking verbetert en vergemakkelijkt. We zijn immers klein en wendbaar genoeg om in te kunnen spelen op specifieke wensen. Aan de andere kant: wanneer betrouwbaarheid voor jou het belangrijkste is, zul je niet zo snel de stap zetten van de traditionele spelers naar een nieuwe leverancier. Het interessante is dat we nu al werken voor de grootste bedrijven en instellingen op de Nederlandse markt: overheid, Nuon, KLM, ING, ABN Amro. Zij waarderen ons omdat we flexibel zijn, betrouwbaar en bereid om de service te leveren die zíj wensen.”
“CIO’s, CTO’s en CTIO’s zullen steeds strategischer rollen krijgen” Leidt jouw achtergrond in marketing tot een andere benadering van leiderschap? “Hoewel marketing op veel plaatsen in mijn functietitel zat, ben ik altijd vooral gefocust geweest op product en propositie. Traditionele marketing beperkt zich in mijn ogen te zeer tot reclame en communicatie, wat eigenlijk slechts een onderdeel was van mijn vorige banen. In mijn eerste jaar hier had marketing overigens bepaald niet de hoogste prioriteit. Ik stopte ruwweg zeventig procent van mijn tijd in het helpen neerzetten van een goed mobiel netwerk. Het belangrijkste was dat alle systemen werkten, om de klant zo goed mogelijk te kunnen bedienen. Nu de infrastructuur op orde is – we hebben inmiddels een dekking van 70 procent – verschuift de aandacht meer richting marketing.” Hoe zag de wisselwerking met IT-functie eruit gedurende het bouwen aan de 4Gpropositie? “Werk is doorgaans leuker en gemakkelijker als iedereen dezelfde energie en drive heeft om iets moois neer te zetten. Dat was binnen onze IT-afdeling sinds het bemachtigen van de licenties absoluut het geval. Niemand binnen Tele2 heeft de realisatie van het 4Gnetwerk vuriger gewild dan onze technische experts. Mijn rol lag vooral op het gebied van visie, strategie, sturing en het afwegen van eventuele opties. Ik moest zorgen dat
Jeff Dodds
uiteindelijk alle stukjes van de puzzel op hun plaats zouden vallen. Het was voor mij vanuit mijn vorige rol wel een interessante transitie. In plaats dat ik uitgedaagd werd door mijn baas, de CEO, moest ik ineens zelf kritische vragen stellen. Daarnaast, hoe hoger je in de organisatie zit, hoe minder hands-on je wordt. Het draait nu om de balans tussen strategie en executie.” Als challenger zijn jullie per definitie disruptief. Hoe uit zich dat ten aanzien van de Nederlandse markt? “Ik geloof sterk in disruptie. Het werkte voor Virgin en andere succesvolle bedrij ven, maar ook voor Tele2. Uitdagen en provoceren mag alleen geen doel op zichzelf worden. Disruptie heeft alleen zin
wanneer klanten en consumenten ervan profiteren. Als je dan kijkt naar de mobiele markt, dan is het cruciaal om te weten wat gebruikers echt belangrijk vinden. Daarbij gaat het om simpele dingen: goede dekking, betrouwbaarheid, snelheid, kwaliteit, extra features en services, en dit alles uiteraard tegen de juiste tarieven. Op al die punten kun je vervolgens disruptief proberen te zijn. De Nederlandse markt leent zich vanwege het gebrek aan echte concurrentie.” Verschilt de markt hier ten opzichte van andere regio’s? “Nederland is zeer competitief, maar qua markt niet het meest vooruitstrevend. De prijzen zijn hier ook hoger dan in de rest van Europa, en zal dat gaan veranderen. De uit-
