Prefab-datacenters: Sneller, flexibeler en kosteneffectiever

Alles over innovatie in ICT

Jaargang 6, nr. 3 / 2015

datacenter

Prefab-datacenters: Sneller, flexibeler en kosteneffectiever

cloud-strategie

Dassault Systèmes integreert SolidWorks in 3DEXPERIENCE security-opleidingen

‘Ten onrechte overheerst nog altijd de vraag naar technische trainingen’ En verder Selectie van de beste application delivery controllers | Ook IT-manager heeft voordeel van hybride PDU | Drie goede redenen om een SAP HANA-project te outsourcen | Digital Performance Platform stelt beleving gebruiker centraal | Zes datacentertrends voor 2015 | Nieuws van EurocloudNL | www.cloudworks.nu

PU PUB BLIC SECT LOU LOU S CA SIN TAR SE P • BE S CA OUD • BE T • OUD SE P • BE I BL LIC S OR D S D SE ESS T-U RI ST SE ST ST BES ST UB ST P V E BL IC SE SEC CTO • B TAR ROD PRI CAS P • ATE CLO PRI ART BUS T B ART LIC IC CT TO R ES T-U U VA E BE SE UD VA -UP IN US -UP SE C I T T C T P S SE SECT OR R • • BE CL P • T • E S UBL T C CTO STA E S • B ESS NES • B T CT O • B BE ST OU BE BE EC IC LO R RT EC ES CA S C ES T T T S U • T O R D S SE R • • B EST T C CLO ST ST C ST B OR SEC D P BES -UP OR CLO E PU ASE CT BE ES CL LO UD AR LO US • B TO RO T • B • B U B PR B D L T O U T U O R PU R • ST C CLO UD D S STAR -UP D P INES EST • B DUC USI EST EST PR IC S IV BL BE LO UD STA TAR T- • B RO S C BU ES T • NE CLO BU OD EC BU IC S ST C UD S ST RT- T-U UP • EST DUC ASE SINE T CL BES SS C UD SINE UCT T SIN ECT LO TA ART UP P • BE CL T • PR SS OU T B ASE PR SS • B PR ESS OR UD S RT-U -UP • BE BES ST C OUD BES IVAT CAS D ST USI PU ODU CAS E IVA CA • B TA P • • B ST T C LO PR T B E S E P AR NES BLI CT E P PR TE S SE P EST RT-U BES EST CLO LOU UD P ODU USI ECT UBL T-UP S CA C SE • BE U OD EC UB CLO P • T CL UD D P RO CT NE OR IC • SE CT ST • B UCT TOR LIC UD BES CLOU OUD PRO ROD DUC • B SS C • BE SECT BEST PRI OR • ES • B • B SEC STA T D PR DU UC T EST ASE ST OR CL VAT BE SE T CL EST EST TOR RT- CLOU PRO ODU CT T • • BE BU PR BUS • B OUD E S S E • B S S I E D CT OU B B U OR D US US • BE P • D PR UCT CT • BES EST T BU INE VATE INES ST C PRO CT BE • ST IN IN S BE O • B T B S SS S S LO D ST BE AR ES ES T C ST DU BE ES BU US INE CA EC CA UD UC S T T BU CLO ST B T-UP S CA CA LOU CLO CT • ST B BU SINE INES SS C SE P OR SE P STA T SIN UD US • SE SE D S UD BE US SIN SS S C AS RI • B UB RT CL ESS PRO INES BEST PRIV PUB TAR PRO ST B INES ESS CAS ASE E PR VATE EST LIC S L T OU C D S AS UC CA CLO ATE IC S -UP DUC USIN S CA CAS E PR PRIV IVAT SEC BUS ECT D • B PR E P T • SE UD SE EC • B T ES SE E P IVA AT E S TO INE ES OD UB BE PU P CTO TO ES • B S C PR RIV TE E S EC R • SS CL T BU UCT LIC ST BLI ROD R • R • B T CL EST ASE IVAT ATE SEC ECT TOR BES OU SI • SE BU C S UC BE ES O BU P E S TO OR • T U E B B R N • B D ST ESS BEST CTOR SINE ECTO T • B ST B T CL D P SINE IVAT SECT CTO R • B • BE EST ES AR CA BU • SS R ES US OU ROD SS E OR R • ES ST BU SE T BU T-UP SE P SIN BES CAS • BE T BU INES D ST UCT CAS SECT • B BES T BU BUS CT SI • U ES T C E P ST SI S AR • E P OR ES T SI IN T B C N B B CA OR • ESS EST LIC S CA LOU RIVA CLO NESS ASE T-UP BES RIVA • B BU USI NESS E SE BE C C SE SE D S TE UD C PU • T B TE ES SIN NE C T A L A • B PUB ST B SE P OUD CTO PRIV TAR SEC STA SE P BLI BEST USIN SEC BU ESS SS C A ES LIC US RI P R • AT T-U TOR RT- RI C S C ES TO SIN CA ASE ST T CL SEC INES VATE ROD BES E SE P • B • B UP • VATE ECTO LOUD S CA R • B ESS SE P UC T CT E ES AR OU TO S SE ES CA UB R OR ST T T D R T T SE L

Cloud talk

SCHRIJF NU IN VOOR DE EUROCLOUD NEDERLAND AWARDS

2015! Ook dit jaar reikt EuroCloud NL in samenwerking met CloudWorks de EuroCloud Nederland Awards uit. Sponsors zijn EMC en VMware. Noteer alvast 18 juni in uw agenda. Categorieën • Best Business Case Private sector • Best Business Case Public sector • Best Cloud Start-up • Best Cloud Product De winnaars dingen ook deze keer weer mee naar de EuroCloud Europe Awards in september Kijk op www.eurocloudnl.eu voor meer informatie

Gevaarlijke klanten In ieder onderzoek naar de adoptie van innovatieve technologie staat het steevast bovenaan de lijst met zorgen: security. Of we het nu hebben over OpenStack, mobility, Big Data of desnoods het gebruik van containers. We zien de voordelen, maar maken ons ook zorgen over de veiligheid van dit soort oplossingen. Daarom besteden we in deze editie van CloudWorks extra aandacht aan security-opleidingen.

Toch niet, vrees ik. Er is namelijk nog een derde probleem: klanten. Of beter gezegd: mensen die zich als klant voordoen. Dit zijn fraudeurs, oplichters of hoe u hen ook wilt noemen. Zij praten zich bij een bedrijf naar binnen. Die groep blijft in de wereld van infosecurity nog vaak onbelicht. Het is meer iets voor een fraudeafdeling. De vraag is of dat terecht is. Want cybercriminelen lijken steeds vaker ook van dit kanaal gebruik te maken.

De klassieke aanpak op dit gebied is het volgen van een technische cursus. Zo leren we immers het verschil tussen normaal en abnormaal dataverkeer en leren we concepten als ‘Unified Threat Management’ doorgronden. Hetzelfde geldt voor het dichttimmeren van - zeg - een OpenStack-omgeving.

Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan. Dat geld besteden zij bij bekende aanbieders van big data- en business analytics-technologie als SAP en SAS Institute. Maar lang niet alle communicatie tussen bedrijf en klant (of ‘klant’) verloopt via online-formulieren of e-mails. Vaak wordt ook simpelweg gebeld naar een call center. Daar ‘babbelen’ dit soort criminelen zich redelijk soepel naar binnen. Van een koppeling met systemen en processen voor IT-security is geen sprake. Die integratie moet snel komen. Grote bedrijven zijn dan ook op zoek naar tools om alle big data-technieken te koppelen aan - bijvoorbeeld - audio-analyses. Dat verklaart de grote belangstelling van venture capital-firma’s voor bedrijven als Pindrop Security. Deze startup ontwikkelt technologie waarmee tele-foontjes kunnen worden onderzocht: welke is afkomstig van een legitieme klant en welke van een potentiële frauderende ’klant’ of cybercrimineel? Een belangrijke stap in het veilig(er) maken van moderne manieren van zaken doen.

De aandacht gaat daarbij vrijwel altijd uit naar techniek. Peter Vermeulen van onderzoeksbureau Pb7 Research constateert echter terecht dat we daarmee nog altijd niet ten volle begrijpen wat er aan de hand is. IT-security is meer dan een indrukwekkend aantal digitale sloten op de deur spijkeren. Het gaat ook - en misschien wel: vooral - om de mens. Die maakt veel fouten. Meestal onbewust, maar er zijn natuurlijk ook individuen die - bijvoorbeeld - wraak willen nemen na een in hun ogen onterecht ontslag. Het laatste lossen we wederom technisch op (intrekken van toegangsrechten en dergelijke), maar het eerste is vooral bewustwording. En goede procedures. Stel nu dat we alle hiervoor genoemde maatregelen hebben genomen, zowel technisch als op menselijk vlak. Zijn we dan veilig?

Robbert Hoeffnagel, hoofdredacteur CloudWorks

Colofon In CloudWorks staat innovatie centraal. Met traditionele ICT-omgevingen is het steeds moeilijker om de business goed te ondersteunen. Innovatieve oplossingen op het gebied van bijvoorbeeld cloud computing, mobility, Big Data, software defined datacenters en open source kunnen echter helpen om de IT-omgeving ingrijpend te moderniseren en klaar te maken voor de toekomst. Vragen over abonnementen: [email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] Twitter: https://twitter.com/RaaphorstJos LinkedIn: nl.linkedin.com/pub/dir/Jos/Raaphorst

Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] Twitter: https://twitter.com/rhoeffnagel LinkedIn: nl.linkedin.com/in/robberthoeffnagel Facebook: https://www.facebook.com/ robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75 [email protected] Eindredactie/traffic Ab Muilwijk

Vormgeving Studio Kees-Jan Smit BNO Druk Control Media Kennnispartners: Data Centre Alliance, EuroCloud Nederland, Green IT Amsterdam, NEN, SaaS4Channel ©2015 CloudWorks is een uitgave van FenceWorks BV. www.fenceworks.nl

CloudWorks - nr. 3 / 2015

3

8 10 12

Selectie van de beste application delivery controllers IT-apparatuur moet om de zoveel tijd vervangen worden. Een goed moment om te bepalen of een toepassing nog wel geschikt is, of dat er betere alternatieven zijn. Eind 2014 waren de load-balancers van Avans Hogeschool aan vervanging toe. De IT-afdeling startte samen met afstuderend student Alexander Petrov een onderzoek naar het beste alternatief. Dit ging veel verder dan een gebruikelijke inventarisatie en aanbesteding. Een uitgebreide praktijktest met gewogen scores leidde uiteindelijk tot het gewenste resultaat.

Prefab-datacenters: sneller, flexibeler en kosteneffectiever Prefab-datacenters zijn dé oplossing voor het gebrek aan flexibiliteit van bestaande datacenters. Deze datacenters worden volledig offsite gebouwd, vervoerd en onsite in elkaar gezet. Dit biedt veel voordelen.

Ook IT-manager heeft voordeel van hybride PDU Stroomverdeling wordt doorgaans door de facilitaire afdeling van een organisatie beheerd, terwijl functies als het schakelen van uitgangen in beheer is bij de IT-afdeling - bijvoorbeeld om servers te kunnen rebooten. Het verschil in gebruikersbehoeften leidt vaak tot aankoop van twee soorten systemen, maar met de hybride VariconPower IP Rack PDU van Minkels is dat niet meer nodig.

inhoud

En verder 7

Gregor Petri over Cloud.forSale

14 Dassault Systèmes integreert SolidWorks in 3DEXPERIENCE 16 Drie goede redenen om een SAP HANA-project te outsourcen 18 Digital Performance Platform stelt beleving gebruiker centraal

24

‘Ten onrechte overheerst nog altijd de vraag naar technische trainingen’ Informatiebeveiliging is en blijft een bijzonder dynamisch vakgebied. Zowel wat er beveiligd moet worden als wat er bedreigt, verandert snel en neemt in complexiteit toe. Cybercriminelen zijn steeds beter georganiseerd en proberen met steeds geavanceerdere aanvallen zoveel mogelijk schade aan te richten. Tegelijkertijd lijkt het wel of de business alle deuren wijd open probeert te zetten door met het ene na het andere mobiele apparaat en de ene na de andere cloud dienst te komen. Dat net op dat moment de overheid aankondigt flinke boetes uit te delen aan bedrijven die privacygevoelige data lekken, maakt het ook niet makkelijker. En nu beginnen we ook nog eens na te denken over het Internet of Things. Alsof dat nog niet genoeg is, hebben ook nog te maken met gebruikers die de gevaren niet (willen) zien of zich er niet verantwoordelijk voor voelen. Het moge duidelijk zijn: wat IT-informatiebeveiliging betreft, is ‘life long learning’ een zaak van leven of dood.

20

Exin lanceert certificering voor OpenStack

22

Zes datacentertrends voor 2015

28 Netwerk van security specialisten, adviseurs en engineers 30

Een goede opleiding verandert het gedrag

32

Security specialist inhuren of medewerker opleiden?

34 ‘Je bent nooit uitgeleerd als het over informatiebeveiliging gaat’ 36

De Chief Information Officer van morgen

38 Europees competentie framework voor ICT-professionals 40 SCOS organiseert Wireshark Network en Security Training 42

‘Security-trainingen hebben diepgang nodig’

44

Nieuws van EurocloudNL

46

Legal Look

www.cloudworks.nu Go! 4



5

Tune into the Cloud

Cloud.forSale

Tune into markt consolidatie

door Gregor Petri Ja, hij was er nog. De domeinnaam cloud.forsale. En min of meer tegen beter weten in, heb ik hem maar voor een jaartje gekocht. Cloud for Sale doet mij namelijk denken aan het wat melancholieke House for Sale (Lucifer,1975) over twee mensen die vol goede moed aan hun nieuwe toekomst begonnen, maar toen het toch niet werd wat ze ervan verwachtten, de boel maar te koop zetten. En dat is ook wat we binnenkort in de cloud markt gaan zien. Diverse providers die ondanks de beste bedoelingen en veel energie en innovatie het toch niet gaan redden en daarom de boedel in de etalage zetten. Niet dat we dit niet aan hadden kunnen zien komen. In 1991 beschreef Geofrey Moore al in zijn onnavolgbare Crossing the Chasm de diverse fases die nieuwe technologische innovaties typisch doorlopen. Als je het nu leest zou je haast denken dat hij het speciaal voor de cloud IaaS markt heeft geschreven. Na het overbruggen van de chasm tussen early adopters en de early majority door het aanbieden van specifieke, vaak verticale oplossingen (zoals vorig jaar hier beschreven in mijn column ‘Atlantic Crossing’), begint de markt zich te realiseren dat deze innovatie wel eens ‘de nieuwe infrastructuur’ kan zijn. Op dat moment verandert de marktdynamiek volkomen. Voor de potentiële winnaars (de Gorilla’s) gaat het nu om maar een ding, zo snel mogelijk groeien. Dat doen ze door heel veel sales aan te nemen (vaak van traditionele concurrenten), een partnerkanaal op te bouwen en te zorgen dat de bestaande fabrieken op volle kracht draaien en nieuw fabrieken zo snel mogelijk worden bijgebouwd.

De tekenen hiervoor zien we op dit moment verschijnen aan de wand van de cloud markt. Het begint met kleine providers die worden overgenomen door iets grotere maar ook niet bijster succesvolle providers (de succesvolle providers zijn immers veel te druk met het voldoen aan de marktvraag, om tijd te nemen voor overnames en daaropvolgende integratievraagstukken). Bij de grotere, niet groeiende spelers zien we daarnaast een steeds snellere opvolging van leiders van steeds uiteenlopender pluimage voor hun cloud initiatieven. Schijnbaar denkt men daar dat als het Jantje niet lukte, we het dan maar eens Pietje moeten laten proberen. Terwijl bij de succesvolle providers dezelfde mensen gedurende vele jaren, en vaak met dezelfde titel en dezelfde verantwoordelijkheden, samen met hun productlijn steeds succesvoller worden. House for Sale (zonder . want domeinnamen bestonden nog niet in 1970) was het eerste nummer en ook meteen de eerste hit van Lucifer, een formatie met zangeres Margriet Eshuis en drummer Hennie Huisman, die werd begeleid door toen bijzonder succesvol producer Hans Vermeulen.

Medewerkers van deze aankomende gorilla’s hebben vaak - naast een burn out of een maagzweer - een leuke klassieke oldtimer of tweede huis op een exotische locatie aan deze extreme groeiperiode over gehouden. Maar voor de anderen in de markt is het vaak het eind van een illusie. Sommige persen nog wat extra jaren uit hun offering door het ‘plug compatible’ met de markt leider te maken. Anderen herpositioneren zich als niche leverancier (waarbij zij in sommige gevallen hun oplossingen overzetten op de winnende infrastructuur producten van hun vroegere opponenten) of gaan voortaan door het leven als implementatie/ consultancy partner c.q. broker van de winnende productlijnen. CloudWorks - nr. 3 / 2015

7

Connectiviteit Avans Hogeschool

Selectie van de beste application delivery controllers

Avans Hogeschool is een opleidingsinstituut voor hoger onderwijs, met ongeveer 28.000 leerlingen en 2.400 medewerkers verdeeld over negen locaties. IT ligt in handen van zo’n 35 mensen. Gezien de ontwikkelingen in de IT-diensten voldeden de Cisco load balancers niet meer; er moest meer geavanceerde technologie komen. Het selectietraject bestond uit twee onderdelen: een request for proposal (RfP) en een proof of concept (PoC). Hiertoe moesten ten eerste de wensen en behoeften die bij de (applicatie) beheerders en ontwikkelaars leefden in kaart worden gebracht.

Wensen en behoeften bepalen IT-apparatuur moet om de zoveel tijd vervangen worden. Een goed moment om te bepalen of een toepassing nog wel geschikt is, of dat er betere alternatieven zijn. Eind 2014 waren de loadbalancers van Avans Hogeschool aan vervanging toe. De IT-afdeling startte samen met afstuderend student Alexander Petrov een onderzoek naar het beste alternatief. Dit ging veel verder dan een gebruikelijke inventarisatie en aanbesteding. Een uitgebreide praktijktest met gewogen scores leidde uiteindelijk tot het gewenste resultaat.

De huidige Cisco ACE-10 heeft als rol het sturen van de datastromen die zijn bestemd voor de applicatieservers en het verdelen van de server-load voor specifieke applicatieservers. Via gesprekken met beheerders werd achterhaald waarom destijds de keuze op de Cisco load balancers ACE-10 was gevallen. Deze zogenoemde ‘baseline’ eisen zijn gekoppeld aan de wensen die voortkwamen uit gesprekken met onder andere de IT-afdeling, inkopers en met de leveranciers. Voor de selectie van deze leveranciers keek Avans naar de positie op de Magic Quadrant voor ADC’s van Gartner, de aanwezigheid van tussenpersonen en/of de leverancier in Nederland en de focus op de Nederlandse markt. Hier kwamen vier partijen uit: A10 Networks, Cisco/Citrix, F5 Networks en Riverbed. Avans maakt veel gebruik van web-based applicaties. Oorspronkelijk werd load balancing toegepast op laag 4 van het OSI-model, maar uit de gesprekken kwam de wens naar voren om dit op laag 7 te gaan doen en application firewalling toe te passen, zodat Avans ook kan manipuleren op basis van browsers, afkomst van verkeer en type devices en acteren op het beveiligen van de aangeboden applicaties. Applicaties moesten echt ontsloten worden, in plaats van enkel load balancing toe te passen. Middels een application delivery controller kunnen niet alleen laag 4 (transportlaag) van het OSI-model voor netwerken, maar ook lagen 4 tot en met 7 worden beheerd (transport, sessie, presentatie en toepassing). Hierdoor ontstaan veel meer mogelijkheden voor extra diensten, controle en beveiliging en verschoof het beheer van de netwerkspecialisten naar de applicatiespecialisten. Ook werd de wens uitgesproken dat er duidelijke scheiding in rechten tussen beheerders en beheerdersgroepen kon worden gemaakt.

Selectiecriteria application delivery controllor De criteria die uit het kwalitatieve onderzoek naar voren kwamen, gingen veel verder dan puur harde, technische eisen. De hardware moest uiteraard voldoen aan een bepaalde capaciteit en beschikken over verschillende aansluitingen. Qua software-eisen werd vastgesteld dat de application delivery controller IPv6 moest ondersteunen. Daarbovenop kwamen echter andere wensen naar voren die lang niet in elk keuzetraject een rol spelen. Avans keek onder andere naar de ontwikkeling van de software en de frequenties van updates; de eenvoud van het beheer woog zwaar mee en de achtergrond van het leverende bedrijf werd beoordeeld. Foto: Bob van der Vlist

In overleg met Avans’ IT-beheerders Kees Pronk en David Schrok zijn alle definitieve eisen en wensen beoordeeld en is voor elke wens een wegingsfactor toegekend om de zwaarte van de wens te nuanceren in de RfP-beoordeling. Eisen hadden geen wegingsfactor nodig, want dit zijn knockout-criteria en kunnen alleen met ‘ja’ of ‘nee’ beantwoord worden. Zo ontstond een afgewogen scorelijst.

8


RfP Aan de hand van deze scorelijst is de RfP opgesteld. De voorstellen die hierop terugkwamen zijn in een beoordelingssessie met een onafhankelijke voorzitter beoordeeld, en zijn alle definitieve scores voor elke wens vastgesteld. De scores zijn binnen dit team bediscussieerd om de legitimiteit te waarborgen. Bij lage scores op de wensen, werden eerst individuele beoordelingen opgeschreven en daarna met elkaar vergeleken. De beoordelaars waren niet op de hoogte van de prijzen van de ADC’s om de beoordeling zo onafhankelijk mogelijk plaats te laten vinden. De beoordelaars moesten zich richten op de kwaliteit, los van de prijs. Dit is ook Avans’ uitgangspunt in aankoopbeslissingen: 70 procent kwaliteit en 30 prijs.

De testfase De beoordeling van RfP leverde twee leveranciers op: A10 (via partner Xantaro) en F5 (via partner Securelink). Het PoC moest nu de beloftes uit de RfP testen in de praktijk. Hiertoe ontwikkelde Avans een speciale testomgeving met servers, switches, pc’s wifi-controllers, KVM-switches en Access points. Beide ADC’s werden uitvoerig

{

‘Applicaties moesten echt ontsloten worden, in plaats van enkel load balancing toe te passen’

getest binnen deze testomgeving, op basis van een vooraf opgesteld testplan om de kwaliteit te waarborgen. Hierbij werd gebruikgemaakt van technische specialisten van de leveranciers/partners voor specifieke uitleg bij sommige tests en configuratie-ondersteuning. Alle testen leverden scores op die opgeteld een eindresultaat gaven met een maximale score van 184 punten. Tijdens de PoC is geconstateerd dat beide ADC’s in de basis voldoen aan de eisen en wensen, maar de ADC van F5 op alle vlakken beter is ontwikkeld, fijnmaziger is in te stellen en meer standaard mogelijkheden heeft ten opzichte van de ADC van A10. Daardoor scoorde de oplossing van F5 gemiddeld hoger. De F5 BIG-IP 4000 haalde 170 punten, een score van 92,4 procent.

Toegevoegde waarde van PoC De bedoeling van het ADC-selectieproces was het selecteren van kwalitatief gezien de beste oplossing voor Avans Hogeschool. Dankzij de praktijktest hebben we daar veel meer zicht op gekregen. Op basis van beoordeelde offertes tijdens het RfP, voldoen beide ADC’s aan de gestelde eisen. Echter, tijdens het PoC kwamen andere punten naar voren en bleek de ADC van F5 kwalitatief gezien de betere keuze. Het uitvoeren van het PoC heeft dus meer dan zijn waarde bewezen. Alexander Petrov is systeem- en netwerkbeheerder bij Avans CloudWorks - nr. 3 / 2015

9

Datacenter Prefab-datacenters:

Sneller, flexibeler en kosteneffectiever

Onlangs bestelde Facebook een prefab-datacenter voor Zweden, het Luleå 2 Data Center. Dit zogenaamde ‘Rapid Deployment Data Center’ (RDDC) van Emerson beslaat meer dan 11.500 vierkante meter en is opgebouwd uit meer dan 250 modules, waaronder modules voor stroomvoorziening, adiabatische luchtbehandeling, waterzuiveringsinstallatie en ombouw. Facebook wilde de tijd die het kost om nieuwe datacenters online te zetten, inkorten. Het nieuwe prefab-datacenter van Facebook is een van de meest efficiënte en duurzame datacenters ter wereld. Draaiend op honderd procent hernieuwbare energie en voorzien van de allernieuwste Open Compute Project-server en -opslag. Traditionele datacenterbouw voldoet in veel gevallen niet meer aan de snel veranderende eisen van veel bedrijven en markten. Daarnaast wordt in het ontwerp vaak geen rekening gehouden met toekomstige groei. Het gevolg is dat bedrijven extra capaciteit moeten bijschakelen voordat er echt behoefte aan is, met alle risico’s en extra kosten van dien. Of ze blijven steeds achter de feiten aanlopen, waardoor hun groei wordt geremd. Juist voor bedrijfsexpansie zijn de modulaire oplossingen van een of meerdere server-racks een uitkomst, omdat zo’n uitbreiding een minimale verstoring betekent voor gecontroleerde groei. Anders gezegd: een prefab-oplossing wordt altijd geleverd met ingebouwde groeimogelijkheden.

30 tot 60% sneller Vooral voor nieuwbouw zijn prefab-datacenters dé oplossing. Ze bieden organisaties dertig tot zestig procent sneller extra online capaciteit dan traditioneel gebouwde datacenters. Deze modulaire en schaalbare oplossingen leveren bovendien een uitstekende performance, omdat ze beschikken over de allernieuwste technologie. “Prefab-datacenters met een complete infrastructuur bieden mogelijkheden die voorheen nog niet beschikbaar waren. De kostenvoordelen van deze datacenters zijn vaak groter dan de uitbreiding van een bestaand datacenter of een nieuw traditioneel datacenter bouwen”, zegt Ben De Brauwer, Managing Director Benelux bij Emerson Network Power.

Prefab-datacenters zijn dé oplossing voor het gebrek aan flexibiliteit van bestaande datacenters. Deze datacenters worden volledig offsite gebouwd, vervoerd en onsite in elkaar gezet. Dit biedt veel voordelen.

Wat zijn dan de nieuwe, innovatieve oplossingen die voorheen nog niet op de markt waren? • Gesloten racksystemen met geïntegreerde koeling, stroombescherming en beheer op afstand. • Zelfstandige modules met geïntegreerd softwarebeheer die binnen een gebouw zijn in te zetten of dienen als vrijstaande, verplaatsbare data- of netwerkcentra. • Vrijstaand, volledig geprefabriceerde datacenters, met de allernieuwste ‘unified’ infrastructuur.