Hoe spelen jullie in op veranderende wensen en behoeften bij klanten? “We hebben binnen Tele2 heel veel verstand van alle soorten telecomnetwerken, maar om ons te onderscheiden wordt informatie- en communicatietechnologie steeds belangrijker. De focus zal verschuiven van het uitnutten van netwerkkennis naar het leveragen van onze IT-kennis. Op basis van minder legacy moeten wij leaner en sneller kunnen leveren dan onze concurrenten. Richting onze klanten en hun IT-verantwoordelijken zullen we, nogmaals, vooral moeten samenwerken om zo effectief en efficiënt in te kunnen spelen op hun vragen. Begrijp me niet verkeerd: alhoewel maatwerk zeker mogelijk is, werken we daarbij zoveel mogelijk met bestaande, modulaire oplossingen.” Gaat Nederland op bestuursniveau wel op de juiste manier om met IT en digitale ontwikkelingen? “Het belang en draagvlak ervoor groeit snel. Tien jaar geleden waren IT en netwerken nog gedelegeerde en afgebakende onderwerpen, de voornaamste rol was ondersteuning. Inmiddels zijn het cruciale en onderscheidende factoren voor de bedrijfsvoering geworden: kun je als organisatie meekomen in de toekomst of niet. CIO’s, CTO’s en CTIO’s zullen daardoor steeds strategischer rollen krijgen. Slimme en succesvolle CEO’s zullen deze ontwikkeling op hun beurt omarmen.” Hotze Zijlstra is hoofdredacteur CIO Magazine & BaaS Magazine
Door Guus de Mari en onze redactie
Skills
27
War-for-Talent
Opleiden is passé HOUTEN – De afgelopen vijftien jaar is de complexiteit van IT en bedrijfsvoering toegenomen: er moet sneller en wendbaarder worden geopereerd en dit stelt hoge eisen aan personeel. Guus de Mari
We zien dat 20 procent minder tijd aan het opleiden van personeel wordt besteed. Bij mannen, nog steeds dominant in de IT, is dat zelfs 35 procent minder tijd volgens cijfers van het CBS. Daar staat tegenover dat het aantal intern bestede opleidingsuren met bijna een derde is gestegen. Het lijkt erop dat collega’s elkaar opleiden, in plaats van mensen naar een instituut te zenden. Is training ‘on the job’ de standaard geworden? Het is bijzonder te zien hoe medewerkers hun collega’s de kennis en capaciteiten toedelen die nodig zijn om op te leiden. Hoe blijft die trainende collega zelf op de hoogte van de vele veranderingen en nieuwe technologieën? We hebben te maken met communicerende vaten, waarbij de kennis nooit hoger komt dan het bestaande niveau. Daarnaast vraagt het overdragen van kennis om andere vaardigheden dan het vergaren van kennis. Veel organisaties, ook opleiders, denken in termen van de 70-20-10. Dit zijn percentages die staan voor het effect van leren, waarbij 70 procent in de praktijk gebeurt, 20 procent informeel en 10 procent formeel. Vaak is het een excuus om te snijden in de
opleidingsbudgetten. De percentages geven een goede indicatie over het leereffect, maar dan moet de genoemde 10 procent wel professioneel aangepakt worden om werkelijk impact te hebben. Naar mijn mening is training on the job een goede aanvulling op formeel leren, maar is het geen vervanging daarvan.
“Bestuurders en directies zien dat goed opgeleide IT-ers waarde creëren” Denken in silo’s Bestuurders en directies van organisaties zien dat IT kan helpen om waarde te creëren.