Bij een traditioneel ontworpen datacenter zijn energievoorziening, koeling en beheersystemen onafhankelijk van elkaar geconfigureerd; en ook onafhankelijk van de omgeving waarin ze zijn gehuisvest. De integrale aanpak van het prefab-bouwproces van datacenters zorgt voor een grotere efficiëntie dan het traditionele bouwproces. Door belangrijke technologische partners vanaf het begin samen te laten werken tijdens het ontwerpproces is het ontwerp beter af te stemmen op de geografische kenmerken. Deze geïntegreerde ontwerpaanpak, samen met de offsite constructie door gespecialiseerde vakmensen, verhoogt de kwaliteit. Het proces behelst eveneens configuratie op systeemniveau en het uitgebreid testen voor het vervoer naar de uiteindelijke locatie, het finetunen van de inbedrijfstelling en het voorkomen van eventuele opstartproblemen. Als extra capaciteit nodig is, zijn extra modules eenvoudig toe te voegen met minimale inspanning en zonder verstoring van de bedrijfsvoering.

Twintig procent goedkoper Ben De Brauwer: “Een geprefabriceerd datacenter is optimaal toegerust voor de geografische ligging, het klimaat, het technologisch profiel, de IT-applicaties en de zakelijke doelstellingen van een bedrijf. Daarmee profiteer je van de snelheid en de kostenefficiëntie van het modulaire ontwerp en de offsite constructie.” Recent onderzoek onderstreept de toelichting van De Brauwer. Van de bedrijven die meer dan vijfduizend servers beheren, bouwde 66 procent de afgelopen vijf jaar een compleet nieuw datacenter of renoveerde zijn bestaande locatie. Per 1MW kost datacentercapaciteit ongeveer tien miljoen dollar. Prefab kan de totale kosten van een datacenter tot wel twintig procent reduceren. Bovendien zijn dit soort datacenters in minder dan vijftig procent van de tijd te realiseren. Daarnaast is de gemiddelde PUE van een datacenter 1,65, terwijl prefabs zijn ontworpen om een PUE van 1,2 of minder te behalen.

Onderzoek Vooral telecombedrijven profiteren van deze innovatie om hun datacenters sneller online te zetten en met een betere performance. Uit onderzoek van Emerson blijkt dat in 2025 ten minste zestig procent van het telecommunicatienetwerk uit datacenters zal bestaan. Dit Data Center 2025-onderzoek van Emerson heeft wereldwijd professionals van datacenters ondervraagd om te komen tot een toekomstvisie voor de branche. Meer dan 800 professionals deden mee met als belangrijke uitkomst dat een aanzienlijk percentage van de telecommunicatiebedrijven zichzelf omvormt tot datacenter en steeds meer gaat leunen op colocatiefaciliteiten. Dit als gevolg van fusies en overnames in deze sector.

Integraal offsite bouwen Vrijstaande RDDC’s worden volledig op maat ontworpen en offsite vervaardigd en getest voordat ze vervoerd worden en ter plaatse gemonteerd. De bouw in een gecontroleerde productieomgeving biedt meer controle over het ontwerp. Geïntegreerde componenten, integraal beheerd, betekenen hogere IT-productiviteit en flexibelere capaciteit. Het resultaat is een state-of-the-art, perfect geïntegreerd datacenter, dat sneller en tegen lagere kosten is in te zetten dan een traditioneel datacenter. Prefab-datacenters betekenen soms een tijdwinst van maanden. Daarnaast biedt de modulaire aanpak grotere schaalbaarheid en is een prefab-datacenter zo volledig aan te passen aan de steeds veranderende eisen van een bedrijf en markt.

10


Ook T-Systems koos onlangs voor een prefab-oplossing van Emerson voor zijn nieuwste clouddatacenter in Spanje. Dit datacenter, met een capaciteit van 1,1 MW, beschikt over een volledig modulaire opbouw van 38 geïntegreerde modules bestaande uit bijna 300 Knürr racks, meer dan 60 Liebert koelunits en meerdere Chloride UPS-systemen. Ben De Brauwer: “Prefab-datacenters zijn zeer aantrekkelijk voor de dynamische markt waarin telco’s zich op dit moment bevinden. Maar niet alleen telco’s kunnen profiteren van prefab-datacenters, daarvoor zijn de voordelen eenvoudigweg te aantrekkelijk.” CloudWorks - nr. 3 / 2015

11

Datacenter VariconPower IP Rack PDU De VariconPower IP Rack PDU is een hybride PDU oplossing in het assortiment van Minkels. Deze PDU oplossing combineert een IP poort met SNMP communicatie en een SQL koppeling, waarmee het IT-platform wordt ondersteund. Tegelijkertijd wordt de facilitaire behoefte en het gebouwbeheer bediend, middels een centrale gateway en ‘modbus over IP’ waarmee tot 500 PDU’s serieel uitgelezen kunnen worden. Dit geeft datacenter beheerders de mogelijkheid om hun IP poorten beheer efficiënt en overzichtelijk in te richten, terwijl IT-beheerders tóch voor elke PDU een aparte IP poort beschikbaar hebben. De duale communicatie biedt tevens een hoge mate van redundantie.

Power Distribution Unit koppelt IT en facilitair

Ook IT-manager heeft voordeel van hybride PDU Serieel of IP Vanuit datacenter beheeroogpunt is een seriële invulling van stroomverdeling praktisch, zeker binnen de wat grotere datacenteromgevingen is dat het geval. Power Distribution Units (PDU’s) kunnen in dat geval centraal op een gateway worden aangesloten. Voor het IP poortenbeheer van een wat groter datacenter biedt dit een efficiënte en overzichtelijke oplossing; het heeft een positief effect op de beheersbaarheid van de stroomverdeling infrastructuur in een datacenter. Individuele gebruikers in een datacenter kunnen er echter baat bij hebben om met een aparte IP poort per PDU te werken, iets waar seriële communicatie niet in voorziet. Zeker vanuit de IT-beheeromgeving bestaat doorgaans de wens om op elke PDU een IP poort beschikbaar te hebben. Een groot voordeel van een aparte IP poort per PDU is dat er vanaf de PDU rechtstreeks een aansluiting kan worden gemaakt op een netwerkvoorziening. Daarmee is het mogelijk om vanuit de PDU - op afstand - eenvoudige IT-monitoring en beheertaken met betrekking tot de netwerkapparatuur uit te voeren.

Stroomverdeling wordt doorgaans door de facilitaire afdeling van een organisatie beheerd, terwijl functies als het schakelen van uitgangen in beheer is bij de IT-afdeling - bijvoorbeeld om servers te kunnen rebooten. Het verschil in gebruikersbehoeften leidt vaak tot aankoop van twee soorten systemen, maar met de hybride VariconPower IP Rack PDU van Minkels is dat niet meer nodig. Rack PDU’s (Power Distribution Units) bevinden zich op de scheidslijn van IT en de facilitaire afdeling binnen een organisatie. De huidige rack PDU’s of stroom-meetsystemen in de markt zijn echter vaak ontworpen vanuit ofwel de IT dan wel de facilitaire behoefte, maar vrijwel nooit vanuit beide. Dit leidt ertoe dat meestal twee meetsystemen worden aangekocht die door respectievelijk de IT-afdeling en de facilitaire afdeling worden beheerd - om uiteindelijk grotendeels dezelfde taak uit te voeren. Dat kan efficiënter, zou je denken. Om die reden heeft Minkels de VariconPower IP Rack PDU ontwikkeld, een hybride oplossing die zowel de behoeften vanuit IT als vanuit de facilitaire afdeling kan bedienen. De Minkels VariconPower IP Rack PDU is een hybride power oplossing die middels een innovatief design het beste van twee werelden bij elkaar brengt, waarbij seriële en IP-gerelateerde communicatie met elkaar wordt gecombineerd.

12


Een nadeel van een aparte IP poort per PDU is het bijbehorende IP management, wat de oplossing complexer maakt. Voor elke PDU in een datacenter zullen in dat geval tevens IP adressen en IP poorten in de netwerkswitches beschikbaar moeten zijn. “Als je alle netwerkinvesteringen voor een dergelijke oplossing bij elkaar optelt, dan kost zo’n IP poort per PDU in het netwerk zo’n 25 euro per maand”, zegt Jules Sommers, Product Manager bij Minkels. “Zeker voor de wat grotere datacenters kunnen deze kosten dus behoorlijk oplopen, terwijl je als datacenter beheerder eigenlijk alleen maar de IP poort op de gateway écht nodig hebt.”

Softwarematige ontkoppeling Om tegemoet te komen aan beide behoeften, aan de behoefte van de datacenterbeheerder én die van de individuele IT-gebruiker, heeft de afdeling productontwikkeling van Minkels de hybride stroomverdeling oplossing ontwikkeld. VariconPower IP Rack PDU biedt een softwarematige ontkoppeling tussen IP adressen en de gateway. Hierdoor is het mogelijk om bepaalde rechten met betrekking tot de functionaliteit van de PDU te scheiden en - eenmaal operationeel - ook te wijzigen. Zowel de seriële als de individuele IP communicatiebehoefte wordt ermee ingevuld. De VariconPower IP Rack PDU combineert een IP poort met SNMP communicatie en een SQL koppeling, waarmee het ITplatform wordt ondersteund. Tegelijkertijd wordt de facilitaire behoefte en het gebouwbeheer bediend, middels een centrale

De softwarematige ontkoppeling tussen IP adressen en de gateway biedt commerciële datacenters de mogelijkheid om nuttige parameters uit te lezen, zonder per ongeluk een poort uit te schakelen.

gateway en ‘modbus over IP’ waarmee tot 500 PDU’s serieel uitgelezen kunnen worden. Op die manier is de VariconPower IP Rack PDU in staat om twee platformen terug te brengen naar slechts één enkele oplossing. “Dit zorgt niet alleen voor simplificatie van het systeem, maar vooral ook voor een significante besparing op de kosten”, zegt Sommers. “Geen dubbele investeringskosten, geen dubbele implementatie- en integratie kosten, geen dubbele onderhoudskosten; de VariconPower IP Rack PDU biedt gebruikers maximale kostenefficiëntie in implementatie en beheer. Dankzij de hybride functionaliteit kan iedere beheerder, zowel IT als Facilitair, zijn eigen toegang krijgen met individuele rechten. Doordat functionaliteit voor verschillende gebruikers gesegmenteerd wordt aangeboden, wordt bijvoorbeeld voorkomen dat er onrechtmatige uitschakeling van IT-apparatuur kan plaatsvinden.”

Minkels VariconPower IP Rack PDU in combinatie met Minkels Varicontrol-C Power Monitoring levert uitgebreide managementfunctionaliteit middels een gebruiksvriendelijke web interface. Hiermee kunnen op afstand monitoring & beheertaken via de IP PDU’s worden uitgevoerd. De gecombineerde oplossing voorziet in het uitlezen van een variëteit aan parameters waaronder ampère, voltage, kilowattuur en vermogensfactor. Een gateway maakt het mogelijk om monitoringapparatuur en (maximaal) 500 IP Rack PDU’s op een LAN netwerk aan te sluiten.

VariconPower Rack PDU Assortiment Minkels heeft een breed portfolio met Power Distribution Units (PDU’s) in het assortiment, afgestemd op verschillende behoeften in een variëteit aan datacenter omgevingen. Globaal is Minkels’ VariconPower Rack PDU assortiment onder te verdelen in vijf verschillende productversies: • Basic Rack PDU’s • Metered (lokale) Rack PDU’s • IP (remote) Rack PDU’s (de hybride oplossing) • Monitored (remote) Rack PDU’s • Monitored & switched (remote) Rack PDU’s

Redundantie De duale communicatie in de VariconPower IP Rack PDU heeft nog een ander voordeel. Het biedt een hogere mate van redundantie. Bij een standaard PDU vormt de IP poort - en de switch erachter - een ‘single point of failure’. De hybride communicatie functionaliteit maakt het mogelijk om een systeem met serieel gekoppelde PDU’s (tot 8 PDU’s) uit te lezen via twee separate IP adressen. Bij uitval van het netwerk of een switch biedt dit de mogelijkheid om de PDU’s te kunnen blijven uitlezen - middels de redundante IP aansluiting, via het redundante netwerk. “Met name de wat grotere datacenters zullen enorm veel profijt hebben van deze hybride PDU oplossing”, zegt Sommers. “Ook als het gaat om monitoring en het beheer van verschillende parameters. Datacenter beheerders kunnen bijvoorbeeld met één IP adres op een gateway het algehele energieverbruik van een datacenter uitlezen. Tegelijkertijd kunnen individuele gebruikers via een individuele uitgangsmeter hun eigen parameters beheren, rechten die in dat geval niet bij de datacenterbeheerder liggen.”