Goede IT’ers kunnen kosten verlagen of fraude voorkomen en maken nieuwe producten en diensten mogelijk. Bestuurders voelen dat ze goud in de organisatie hebben, maar weten de goudaders nog niet altijd te ontginnen. Logisch, want oude managers en directeuren hebben oude opleidingen; zij leerden over Porter en Kotler op hun MBA. Maar die kennis past niet meer. Nieuwe businessmodellen vragen om nieuwe managementstijlen. De aandacht voor informatiemanagement en IT in generieke MBA’s is immers nog steeds minimaal, een enkele positieve uitzondering daargelaten. IT’ers lijken zich van nature op de hoogte te houden van ontwikkelen in hun vakgebied. Het vakgebied ontwikkelt zich zo snel dat bijhouden een must is. De vraag naar kennis van nieuwe technieken en methoden is groot en zal groot blijven. Maar, hoe bereiden IT’ers zich voor op de stijgende behoefte aan waarde creërende oplossingen? Wanneer komen ze uit hun technische wereld en gaan ze samen met de business managers aan de slag om de bedrijfsdoelstellingen te realiseren? Hebben ze de kennis hiervoor? Hebben de CIO en zijn staf de competenties hiervoor? Stoppen met opleiden Laten we stoppen met veel tijd steken in oude stijl opleidingen en nu kiezen voor de ontwikkeling van medewerkers om hun impact op de bedrijfsvoering te vergroten. Laten we kennis van buiten halen en medewerkers confronteren met nieuwe inzichten. Als we onze silo verlaten en IT’ers businesskennis opdoen en businessmanagers IT-kennis opdoen, dan ontwikkelen we samen. Guus de Mari is directeur van Anderson MacGyver Academy en Program Manager bij Antwerp Management School
De datacenterwereld volgens Gartner
De organisatorische structuur moet veranderen AMSTERDAM – Zoals alle organisaties moeten ook datacenters – interne zowel als commer ciële – hun draai vinden in het digitale tijdperk. Agile, flexibiliteit en de customer experience zijn ook hier de drie hoofdpaden. Maar dat is niet genoeg, zegt VP Data Center Research Rakesh Kumar van Gartner Research. “Het gaat niet langer om technologie maar om responsiviteit.” Trends zoals cloud, mobile, sociale informatie, analytics en het Internet of Things vragen om geheel andere applicaties, met allemaal hun eigen platform: open source, open compute, nieuwe platforms met applicaties die social media linken aan mobile, en nog veel meer. “Skills op het gebied van cloud, open source, de papers van het opencomputeproject, Hadoop en Big Data – ze zullen allemaal nodig zijn in het datacenter. Net als kennis op het gebied van datastorage, analytics en information management om de data te kunnen analyseren. Anders kan het datacenter nooit de informatie leveren die de klant wil hebben”, meent Kumar. “We zijn goed in staat om de boel te laten draaien, alles beschikbaar te houden, goede netwerkperformance te creëren, problemen op te lossen en wijzigingen aan te brengen, al die dingen die we de afgelopen twintig jaar
geleerd hebben om het datacenter efficiënt te laten opereren”, vervolgt Kumar. “Nu moeten we heel andere skills gaan inzetten, zeg maar rustig: dramatisch andere skills, die niet zozeer gefocust zijn op risico maar op innovatie.” Dat de organisatorische structuur van datacenters gaat veranderen, staat voor Kumar vast. Ook zullen datacenters financieel slimmer moeten worden en in moeten
“We moeten dramatisch andere skills gaan inzetten”
spelen op verschillende typen projecten met verschillende financiële modellen. “We krijgen daardoor te maken met een groot tekort aan skills; we moeten de organisatie van het datacenter dus op een andere manier vormgeven en laten groeien.” Responsiviteit en tooling Een modern datacenter moet zijn uitgerust met tools voor DCIM, ITSM en Systems Management, die ervoor zorgen dat het center opereert tegen zo laag mogelijke kosten. Bovendien bieden ze metrics die het mogelijk maken om meer agile en flexibel te zijn, sneller virtual machines te bouwen, applicaties de juiste hoeveelheid storage toe te wijzen, storingen in het netwerk te meten en misschien zelfs het netwerk aan te passen als het volume wijzigt – allemaal facetten van agility die essentieel zijn. “De afgelopen tijd hebben
Rakesh Kumar
de tools vooral gediend om de kosten zo laag mogelijk te houden. Maar de komende jaren zullen ze vooral dienen om het datacenter responsiever te maken. Dat zal investeringen in dergelijke tooling zeker stimuleren”, verwacht Kumar. Als analogie neemt hij een auto, die een soortgelijke evolutie doormaakte: van betere technologie via efficiënter brandstofverbruik naar een voertuig waarin het plezierig en gemakkelijk rijden is. “Het gaat niet alleen meer om het laagste brandstofverbruik per kilometer, het gaat erom hoe de auto appelleert aan de eisen en wensen van de eigenaar. Elk merk heeft een sportief model, een luxe uitvoering, en een comfort model – allemaal met dezelfde versnellingsbak. Datzelfde gaat min of meer op voor datacenters. De tooling dient dus mede om het innovatieve vermogen, agility en responsiviteit van het datacenter te vergroten.”