Voor meer informatie over de Rack PDU’s, zie www.minkels.com/hybridpdu

Maatwerk Rack PDU’s De verschillende VariconPower Rack PDU modellen kunnen tevens volledig op maat worden geleverd, aangepast aan klantspecifieke wensen en eisen. Daarbij kan gedacht worden aan keuzeopties zoals 16A of 32A, single-phase of three-phase, of bijvoorbeeld PDU’s met of zonder switching van outlets. Ook kunnen Minkels’ Rack PDU’s als volledig geïntegreerde en voorgemonteerde oplossing worden geleverd, in combinatie met andere datacenter en serverruimte oplossingen van Minkels. CloudWorks - nr. 3 / 2015

13

Cloud-strategie

Dassault Systèmes integreert SolidWorks in 3DEXPERIENCE Tijdens het jaarlijkse gebruikerscongres werd duidelijk dat de SolidWorks 3D-ontwerpsoftware verder wordt geïntegreerd met Dassault Systèmes’ cloudgebaseerde 3DEXPERIENCE-businessplatform. Om beter met klanten en ketenpartners online te kunnen samenwerken aan onderscheidende innovaties. Medio februari bezochten zo’n 5.500 klanten, partners en journalisten SolidWorks World, in Phoenix. Tijdens de eerste keynote presentatie vertelde Dassault Systèmes CEO Bernard Charlès zijn visie over onze snel veranderende wereld. Volgens hem zitten we momenteel in een revolutionaire periode van digitale transformatie, met het Internet of Things (IoT), social collaboration en 3D-printing als belangrijke trends. Charlès heeft met Dassault Systèmes de missie om mensen en organisaties te voorzien van virtuele 3D-werelden waarmee en waarin zij duurzame innovaties kunnen ontwikkelen. Deze tweede grootste softwareleverancier van Europa is in 2014 met ruim dubbele cijfers gegroeid naar een totale omzet van bijna e 2,3 miljard. SolidWorks is een wereldwijd veelgebruikt 3D-ontwerpprogramma om creatieve ideeën vorm te geven en uit

te werken tot kant en klaar productiemodellen. Naar behoefte uit te breiden met verticale technische applicaties voor onder andere elektrisch ontwerpen, inspecties en simulaties.

Conceptueel industrieel ontwerpen Na een terugblik, vooruitblik en het introduceren van Gian Paolo Bassi als nieuwe SolidWorks CEO, is SolidWorks Industrial Design geïntroduceerd. Een cloudgebaseerde applicatie met intuïtieve tools die het ontwerpen van consumentenproducten helpen te versnellen. Industrieel ontwerpers kunnen daarin complexe organische vormen gebruiken om sneller hun creatieve ideeën te verwezenlijken. Die kunnen zij via de samenwerkingsomgeving van het Dassault Systèmes 3DEXPERIENCE-businessplatform ook real-time met anderen delen voor feedback ter verbetering. Onafhankelijk van de tijd en locatie. Tot nu toe beperken veel ontwerpapplicaties de creativiteit van conceptuele ontwerpers, door data-incompatibiliteit, beperkte mogelijkheden om met anderen te communiceren en de complexiteit om alternatieve concepten te vergelijken. Daarom elimineert SolidWorks Industrial Design die beperkingen met een flexibele conceptuele modeleeromgeving in de cloud.

MySolidWorks

3D-printers worden plug & play te bedienen

Een ander cloudgebaseerd initiatief is de MySolidWorks online community en leeromgeving, waarvan inmiddels zo’n 2,7 miljoen gebruikers lid zijn. Daar zijn de afgelopen week 120 online leermodules aan toegevoegd. Over het modelleren van geavanceerde onderdelen en assemblages, ontwerpen voor productie met plaatmaterialen en andere SolidWorks-functies. Verder kan men voortaan eenvoudiger grote modellen delen of eDrawings ter beschikking stellen via MySolidWorks Drive, geïntegreerd met Dropbox of Google Drive. Een andere recente toevoeging is het MySolidWorks Manufacturing Network, om ontwerpers en engineers te verbinden met producenten die beschikken over 3D-printers, CNC- en spuitgietmachines. Met als doel sneller een offerte te kunnen aanvragen en onderdelen te laten maken. Via de My Var functie biedt deze online community tevens partners de gelegenheid om met klanten informatie te delen, zoals de op SolidWorks World aanwezige Benelux-partner Cadmes.

Gezien de populariteit en groei van 3D-printen, waren die ook op SolidWorks World aanwezig. Onder andere MarkForged met de Mark One composietprinter. Omdat daarbij het printen te onderbreken is om bijvoorbeeld een chip te embedden en daarna met een nauwkeurigheid van 10 micron het product is terug te plaatsen, zijn daarmee kant en klare elektronicacomponenten te printen. Verder kan de Mark One zelfs kevlar printen, voor bijzonder sterke componenten. Aan de andere kant van het 3D-printspectrum staat Mcor Technologies. Zij leveren 3D-printers die kopieerpapier als basismateriaal gebruiken. Omdat met een Mcor geprinte producten uit lagen papier worden opgebouwd, die onder hoge druk aan elkaar worden gelijmd, is het resultaat zo sterk als hout. Gezien de lage kosten aan verbruiksmaterialen worden die 3D-printers veel op scholen en voor het maken van maquettes door architecten gebruikt. Tenslotte waren nog Airwolf en EnvisionTEC aanwezig met hun 3D-printers.

Samenwerking Fab Foundation Na het nodige productnieuws maakte initiatiefneemster en directrice Sherry Lassiter de wereldwijde samenwerking bekend tussen Fab Foundation en SolidWorks. Fab Foundation is een overkoepelende stichting van inmiddels zo’n 450 FabLabs in 40 landen. Dit initiatief is begin 2009 ontstaan vanuit het MIT Center for Bits & Atoms Fab Lab Program, om iedereen toegang te geven tot de benodigde tools, kennis en financiën om te kunnen leren en te innoveren met moderne digitale productietechnieken. Deze missie vullen zij in door overal ter wereld communities te creëren die elkaar helpen en creatief inspireren. In elk FabLab staan diverse computers, 3Dprinters, lasersnijders en freesapparatuur, die op basis van open inloop te gebruiken zijn. Bij grotere FabLabs worden ook betaalde opleidingen en workshops verzorgd, om mede invulling te geven aan dit leren, maken en delen initiatief. De Benelux loopt vooraan mee in deze creatieve ‘open source’ beweging, met een 40-tal FabLabs.

14


Dassault Systèmes Dassault Systèmes levert organisaties en consumenten oplossingen en virtuele werelden voor het bedenken en creëren van duurzame innovaties. De oplossingen van het bedrijf transformeren de manier waarop producten worden ontworpen, geproduceerd en ondersteund. Verder stimuleert de samenwerkingssoftware van Dassault Systèmes ook sociale innovatie, omdat het de mogelijkheden van de virtuele wereld voor iedereen verder uitbreidt om de echte wereld te kunnen verbeteren. Het bedrijf voegt met zijn oplossingen inmiddels waarde toe aan meer dan 190.000 klanten in elke grootte en industrie, in ruim 140 landen. Het Nederlandse kantoor is gevestigd in Maarssen. Meer informatie is te vinden op http://www.3ds.com/ CloudWorks - nr. 3 / 2015

15

Blog T-Systems Data is overal en inmiddels heeft elk bedrijf – groot of klein – ermee te maken. Maar hoe gaan we om met die enorme, continue stroom aan gegevens? En hoe zorgen we ervoor dat we er ons voordeel mee doen? Hiervoor moeten bedrijven de informatie niet alleen verzamelen maar ook analyseren en interpreteren. Daar zijn verschillende technologieën voor op de markt. SAP HANA is één van de bekendste.

Meer weten over business, innovatie & IT?

door Occo Vreezen

Drie goede redenen om een SAP HANA-project te outsourcen SAP HANA is de innovatieve in-memory databasetechnologie van SAP. Het platform verzamelt en analyseert data op een gigantische snelheid. Daarnaast geeft het real-time zicht op juist die informatie die ertoe doet en managers kunnen hun bedrijfsprocessen daarmee gericht optimaliseren. Een oplossing die veel voordelen oplevert dus. Toch is de implementatie binnen een organisatie vaak complexer dan gedacht. Daarom hierbij drie goede redenen om een SAP HANA-project niet zelf intern op te pakken.

Investeringen Een eerste uitdaging waar organisaties mee te maken krijgen, is dat er voor de implementatie van SAP HANA aanzienlijke investeringen in hardware nodig zijn. Het budget voor zulke significante investeringen is er echter vaak niet. Tenminste, ze worden in veel gevallen niet beschikbaar gesteld voordat de business case helder is. Dat is ook logisch: waarom zou een bedrijf ergens geld insteken voordat duidelijk is waar het voor wordt gebruikt en zonder te weten wat het in potentie oplevert?

Onderzoek doen en testen Veel bedrijven stuiten op het tweede probleem als ze tot een relevante business case willen komen. Hiervoor zijn namelijk onderzoeken en tests nodig. Daarmee kijkt men immers of het SAPlandschap en de data in de eigen organisatie voldoende geschikt zijn om profijt te halen uit de investering. Zijn er voldoende relevante data aanwezig binnen de organisatie? Kunnen managers na analyse ook daadwerkelijk tot conclusies komen waar bedrijfsprocessen op zijn aan te passen? Zo niet, dan heeft het ook geen zin te investeren in de hardware. Het bedrijf gaat het uiteindelijk niet gebruiken.

Kennis en ervaring Komen we uit bij uitdaging nummer drie: voor het kunnen testen van het landschap en de data moet er wel op de korte termijn een testomgeving beschikbaar zijn. Wederom vereist dit de nodige

16


Lees www.BusinessEnIT.nl

investeringen. Om nog maar niet te spreken over de kennis, expertise en ervaring die vaak mist bij het eigen personeel om tot de juiste conclusies te komen. Wat ga je testen? Hoe ga je testen? Weet je wel zeker of de test representatief is ingericht voor een latere productieomgeving? Kortom: van ‘even’ testen komt niks terecht. De ervaring leert dat veel bedrijven al vastlopen bij het opstellen van hun business case. En van het ene probleem krijg je automatisch te maken met het volgende probleem. Zonder het één kun je het ander immers niet uitvoeren. Dat is dan ook precies de reden dat ik een groot voorstander ben van het outsourcen van een SAP HANA-project. Bovendien zijn er diverse ICT-dienstverleners beschikbaar die bedrijven hierin kunnen bijstaan en adviseren. Zij leveren kant-en-klare, gestandaardiseerde testplatforms en hebben diepgaande kennis van de SAP-omgeving. Waarom zou je het wiel opnieuw uitvinden? Het is dus zeker de moeite waard om een dergelijke implementatie niet zelf op te pakken, maar het uit te besteden aan de professionals. Dat scheelt mijns inziens veel tijd en geld. Occo Vreezen, Solution Consultant SAP bij T-Systems Nederland

{

‘De ervaring leert dat veel bedrijven al vastlopen bij het opstellen van hun business case’

Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op http://businessenit.nl/over-business-en-it/

Mobility Nieuwe strategische visie van Dynatrace:

Digital Performance Platform stelt beleving gebruiker centraal

Als het aan Dynatrace ligt - voorheen bekend als Compuware - gaan bedrijven ook het laatste stukje inside out-denken afschaffen. Waar veel IT- en business managers de aandacht nog sterk leggen op mobiele apps als ultieme interface met gebruikers, stelt dit bedrijf dat we daarmee nog niet ver genoeg gaan. Niet de al of niet mobiele applicatie en zijn prestaties moeten centraal staan in een moderne IT-strategie, maar de ervaring van de gebruiker van die app. Dat klinkt wellicht als een subtiel verschil, maar de consequenties van zo’n strategiewijziging gaan ver. Dynatrace is voortgekomen uit Compuware, een softwarebedrijf dat vooral bekend stond als ontwikkelaar van systeemsoftware voor onder andere mainframes. Dat het bedrijf echter ook een grote speler was op het gebied van performance management was veel minder bekend. Met de afsplitsing van deze tak gaan deze activiteiten nu verder in een aparte onderneming die luistert naar de naam ‘Dynatrace’.

Denkfout Het nieuwe bedrijf kan nu zijn aandacht voor de volle honderd procent richten op het ontwikkelen van tools en processen voor prestatiebeheer. Die producten dienen uiteraard gebaseerd te zijn op een strategische visie en daarin staat het zogeheten ‘Digital Performance Platform’ centraal. Dat platform is een logisch vervolg op de visie die het bedrijf in het verleden al heeft ontwikkeld. Bij het testen van applicaties - of het nu gaat om meer klassieke toepassingen of moderne apps - maken veel IT-afdelingen een belangrijke denkfout. Kort gezegd komt die denkfout er op neer dat men alle componenten die bij een applicatie een rol spelen los van elkaar test. Voldoen deze componenten, dan voldoet - zo denkt men - ‘dus’ ook de volledige applicatie. Daarbij ziet men echter over het hoofd dat een applicatie die live is zich vaak heel anders gedraagt dan in een ‘cleane’ testomgeving. Netwerken, servers, middleware, opslagsystemen, database servers

18


en dergelijke gedragen zich in een live-situatie vaak veel minder voorspelbaar en consistent dan we zouden verwachten. Daarom biedt alleen monitoren in een operationele omgeving een goed beeld van de werkelijke prestaties. Op dat inzicht bouwt Dynatrace voort. In een wat men noemt ‘digital business’ dient de beleving van de gebruiker centraal te staan. Ook al geven alle testen aan dat een applicatie uitstekende prestaties kent, als de gebruiker slechte responsetijden ervaart of geconfronteerd wordt met trage schermopbouw of vertragingen bij het ophalen van data uit databases, dan is dat het uitgangspunt dat we moeten hanteren bij het beoordelen en verbeteren van de prestaties van een applicatie.

Snelheid versus kwaliteit Daar komt nog bij dat steeds meer applicaties en apps zeer vaak ge-update worden. Dat is erg lastig te realiseren bij gebruik van klassieke ontwikkelen testprocedures. DevOps en moderne vormen van performance testing moeten die tegenstelling tussen snelheid en kwaliteit opheffen. Bovendien moet preventief getest en gemonitored worden. Een technisch probleem met een applicatie of app moeten we zien aankomen, zodat we het kunnen oplossen nog voordat de gebruiker er op een negatieve manier mee wordt geconfronteerd. We hebben dus een geïntegreerd inzicht nodig in de prestaties van de gehele keten: van de IT-systemen en netwerken in datacenters, de applicatiecode, de internetverbindingen tot de apparatuur die de gebruiker toepast om de applicatie te benutten. Dat inzicht verkrijgen we via een zogeheten ‘Digital Performance Platform’. Dit maakt namelijk, zo stelt Dynatrace, real-time informatie over digitale services en hun gebruikers zichtbaar én bruikbaar voor iedereen binnen de organisatie.

Figuur 1. Een bedrijf dat vooral digitaal zaken doet dient zich op drie terreinen te onderscheiden.

Riverbed en AppDynamics - zitten nog erg in de hoek van het monitoren van applicaties en ontbreekt het aan een breder inzicht waarbij ook de impact van systemen en netwerken in datacenters, de gebruikte devices van gebruikers en bijvoorbeeld internetverbindingen worden meegenomen. Dynatrace noemt echter juist die integratie van applicatie-prestaties met inzicht in de infrastructuur waar deze toepassingen gebruik van maken cruciaal.

Van Compuware naar Dynatrace De merknaam ‘Dynatrace’ mag dan nog redelijk nieuw zijn, het bedrijf bestond onder de oude naam ‘Compuware’ al tientallen jaren. Hierdoor kon het als separaat bedrijf een vliegende start maken met wereldwijd meer dan 5.800 klanten en een ontwikkelafdeling die 750 medewerkers telt.

Bovendien speelt er nog een aspect: het beheer van de gehele digitale service dient op proactieve wijze plaats te vinden. Het gaat er in de visie van het bedrijf immers om dat voorkomen wordt dat de gebruiker een negatieve ervaring met een applicatie of app heeft. Het oplossen van een eventueel probleem is prima, maar door de storing kan de gebruiker al zijn afgehaakt. Dat mag niet gebeuren en dat kan alleen als het beheer leidt tot inzichten die problemen kunnen voorkomen.

Bovendien heeft het bedrijf een technische community opgebouwd die meer dan 83.000 leden telt. Via deze community zijn onder andere uitbreidingen op de standaard tools van Dynatrace beschikbaar. Dit betekent bijvoorbeeld dat voor specifieke doeleinden meer dan honderd gratis plug-ins voor de APM-tools van het bedrijf beschikbaar zijn voor cloud-, mobiele-, DevOps en enterprise-omgevingen. De community is ook actief via het Github-platform.

Robbert Hoeffnagel is hoofdredacteur van CloudWorks

Figuur 2. Een Digital Performance Platform biedt alle gebruikers binnen een organisatie real-time inzicht in prestaties van digitale services.

Nu zijn er meerdere aanbieders die zich in deze richting bewegen. Bij Dynatrace benadrukt men echter dat er dan vaak enkele aspecten ontbreken. Veel concurrenten - denk aan CA Technologies, CloudWorks - nr. 3 / 2015

19

Open Stack Snelle adoptie vraagt om verdere professionalisering

EXIN lanceert certificering voor OpenStack

De kennis die zij hiervoor nodig hebben, doen zij veelal op via praktijkervaring en trainingen die worden aangeboden door commerciële partijen. Vaak zal het dan gaan om trainingen die specifiek gericht zijn op bepaalde tools, terwijl in sommige gevallen ook een meer gedegen basiscursus wordt aangeboden. Er bestond voor ICT-professionals tot voor kort echter geen mogelijkheid om hun kennis op het gebied van OpenStack formeel te laten toetsen door een onafhankelijke partij. Dit had belangrijke gevolgen. Enerzijds konden zij zelf hooguit via de cursussen die zij via aanbieders hebben gevolgd een indicatie geven van hun kennis en ervaring op dit gebied. Anderzijds is het voor IT-managers en HR-managers erg lastig om te beoordelen in hoeverre hun medewerkers of eventuele kandidaten voor bepaalde technische functies over de juiste competenties beschikken. Met de lancering van EXIN Certification in OpenStack Software brengt EXIN hier nu verandering in. Het internationaal opererende maar van oorsprong Nederlandse instituut (EXIN is gevestigd in Utrecht) speelt hiermee in op een snel groeiende behoefte. Zoals wel mag blijken uit het feit dat de laatste OpenStack Summit in Parijs eind vorig jaar maar liefst meer dan vijfduizend deelnemers trok, bestaat er een enorme behoefte aan kwalitatief hoogwaardige informatie over deze technologie. Bovendien is OpenStack voor veel bedrijven en organisaties inmiddels dermate belangrijk dat het eigenlijk nauwelijks nog verantwoord te noemen is dat ICT-professionals het zonder formele vorm van opleiding en certificering moeten stellen.

‘Vendor neutral’

De afgelopen jaren heeft OpenStack een enorme groei doorgemaakt. Steeds meer bedrijven en overheidsorganisaties gebruiken deze open sourcetechnologie voor het bouwen van publieke en private cloud-omgevingen. Daarmee groeit ook de behoefte aan het toetsen en certificeren van de kennis van ICTprofessionals die met OpenStack-technologie werken. EXIN speelt op deze ontwikkeling in met de lancering van het certificeringsprogramma ‘EXIN Certification in OpenStack Software’.

OpenStack is een open source besturingssysteem voor het ontwikkelen en inrichten van publieke en private cloud-omgevingen. Oorspronkelijk van start gegaan als een project van Rackspace en de NASA is OpenStack de afgelopen jaren zeer populair geworden. Het is uitgegroeid tot een van de belangrijkste hulpmiddelen die bedrijven en organisaties inzetten om te komen tot een verdere flexibilisering van hun IT-systemen. Die populariteit zien we ook terug in de cijfers die marktonderzoekers publiceren. De markt voor OpenStack-oplossingen zal in 2018 vier maal zo groot zijn als in 2014. Naar verwachting heeft de markt in 2018 een omvang bereikt van 3,3 miljard dollar. Figuur 1 schetst wat dat betreft een interessant beeld van de toekomst van OpenStack. Het project wordt aangestuurd via de OpenStack Foundation. Inmiddels zijn meer dan 17.000 mensen lid van deze organisatie, terwijl bijna 350 bedrijven, universiteiten en onderzoeksinstellingen het project ondersteunen.

Snelle groei Figuur 1. De verwachte groei van OpenStack.

20


Deze indrukwekkende groei betekent dat steeds meer ICT-professionals in hun dagelijkse werk te maken hebben met OpenStack.

EXIN heeft bij het ontwikkelen van dit certificeringsprogramma nauw samengewerkt met HP, een van de belangrijkste ondersteuners van de OpenStack Foudation. HP levert zelf ook commerciële producten op basis van OpenStack, maar het programma dat EXIN nu heeft ontwikkeld is volledig ‘vendor neutral’, benadrukt EXIN in een toelichting. EXIN hanteert een open certificeringsmodel en zal meerdere opleiders accrediteren voor het programma. De rol van HP moet vooral gezien worden als die van kennispartner. EXIN Foundation Certificate in OpenStack Software kent een redelijk technisch karakter. Het biedt een entry-level introductie tot OpenStack. Dit betekent dat alle basiscomponenten die deel uitmaken van de OpenStack-infrastructuur aan de orde komen. Denk aan thema’s als storage, identity management en networking. Hoewel de adoptie van OpenStack in eerste instantie vooral onder enterprise-organisaties snel op gang kwam, kent de certificering een bredere doelgroep. Ook voor ICT-professionals uit het middelgrote bedrijfsleven is het examen en het betrokken certificaat relevant.

Kenmerken Wat biedt EXIN met dit programma nu precies? Het gaat om een aantal belangrijke punten: • Onafhankelijke certificering - het certificeringsprogramma is niet gebonden aan een of meer commerciële aanbieders van OpenStack-producten, maar is geheel onafhankelijk.

Figuur 2. De positie van EXIN Foundation Certification in OpenStack Software binnen het totale programma van EXIN.

• Inzicht in kennis - het behalen van een certificaat geeft aan dat de betrokken medewerker beschikt over een duidelijk omschreven basiskennis rond deze open source-technologie. • Inzicht in competenties - voor HR-managers bij zowel enterprise- als middelgrote organisaties betekent het certificaat dat de betrokken ICT-professional beschikt over duidelijk omschreven competenties. • Wereldwijd erkend - doordat EXIN dit programma wereldwijd aanbiedt, maakt EXIN Certification in OpenStack Software het voor organisaties die in meerdere landen actief zijn mogelijk om een beter inzicht te verkrijgen in de kennis van medewerkers die werkzaam zijn in meerdere landen en op tal van locaties. Dat maakt onder andere het inzetten van buitenlands personeel voor OpenStack-projecten eenvoudiger. Het programma is beschikbaar in meerdere talen. • Compleet programma – bouwend op het Foundation niveau certificaat wat nu al beschikbaar is, komt EXIN tevens later dit jaar met de eerste kwalificaties op Advanced-niveau. Deze richten zich op specifieke onderdelen van OpenStack-software, zoals Neutron, Cinder en Swift. • Opstap naar bredere opleiding - doordat EXIN Foundation Certificate in OpenStack Software een integraal onderdeel uitmaakt van het veel bredere programma examens en certificeringen dat EXIN aanbiedt, kan het behalen van dit certificaat tevens een opstap betekenen naar vervolgstudies en -certificeringen. Figuur 2 geeft de positie van deze certificering binnen het totale EXINprogramma aan. Hans Vandam is journalist

Meer weten? Download de brochure Certificering op basis van EXIN Foundation Certificate in OpenStack Software past doorgaans in een driedaagse training. De feitelijke examens worden afgenomen door partners van EXIN, veelal opleidingsinstituten. EXIN heeft een speciale brochure samengesteld waarin meer informatie wordt gegeven over dit certificeringsprogramma. Interesse? Kijk op www.cloudworks.nu/downloads CloudWorks - nr. 3 / 2015

21

Blog Comsec

Zes datacentertrends voor 2015 door Henk van der Heijden

Vorig jaar werd de trend al ingeluid, maar dit jaar steekt het fenomeen nog sterker de kop op: de IT en het facility management van datacenters gaan steeds vaker hand-in-hand. Dat heeft gevolgen voor de beveiliging, het beheer en de strategische keuzes die gemaakt worden. Deze zes trends zullen dit jaar de markt aanzienlijk bepalen.

1. Prefab datacentermodules De datacentermarkt is zeer competitief. Om bij te blijven is schaalbaarheid en snelle uitrol noodzakelijk. Integratie vindt daardoor op een steeds dieper niveau plaats. Zowel de IT-stack als de ondersteunende voorzieningen zijn verkrijgbaar in kanten-klare modules. Een aantrekkelijke constructie: het verkort de implementatietijd en maakt datacenters zeer efficiënt schaalbaar. Maatwerk is dan minder handig, want dat kost tijd: uitrol, beveiliging en beheer ervan is niet effectief. Geïntegreerde, kant-enklare datacentermodules zijn dan ook meer dan welkom in grote commerciële datacenters en organisaties als Facebook.

4. Virtualisatie zet door tot op hoogste niveau met SDN Virtualisatie an sich is beslist geen trend van de laatste jaren; al decennialang speelt het een groeiende rol in IT. Niet alleen systemen, maar ook netwerkinfrastructuren worden steeds vaker voorzien van een virtualisatielaag. De populariteit van software defined networking (SDN) zet in 2015 verder door en maakt datacenters flexibeler. Het beheer van zowel fysieke als virtuele systemen vereist echter wel een gedegen inrichting en brede kennis van zaken. Organisaties kunnen zich daarop onderscheiden.

5. Meer aandacht voor fysieke bouw en disaster planning

Peter Vermeulen, Pb7 Research:

Wereldwijd komen steeds vaker aardbevingen en andere natuurlijke rampen voor. Het vormt naast de professionalisering van de cybercriminaliteit een tweede veiligheidsfactor die dit jaar extra aandacht behoeft. Extra aandacht voor de fysieke bouw van een datacenter is noodzakelijk, zeker in gebieden met een verhoogd risico. Daarnaast neemt het belang van een solide disaster planning en bijvoorbeeld ‘recovery’-locaties toe.

‘Ten onrechte overheerst nog altijd de vraag naar technische trainingen’

2. Grotere dreiging van cybercriminelen

6. Uptime, uptime, uptime

De fysieke beveiliging van een datacenter is niet meer het grootste zorgenkindje. De professionalisering van de cybercriminaliteit heeft zijn weerslag op de sector. Die trend zet in 2015 door. Hackers zijn steeds vaker nietsontziende, professionele criminelen of bevlogen activisten die met geavanceerde methoden toegang proberen te verkrijgen tot systemen en data in datacenters. Dat vereist een zeer uitgekiende beveiligingsstrategie en regelmatige audits om die veiligheid te garanderen. Fysieke beveiligingsmaatregelen moeten bovendien hand-in-hand gaan met digitale maatregelen om zo het risico op digitale inbraak zo sterk mogelijk te verkleinen.

In onze huidige ‘connected economy’ is voor uitval van diensten nog nauwelijks ruimte en begrip. Uptime wordt alleen maar belangrijker en zou het uitgangspunt moeten zijn van ieder zichzelf respecterend datacenter. In een goede uptime-strategie komen gedegen fysieke en digitale beveiliging, redundancy en een solide infrastructuur samen.

3. Cloud = commodity De cloud is al enkele jaren in opkomst en in 2015 neemt de populariteit verder toe. De manier waarop de cloud ingezet wordt, is zeer opportuun. Het maakt bij bedrijven strategisch onderdeel uit van de totale IT-architectuur, steeds vaker in een hybride omgeving. Daar waar mogelijk wordt cloud ingezet en draait het naast on-premise-oplossingen en systemen die via colocatie-hosting zijn weggezet. Dit jaar zal het aandeel cloud in dat gemêleerde landschap verder toenemen, iets waar vooral cloudproviders zich terdege bewust van moeten zijn.

22


SECURITY OPLEIDINGEN

En verder BeveiligMij.nl: netwerk van security specialisten, adviseurs en engineers - Security specialist inhuren of medewerker opleiden? - ‘Je bent nooit uitgeleerd als het over informatiebeveiliging gaat’ - De Chief Information Security Officer - Europees Competentie Framework voor ICT-professionals - SCOS organiseert Wireshark Network en Security Training - ‘Security-trainingen hebben diepgang nodig’

Henk van der Heijden, Managing Director (a.i.) bij Comsec Consultancy in Nederland en partner & oprichter van TecHarbor

{

‘De IT en het facility management van datacenters gaan steeds vaker hand-in-hand’


23

Security-opleidingen

Ten onrechte overheerst nog altijd de vraag naar technische trainingen Informatiebeveiliging is en blijft een bijzonder dynamisch vakgebied. Zowel wat er beveiligd moet worden als wat er bedreigt, verandert snel en neemt in complexiteit toe. Cybercriminelen zijn steeds beter georganiseerd en proberen met steeds geavanceerdere aanvallen zoveel mogelijk schade aan te richten. Tegelijkertijd lijkt het wel of de business alle deuren wijd open probeert te zetten door met het ene na het andere mobiele apparaat en de ene na de andere cloud dienst te komen. Dat net op dat moment de overheid aankondigt flinke boetes uit te delen aan bedrijven die privacygevoelige data lekken, maakt het ook niet makkelijker. En nu beginnen we ook nog eens na te denken over het Internet of Things. Alsof dat nog niet genoeg is, hebben we ook nog te maken met gebruikers die de gevaren niet (willen) zien of zich er niet verantwoordelijk voor voelen. Het moge duidelijk zijn: wat IT-informatiebeveiliging betreft, is ‘life long learning’ een zaak van leven of dood.

Het goede nieuws is dat de meeste organisaties beseffen dat training een belangrijk thema is voor security en er prioriteit aan geven. In de Nationale IT-Security Monitor 2014 staat training op de vierde plek, slechts enkele procenten achter het belangrijkste thema, cybercrime. Dat betekent echter nog niet dat er voldoende, of op de juiste gebieden wordt geïnvesteerd.

Figuur 1: Security prioriteiten Welke van de volgende thema’s zijn voor u de komende 12 maanden het belangrijkst op het gebied van IT-security?

De meeste Nederlandse organisaties (69 procent) geven aan dat ze voldoende of ruim voldoende denken te investeren in security trainingen om een hoog niveau van informatiebeveiliging te garanderen. ‘Slechts’ 21 procent zegt expliciet dat er onvoldoende budget is. En dan nog is het de vraag of het genoeg is. Volgens deze zelfde respondenten is het namelijk niet genoeg. 64 procent van alle respondenten gaf aan dat er niet genoeg in opleiding en training wordt geïnvesteerd. Een hoog niveau is mooi, maar blijkt niet genoeg. Maar waar komt dat verschil dan door? We komen hier later op terug, maar laten we eerst kijken naar waar Nederlandse bedrijven hun security trainingsbudget aan spenderen.

Figuur 2: Security prioriteiten Beschikt u over voldoende trainingsbudget om een hoog niveau van informatiebeveiliging te waarborgen?

24



25

Security-opleidingen Investeringen Als we naar de investeringen in training kijken, zien we dat databeveiliging een grote rol is gaan spelen. DLP en identiteits- en toegangsbeheer (IAM) staan hoog op het verlanglijstje met daar tussenin netwerkbeveiliging. De afgelopen jaren is er een duidelijke verschuiving op gang gekomen van de manier waarop organisaties beveiligen: waar voorheen vooral het hek bewaakt werd (netwerkbeveiliging), verschuift de beveiliging naar het niveau van de data zelf. De data moet veilig overal gebruikt kunnen worden en veilig in het datacenter kunnen resideren. Door de implementatie van IAM kan vervolgens op een gebruikersvriendelijke manier bepaald worden wie waar bij kan. Dat DLP en IAM zo hoog op de prioriteitenlijst staan, betekent niet dat organisaties het goed voor elkaar hebben. Het betekent vooral dat men hierin is gaan investeren, of wil gaan investeren, maar dat het kennisniveau gebaat is bij een goede upgrade. We zien in de monitor bijvoorbeeld dat organisaties aangeven dat de grote groei in investeringen op het gebied van IAM een pas op de plaats maakt (blijft desalniettemin op een hoog niveau), terwijl de investeringen in mobiele beveiliging juist de lucht in schieten.

opleidingsprogramma. Ook zijn veel accreditatieprogramma’s sterk gericht op bestaande infrastructuren en technologieën, terwijl de gevaren steeds meer komen van opkomende technologieën.

Figuur 3: Investeringen in Security Training Op welke van de volgende gebieden gaat u de komende 12 maanden in training investeren?

Wat verder opvalt aan de prioriteitenlijst, is dat de nadruk op technische vaardigheden ligt. Uiteraard is de uitdaging al zeer groot om op technisch niveau bij te blijven, maar uit zo’n beetje elk IT-security onderzoek komt al jarenlang naar voren dat de gebruiker het grootste gevaar vormt. Toch staat awareness training voor gebruikers pas op de vierde plaats. Ook kunnen we zien dat de aandacht voor training op het gebied van risicobeheersing vooralsnog op een vrij laag niveau blijft hangen, terwijl de risico’s op het gebied van informatiebeveiliging een strategische aangelegenheid op directieniveau zou moeten zijn. Hoewel we niet hebben gevraagd naar voorkeuren voor accreditatie, zien we dat bij 21 procent er het nodige geïnvesteerd wordt in brede certificeringen, zoals CISSP. Zoals gebruikelijk spelen in Nederland certificeringen een grotere rol dan in de meeste andere landen. Opleidingen met accreditatie spelen een belangrijke rol om objectief vaardigheden vast te kunnen stellen. Dat is enerzijds handig bij het wervings- en selectieproces, maar is ook belangrijk voor een transparante communicatie, of verantwoording, naar de organisatie. Uiteraard is een accreditatie iets heel anders dan een garantie en kan het nooit het (enige) uitgangspunt zijn van een

26


Het valt ook op dat de aandacht voor security training die gericht is op het omgaan met veranderingen in de IT-omgeving, ook daadwerkelijk beperkt is. Nog geen 10 procent investeert in cloud security training, terwijl maar liefst 49 procent aangeeft onvoldoende kennis in huis te hebben om te garanderen dat cloudoplossingen veilig gebruikt worden. Ook op het gebied van mobiel gebruik, zegt 1 op de 2 dat de kennis ontbreekt om het veilig te laten plaatsvinden. En dan is er ook nog relatief weinig aandacht voor veilige softwareontwikkeling. In de Nationale IT-Security Monitor viel op dat veel organisaties aangeven ‘secure by design’ en ‘private by design’ software te ontwikkelen, maar dat in de praktijk veelal de beveiliging toch pas op het laatst aan een applicatie wordt toegevoegd met alle risico’s van dien. De uitkomsten van de Nationale IT-Security Monitor laten zien dat IT-beveiliging ook wat betreft training zich vooral richt op de bestaande IT-omgeving, maar vaak achter de feiten aanloopt als we het over nieuwe technologie hebben.

Figuur 4: Investeringen in Security Training Met welke van de volgende stellingen bent u het eens?

Daarmee wordt ook duidelijk waarom IT-beveiligers aangeven dat ze uiteindelijk toch te weinig investeren in training en opleiding. Security beveiligt de bestaande infrastructuur heel behoorlijk, maar beweegt te weinig mee met nieuwe technologie en zou meer de nadruk op het veiligheidsbewustzijn moeten leggen. Voor veel organisaties blijkt het allemaal simpelweg te complex te worden en zoekt men steeds meer ondersteuning van buitenaf. Voor andere organisaties is er een andere, heel begrijpelijke reden waarom men zich vooral op de IT van gisteren richt: nieuwe oplossingen op het vlak van mobiel en cloud komen grotendeels buiten IT om, en zeker niet op initiatief van IT, de organisatie binnen. Waarom zou je je daar als IT - waar meestal nog altijd IT beveiliging zich bevindt verantwoordelijk voor voelen? Waarom zou je extra budget moeten aanvragen om iets te beveiligen waar je niet om gevraagd hebt en waar je geen ‘ownership’ over hebt? Als we er iets over te zeggen hebben, verbieden we het wel en anders is het niet ons probleem.

maar uiteindelijk kun je als informatiebeveiliger uiteindelijk beter de vlucht naar voren maken. Zorg ervoor dat je meer ruimte in het trainingsbudget reserveert voor security die helpt nieuwe technologie veilig te gebruiken. Zorg er ook voor dat je beter de vertaalslag naar de business kan maken en in termen van risico management kan werken. En zorg ervoor dat je met de gebruiker om tafel komt en hem bewust maakt van de risico’s die hij neemt en wat hij er tegen kan doen. De beloning is groot: als je als informatiebeveiliger kan bijdragen aan een snelle, veilige lancering van nieuwe digitale producten en diensten en medewerkers ongeacht locatie veilige toegang kan geven tot belangrijke gegevens, verkrijgt je organisatie een belangrijke voorsprong op concurrenten. Met de opkomende digitalisering van de directieagenda, neemt de strategische positie sterk toe. Budget vrijmaken voor security training is geen kostenpost: het is een strategische investering.

Helaas blijkt het als het eenmaal misgaat wél als een probleem van IT te worden beschouwd. Daar kan je van alles van vinden,

Peter Vermeulen is directeur van Pb7 Research CloudWorks - nr. 3 / 2015

27

Security-opleidingen BeveiligMij.nl:

Netwerk van security specialisten, adviseurs en engineers ‘Voorkom identiteitsfraude’. ‘Zorg dat je veilig internet’. ‘Wees voorzichtig met het doorgeven van persoonlijke informatie’. ‘Gebruik geen makkelijk te raden wachtwoorden’.Iedereen kent deze teksten, die in heel veel verschillende campagnes op ons afgevuurd worden. Toch blijven we – bewust én onbewust – nog altijd veel meer informatie delen dan we eigenlijk zouden moeten willen. Stiekem worden we misschien ook wel een beetje ‘campagne-moe’.

BeveiligMij.nl heeft als doel om bedrijven te helpen beter om te gaan met informatie, zowel online als offline. Hoe kan dat beter dan door kennis gratis met hen te delen. Als we allemaal meer beveiligingsbewust zijn, zal de hele wereld er wel bij varen. BeveiligMij.nl heeft samen met Swipe Media een informatieportaal ontwikkeld om het veilig omgaan met informatie te ondersteunen. BeveiligMij.nl stelt materiaal en achtergrondinformatie beschikbaar om het bewust omgaan met (online) bedrijfs- en privégegevens te bevorderen.

E-learning als tool

Partners zorgen zelf voor het inplannen van trainingen, de facturatie en productadvisering naar hun klanten. Binnen het verkooptraject krijgen zij alle ondersteuning vanuit BeveiligMij.nl. Pieter Remers van De Gesprekspartners licht toe: “We hebben als doel het Nederlandse bedrijfsleven bewuster om te laten gaan met informatie en dat is alleen mogelijk door samen te werken met professionele partners. Wij hebben dan ook besloten ons aanbod enkel via een partnerkanaal te laten verlopen. Hierdoor willen we onze partners helpen zich te onderscheiden door onze diensten aan te bieden in hun eigen huisstijl.”

BeveiligMij.nl biedt naast het informatieportaal bewustwordingstrajecten aan waardoor medewerkers van bedrijven, overheid en semi-overheid zich meer bewust worden van de risico’s van dataverlies en –diefstal. Security awareness is echter geen eenmalige training. Het is een proces met als doel het (online) gedrag te veranderen. Binnen de bewustwordingstrajecten van BeveiligMij.nl wordt naast klassikale trainingen gebruikgemaakt van e-learning. Ontwikkeld door Gouti, zorgt deze tool ervoor dat men regelmatig en herhaaldelijk gewezen wordt op de cyberrisico’s en vooral op het voorkomen van dergelijke incidenten.

Les- en promotiemateriaal, inclusief informatieportaal en online test kunnen worden aangepast aan de bedrijfsidentiteit van de BeveiligMij.nl partner. Door gebruik te maken van deze ‘white label’-optie kunnen ICT-resellers de opleidingen volledig onder hun eigen naam aanbieden en hebben zij toegang tot een zeer compleet en professioneel netwerk van security-specialisten, adviseurs en engineers. BeveiligMij.nl stimuleert kennisuitwisseling en biedt daartoe een passend aanbod aan achtergrondinformatie, uitgebreide tips en toegang tot het e-learning platform.

“Onze trainingen zijn gericht op bewustwording, maar een organisatie is er het meest mee gebaat als die bewustwording leidt tot veiliger gedrag. Om het gedrag meetbaar te maken en vooral ook de verandering in gedrag, is de e-learning een goede tool”, zegt Frank Mulder, eigenaar van De Gesprekspartners dat onder het label Beveiligmij.nl security awareness trajecten exploiteert. “BeveiligMij.nl leert gebruikers wat de meest voorkomende gevaren en valkuilen zijn bij het dagelijks gebruik van informatie”, vervolgt Mulder. “Zo krijgt men inzicht in de vraag hoe verschillende vormen van misbruik-door-derden kan worden herkend en - vooral - hoe zij dit kunnen voorkomen.”

Weglekken Er zijn veel bedreigen waardoor kritieke bedrijfsinformatie kan weglekken. Denk hierbij aan het onjuist vernietigen van papieren documentatie, waardoor informatie letterlijk op staat komt te liggen. Maar denk ook aan het voor bezoekers zichtbaar achterlaten van vertrouwelijke informatie. Ook dit soort vormen van informatieverlies worden behandeld in de trajecten van BeveiligMij.nl. Hieronder een overzicht van de onderwerpen die tijdens de trainingen en e-learning aan bod komen: • Cybercriminaliteit • Wachtwoorden • Veilig internetten • Veilig e-mailen • Wifi-netwerken • Veilig mobiel • PC beveiliging • Informatievernietiging • Multifunctionals • Veilige werkplek • Identiteitsbewijzen • Social media

Online Security Awareness Test Henk-Jan Angerman, algemeen directeur SECWATCH Nederland en partner van BeveiligMij.nl: “Door het security awareness-aanbod van BeveiligMij.nl - denk aan klassikale trainingen en de bijbehorende e-learning trajecten - kunnen wij ons verder onderscheiden in een competitieve markt. De kwaliteit en diversiteit van BeveiligMij.nl is een goede aanvulling op ons bestaande aanbod. SECWATCH Nederland kan hiermee haar dienstverlening op het gebied van IT-beveiliging verder uitbreiden.” Ook biedt BeveiligMij.nl een online security awareness test. Hiermee kunnen bedrijven in kaart brengen hoe goed (of slecht) zij op de hoogte zijn van cyberrisico’s en -bedreigingen.

BeveiligMij.nl BeveiligMij.nl werkt in een team van internet- en securityspecialisten. De trainers hebben minimaal vijftien jaar ervaring in de beveiligingsbranche, waardoor zij veel kennis uit de praktijk kunnen delen met de cursisten. Naast het opleiden van organisaties op het gebied van veiligheid en privacy, profileert BeveiligMij.nl zich als onafhankelijk securityexpert en -adviseur. De menselijke benadering staat bij BeveiligMij.nl daarbij hoog in het vaandel, aldus het bedrijf. BeveiligMij.nl is een label van De Gesprekspartners. De Gesprekspartners exploiteert onder de naam BeveiligMij.nl activiteiten op het gebied van Security Awareness. De Gesprekspartners komt graag in contact met geïnteresseerde partners. Zij kunnen via de website contact opnemen om mogelijkheden en voordelen te bespreken.

Partnerkanaal Pieter Remers

28

Frank Mulder Alles over innovatie in ICT

BeveiligMij.nl biedt security awareness uitsluitend aan via partners. Zo is en blijft de partner voor de eindgebruiker het aanspreekpunt.

Kijk voor meer informatie op www.beveiligmij.nl CloudWorks - nr. 3 / 2015

29


Een goede opleiding verandert het gedrag Wie serieus werk maakt van informatiebeveiliging, komt al snel uit op ISO27001, NEN7510, CobiT, OWASP of andere standaarden. Dat is niet per se verkeerd. Dergelijke standaarden bevatten immers een schat aan kennis: ze bundelen de ervaring van vele honderden organisaties en experts. Maar het lukraak implementeren van een standaard heeft veel weg van een schriftelijke cursus autorijden. Soms is het niet zo’n slecht idee om ook een goede instructeur in te schakelen. Om de informatie in een organisatie succesvol te beveiligen, moet er meer gebeuren dan een standaard op de kop te tikken en een Information Security Officer aan te wijzen. Het doel moet zijn om een cultuur te ontwikkelen waarin veilig werken de norm is. Deze cultuurverandering is dan terug te zien in het gedrag van alle medewerkers met toegang tot waardevolle bedrijfsinformatie. In moderne organisaties zijn dat vrijwel alle medewerkers. Maar hoe brengen we zo’n verandering tot stand?

Gedrag veranderen Mensen veranderen van gedrag als aan drie voorwaarden is voldaan: • de betrokken persoon weet wat het gewenste gedrag is • heeft de competenties om dit gedrag te vertonen • én is gemotiveerd Voor veel medewerkers zal de nadruk liggen op het vergroten van kennis en motivatie, omdat van hen geen complex nieuw gedrag gevraagd wordt. Ongevraagde e-mails verwijderen, bezoekers begeleiden zolang ze in het gebouw verblijven, een bureau opgeruimd achterlaten, kortom: alert zijn en gezond verstand gebruiken. Voor hen kan een (langlopende) awareness-campagne, aangevuld met standaard e-learning modules, voldoende zijn. Er zullen echter ook medewerkers zijn die hun kennis en competenties op een hoger niveau moeten brengen voordat ze in hun dagelijkse werk het gedrag kunnen vertonen dat noodzakelijk is om bedrijfsinformatie beschikbaar, integer en vertrouwelijk te houden. Denk aan IT-professionals die direct werken aan de informatievoorziening, mensen met een voorbeeldfunctie of personen die toegang hebben of verlenen tot bedrijfskritische informatie. Zij zullen zich nieuwe kennis en competenties eigen moeten maken en dan komt opleiden om de hoek kijken.

30


De rol van opleiden In de jaren negentig van de vorige eeuw publiceerden Morgan McCall en zijn collega’s van het Center for Creative Leadership hun invloedrijke 70-20-10 model. Het beschrijft hoe professionals leren: 70 procent door werk uit te voeren, 20 procent van anderen (collega’s, de baas) en 10 procent in opleidingen of door zelfstudie. We zouden dat kunnen opvatten als een pleidooi tegen het volgen van een opleiding, maar de werkelijkheid ligt genuanceerder. Wat het model laat zien, is dat het echte leren pas plaatsvindt als mensen de kans krijgen om te oefenen. Bijvoorbeeld door nieuwe methoden en technieken toe te passen. Opleidingen zijn een goede manier om zulke nieuwe methoden en technieken te ontdekken en ze bieden een veilige omgeving om alvast te experimenteren. De uren in een klaslokaal werken als een hefboom die het leren op de werkvloer in gang zet. Regelmatig een goede opleiding volgen, is dus onmisbaar. Maar hoe kiezen we uit het enorme aanbod op de markt? Drie criteria bepalen de effectiviteit van een opleiding: de docent, de onderwijsvorm en de aansluiting op de werkpraktijk. Daarnaast kan certificering belangrijk zijn. We behandelen deze aspecten een voor een.

Ervaring Een goede docent weet uit ervaring waarover hij praat. Wijsheid uit boeken is mooi, maar als het erop aankomt, tellen de vlieguren. Zoek dus naar een opleiding waarin stevige docenten voor de klas staan die in de praktijk toepassen waarover ze lesgeven. ‘Verhalen uit de loopgraven’ beklijven beter dan modellen en theorieën zonder link naar het echte leven. De ideale docent is bescheiden genoeg om ook anderen op het podium uit te nodigen. Als cursisten elkaar hun verhalen vertellen, vergroot dat het leereffect sterk: iedereen wordt dan deelnemer én docent. We leren zelf het meest van wat we een ander leren. De onderwijsvorm is minstens zo belangrijk. Een leidend principe is: niet gedaan, is niet geleerd. Alleen kennis tot ons nemen – door een boek te lezen of een hoorcollege te volgen - levert onvoldoende op. We moeten met de stof stoeien om het echt tot ons te nemen. Een goede opleiding ruimt daarom veel tijd in voor interactieve werkvormen zoals workshops, serious games en casussen. Dan vallen de kwartjes.

Een goede opleiding slaat ook bij herhaling de brug naar de praktijk van de deelnemer. Intake-gesprekken, huiswerkopdrachten, coaching en begeleide intervisie zijn enkele mogelijkheden om de impact van een opleiding te vergroten door deelnemers uit te dagen het nieuw geleerde gedrag niet alleen toe te passen, maar ook vol te houden. Tot slot kan certificering belangrijk zijn. Niet voor niets zijn de CISSP-certificeringen van (ISC) onverminderd populair. Werkgevers en opdrachtgevers hebben behoefte aan kundige informatiebeveiligers en een certificaat van een betrouwbare instelling maakt kennis en ervaring aantoonbaar.

Conclusie Een organisatie die informatiebeveiliging serieus neemt, investeert in opleidingen die medewerkers in staat stellen hun werk beter en veiliger uit te voeren. Pas als iedereen zijn rol begrijpt en ook in staat is die uit te voeren, is het tijd om een standaard te implementeren. Of voelt u zich veilig bij een taxichauffeur die ‘Autorijden voor dummies’ op het dashboard heeft liggen? Jacob Brunekreef, Kor Gerritsma en Eelco Rommes zijn docent en adviseur bij cibit academy, opleider op het gebied van informatiebeveiliging en de officiële Nederlandse partner van (ISC). CloudWorks - nr. 3 / 2015

31

Security-opleidingen Wat is beter:

Security specialist inhuren of medewerker opleiden?

Fred Noordam

Esther Oprins

Peter Vermeulen

Het aantal cyberaanvallen is de afgelopen twee jaar met 120 procent gestegen. De geschatte kosten van cybercriminaliteit lopen op naar gemiddeld 7,6 miljoen dollar per jaar voor elke grote organisatie. Er gaat geen week voorbij zonder dat we geconfronteerd worden met de zoveelste slag van cybercriminelen op overheid en bedrijfsleven. En zelfs individuele burgers blijven niet ongeschonden. Niet vreemd dat organisaties hun IT-beveiligingsbeleid vooral richten op externe dreigingen. Is dat terecht? Nee, zegt IT-leverancier Cisco. Uit recent onderzoek onder de Nederlandse beroepsbevolking blijkt dat het gedrag van werknemers een serieuze zwakke schakel is in de hedendaagse ITbeveiliging. De digitale vrijheden die werknemers zich vandaag de dag permitteren, staan op gespannen voet met de digitale veiligheid die organisaties koesteren om zowel financiële als reputatieschade te voorkomen. “Dat vraagt om een security-beleid dat primair gericht is op de mens. Niet op technische mogelijkheden of traditionele security-processen gebaseerd op de organisatiestructuur”, zegt Fred Noordam, Security Lead bij Cisco in Nederland.

Geen optie Uit het onderzoek blijkt dat 71 procent van de Nederlandse beroepsbevolking zich niet bewust is van security bloopers, zoals Heartbleed. Werknemers doen bovendien massaal beroep op het bedrijfsnetwerk voor persoonlijke transacties. 52 procent winkelt op het internet via het netwerk van de baas, 46 procent gebruikt het bedrijfsnetwerk voor hun sociale media activiteiten en 71 procent van onze beroepsbevolking bankiert via het bedrijfsnetwerk. “Verbieden van deze activiteiten is allang geen optie meer”, vertelt Peter Vermeulen, marktanalist van Pb7 tijdens een bijeenkomst die Cisco onlangs organiseerde in het TNO Security Lab in Den Haag. “De gebruiker van nu is mondig, neemt zijn eigen apparatuur mee, haalt zelf applicaties uit de cloud, en ziet niet of nauwelijks gevaar. Totdat het mis gaat. Dan wijst de professional naar de IT-afdeling.” Ook Fred Noordam van Cisco herkent de uitdagingen bij de huidige IT-gebruikers. “Op basis van ons onderzoek hebben we vier verschillende gedragsprofielen opgesteld van medewerkers die uitgangspunt zijn voor de ontwikkeling van de juiste beveiligingsstrategie. Zo onderscheiden we de werknemers die zich bewust zijn van alle veiligheidsrisico’s en hun best doen om online veilig te blijven. Organisaties beschikken verder over medewerkers met

32


de beste bedoelingen, maar niet altijd met succes. De derde groep medewerkers is gemakzuchtig. Zij verwachten dat hun werkgever alles regelt zonder eigen verantwoordelijkheid te nemen. Het laatste gedragsprofiel is van toepassing op medewerkers die nog denken dat cybersecurity een hype is. Waar het hen uitkomt, omzeilen deze medewerkers zelfs het beveiligingsbeleid.”

Een bedrijf kan de meest ervaren en hoogst opgeleide securityexperts in huis hebben. Deze specialisten richten zich vooral op de systemen. Oprins pleit ervoor, meer aandacht te richten op de mens in plaats van het systeem. “De beste security-experts in huis hebben of inhuren, is geen garantie voor een veilige werkomgeving als medewerkers niet beschikken over de juiste competenties.”

“Op dit moment is er op school nog nauwelijks aandacht voor digitale veiligheidsgevaren. Onze huidige leermethoden stammen nog uit de tijd van onze papieren generatie. De digitalisering van het onderwijs staat op de agenda van ons Ministerie van Onderwijs, Cultuur en Wetenschappen. Maar is helaas nog niet de praktijk van alledag op onze scholen”, concludeert Oprins.

Competenties

Cruciale vraag

Hoog op de agenda

“Horrorscenario’s voorleggen aan medewerkers heeft geen zin meer. Dat hebben we al vaak genoeg geprobeerd en maakt weinig of geen indruk”, zegt Esther Oprins, Research Scientist van TNO. Zij doet onderzoek naar competenties en geeft op dat gebied trainingen bij organisaties waar veiligheid centraal staat.

De cruciale vraag is dan natuurlijk welke competenties werkend Nederland nodig heeft. “Competenties zijn te onderscheiden op drie niveaus; kennis, vaardigheden en houding. Ontwikkeling van competenties kan spelenderwijs, via onderwijs en uiteraard zelfsturend. “Kijk bijvoorbeeld naar karaktereigenschappen als stressbestendigheid, creativiteit en inventiviteit. Die zijn misschien wel belangrijker dan de juiste procedure weten te volgen. Weet je weg te vinden in een organisatie, hoe kun je dingen zelf makkelijk oplossen en zaken op de juiste manier her- en erkennen, en meld incidenten”, adviseert de TNO-wetenschapper.

Peter Vermeulen van Pb7 prijst zich gelukkig met het feit dat IT-beveiliging steeds hoger op de agenda van organisaties komt te staan. Geld en tijd besteden aan IT-beveiliging staat op dit moment bovenaan de ranglijst van belangrijkste investeringsgebieden. Toch wijst het Cisco-onderzoek uit dat Nederlandse werknemers security meer en meer als een barrière zien voor innovatie in plaats van een katalysator voor bedrijfssucces en vernieuwing. Dat herkent de marktanalist wel. “Er is nog een hele weg te gaan. IT-security verschuift langzaam aan van een noodzakelijk kwaad naar een manier om ook innovatie te versnellen. In de Formule 1-wereld kun je geen snelheid maken zonder remmen. Meer dan de helft van de innovaties faalt omdat de veiligheid niet goed geregeld is. Bij de ontwikkeling van nieuwe producten komt veiligheid nog te vaak aan het einde van het proces in beeld. Dat moet veranderen naar een ‘security by design’ aanpak.”

“Uiteraard kunnen we mensen allerlei vaardigheden bijbrengen. Dat is echter niet genoeg. Het gaat om het totaal aan competenties die het verschil maken. Kennis, vaardigheden, houding en gedrag. Daarmee kunnen we medewerkers echt bewust veilig laten handelen. Zo kunnen we bijvoorbeeld veel leren van de luchtvaartindustrie. Daar zit veiligheidsbesef in de genen van medewerkers. Ze worden ermee opgevoed. De mindset van mensen moet veranderen.” Oprins verwacht overigens dat dit makkelijker zal gaan bij de ‘digital native’ generatie dan bij de huidige en vorige generatie van onze beroepsbevolking. “Menselijke fouten die de informatiebeveiliging van een organisatie op het spel zetten, worden elke dag gemaakt. Een laptop die uit de auto gestolen wordt. Iemand die het bedrijf verlaat en concurrentiegevoelige data meeneemt, slechte wachtwoorden, ingaan op phishing, noem maar op. Het is zaak dat we deze menselijke fouten voorkomen door de juiste competenties te ontwikkelen.

“Verder ervaren we dat serious gaming een hele effectieve leeroplossing is. Zeer geschikt voor het trainen van cybersecuritybewustzijn. Het spelen van een spel, simulaties ervaren van ‘echte’ omgevingen waarin de medewerker zelf een hoofdrol speelt, bordspelen of managementgames zijn heel effectief. En relatief goedkoop; in een korte tijd en op een impactvolle en ludieke manier wordt er veel geleerd.” Peter Vermeulen van Pb7 voegt daaraan toe dat de hedendaagse werknemer niet meer naar allerlei dure gebruikerscursussen hoeft. Het innovatie- en onderzoeksinstituut TNO doet onderzoek naar de vaardigheden die nodig zijn voor de 21e eeuw onder de noemer ‘21st century skills’. Deze worden ook omarmd door de Europese Unie. Daarbij is volop aandacht voor digitale vaardigheden.

Fred Noordam van Cisco sluit zich daarbij aan. “De Chief Information Security Officer (CISO) moet zijn beleid verschuiven van security-processen en -technieken naar een centraal geleid securitybeleid vanuit het perspectief van de IT-gebruiker anno nu. Dit vraagt om een gedifferentieerde IT-beveiligingsstrategie afgestemd op het gedrag van het individu en gedragen door het bestuur van de organisatie. Anders gezegd: every company is a security company.” CloudWorks - nr. 3 / 2015

33

Security-opleidingen Brenno de Winter:

‘Je bent nooit uitgeleerd als het over informatiebeveiliging gaat’ Steeds meer bedrijven schakelen professionals in die zich fulltime richten op informatiebeveiliging. Het is voor deze professionals echter niet eenvoudig op de hoogte te blijven van de ontwikkelingen op dit gebied. “Door de grote hoeveelheid aspecten die bij informatiebeveiliging komen kijken ben je eigenlijk nooit klaar met leren”, legt Brenno de Winter uit.

De Winter is onderzoeksjournalist en daarnaast hoofddocent van de opleiding Informatiebeveiliging bij IIR. “Informatiebeveiliging is een breed speelveld. Ik merk soms dat cursisten het heel ingewikkeld vinden met zoveel verschillende dingen bezig te zijn. Zij moeten alles afweten van techniek en informatie, maar ook kunnen omgaan met wetgeving.”

Eén FTE is niet de oplossing! Security managers hebben geen eenvoudige taak. “Zij zijn eigenlijk een soort achtervang voor alles wat er binnen een bedrijf niet goed is geregeld. Ze worden geacht alle verbeterpunten in kaart te brengen, wat door het brede speelveld enorm ingewikkeld is”, legt Brenno uit. “Daarnaast moeten ze ook nog eens een communicatie-expert zijn en het probleem goed adresseren anders snapt niemand in de organisatie wat het probleem is. Er moet dus bewustzijn ontstaan.” Dit bewustzijn is van groot belang. “Security managers worden aangesteld om een bepaalde taak uit te voeren, maar zodra zij dit in de praktijk doen kunnen zij op weinig waardering rekenen. Vaak wordt voor security simpelweg één fte ingeboekt, waarvan de Security Manager wordt ingehuurd. Bedrijven denken hiermee het onderwerp security te hebben afgedicht. In de praktijk komt de Security Manager na zijn audit van de situatie vaak met allerlei maatregelen, die extra geld vragen maar hier is vaak geen budget voor gereserveerd.”

Trainingen door docenten uit de praktijk “IIR leert cursisten onder andere hiermee omgaan. De opleiding geeft managers de juiste handvatten om hun (eerste) stappen te zetten als security manager. Zij leren het speelveld te overzien, waarna ze zich zelfstandig verder in het onderwerp kunnen verdiepen. Deelnemers krijgen brede kennis mee over specifieke onderwerpen en leren zowel hun sterke als zwakke punten kennen. Daarnaast werken we met veel verschillende docenten die afkomstig zijn uit de praktijk. In de lessen die ik geef speelt KPMG bijvoorbeeld een grote rol. Binnen een organisatie als KPMG zijn enorm veel auditors aanwezig, die heel strak volgens de regels naar informatiebeveiliging kijken. Deze jongens zijn dagelijks met informatiebeveiliging bezig en hebben dus veel ervaring. Zij behandelen de theorie vanuit een praktisch oogpunt”, legt Brenno uit.

de trainingen zich moeten aanpassen. De cursussen, trainingen en opleidingen van IIR worden dan ook continue afgestemd op ontwikkelingen in de praktijk. De volgende cursussen en trainingen staan de komende maanden op de agenda: • Summercourse Informatiebeveiliging (6-daagse verkorte opleiding van 16-06-2015 t/m 30-06-2015 | Scheveningen) • Privacy Officer 2.0 (4-daagse opleiding van 09-04-2015 t/m 24-04-2015 | Amsterdam) • IT Risk Management & Assurance (5-daagsebootcamp van 15-04-2015 t/m 26-05-2015 | Amsterdam) • CISA: Certified Information System Auditor (6-daagse examentraining van 29-04-2015 t/m 04-06-2015 | Amsterdam) • CISM: Certified Information Security Manager (4-daagse examentraining van 11-05-2015 t/m 28-05-2015 | Amsterdam) • Praktijktraining Security Architectuur (2-daagse praktijktraining van 18-05-2015 t/m 19-05-2015 | Amsterdam) Meer inhoudelijke informatie over de cursussen en trainingen van IIR is te vinden op www.iir.nl/ict. Of neem contact op met de opleidingsadviseur via 020 - 580 54 00.

Summercourse Informatiebeveiliging Zorg dat uw informatiebeveiliging wél op orde is De Summercourse Informatiebeveiliging helpt u bij het creëren van awareness binnen uw organisatie. Zo voorkomt u dat uw beleid strandt in de uitvoering. • Alle belangrijke beveiligingseisen uit (inter)nationale weten regelgeving • Inzicht in technische en niet-technische risico’s van (nieuwe) technologieën • Elke dag een hands-on praktijkcasus • Inclusief: 36 PE-punten & iPad Air met digitaal lesmateriaal De hoofddocenten zijn security specialisten Brenno de Winter en Vincent Damen, afgewisseld door zes gastsprekers. Locatie: Boomerang Beach Scheveningen Data: 16, 17, 18, 23, 24 en 30 juni 2015

Over IIR Het cursusaanbod bij IIR varieert continu. Zowel cybercriminelen als tegenmaatregelen ontwikkelen zich continu, waardoor ook

34



35


Lec. Yuri Bobbert Msc RI is onderzoeker aan de Universiteit van Antwerpen op het terrein van bedrijfskritische informatiebeveiliging

De Chief Information Security Officer van morgen:

(Business Information Security). Daarnaast is hij lector bij Hogeschool NOVI en betrokken bij de realisatie van security

{

opleidingsprogramma’s van LOI Hogeschool.

Op zoek naar een duizendpoot

‘De CISO van de toekomst weet bovenal wat hij niet weet’

Met de intrede van security in de boardroom wordt de vraag actueel hoe dit onderwerp te duiden. Hoe specificeren we het? Wie is verantwoordelijk en aansprakelijk? Dit is noodzakelijk om greep op de materie te krijgen. Het duiden is vooral lastig omdat de kritische assets (in dit geval data) doorgaans niet als zodanig op de balans staan en dus ook niet in het jaarverslag terugkomen. Zelden wordt de goodwill van de data op de balans tot uitdrukking gebracht. Daarom staat dit onderwerp in de meeste gevallen ook niet op het netvlies van de bestuurder (Raad van Bestuur) of de toezichthouder (Raad van Commissarissen). Incidenten waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan de orde is, komen vooral via de media naar buiten (denk aan RSA, Gemalto, ASML, NZA, Sony, ING) en zorgen daarmee voor de urgentie om meer grip te krijgen op dit fenomeen. Dat blijkt nog steeds lastig. De belangrijkste oorzaak hiervan is dat de bestuurder nog altijd onvoldoende wordt gevoed met input om een gefundeerde discussie te kunnen voeren. De CISO ofwel de Chief Information Security Officer zal hier in toenemende mate een rol vervullen, enerzijds als adviseur en anderzijds als sparring partner van het bestuur. De vraag is of de CISO-van-morgen wel over de juiste kennis en kunde beschikt en of de huidige opleidingen voldoende zijn toegerust op dat wat de moderne CISO moet kunnen en kennen.

De CISO van vandaag In 2013 heb ik een grootschalig onderzoek uitgevoerd om te verkennen wat de strategische kernvraagstukken zijn waar security professionals mee te maken hebben. Ik wilde vaststellen over welke kennis en vaardigheden CISO’s moeten beschikken om de zogenaamde ‘knowing-doing-gap’ te overbruggen. De bevraagde security experts geven aan dat security veelal wordt gezien als een project, maar meer zou moeten worden opgevat als een proces. Opvallend is dat de ondervraagden bij de beantwoording van de vragen weinig ‘zachte vaardigheden’ aanreiken, zoals overtuigingskracht, communicatieve vaardigheden of sensitiviteit ten aanzien van ontwikkelingen in de organisatie. Terwijl ze wel veel waarde bleken te hechten aan zulke ‘soft skills’ en deze zelfs als een belangrijke succesfactor aanmerkten. CISO’s zitten ogenschijnlijk dus wat meer aan de kant van de hard skills (kennis en ervaring) en minder aan de zijde van de soft skills (vaardigheden en competenties). Dit is tegenstrijdig aan dat wat bestuurders en toezichthouders verwachten ten aanzien van de toekomstige ontwikkelingen van hun talenten. Zij zien een groeiende behoefte bij zichzelf en hun mensen

36


aan onder andere helikopter view, kritisch doorvragen, oordeelsvermogen, commitment, resultaatgerichtheid, ondernemingszin en strategisch inzicht. Dit vraagt om een verschuiving binnen de CISO-capaciteiten en hedendaagse opleidingen. Inhoudelijke kennis zal moeten worden aangevuld met bedrijfsmatige, organisatorische en psychologische vaardigheden. Gericht op het aanzetten tot voorwaartse actie. Tenminste, als de CISO de verandering blijvend wil laten zijn en security als een continu proces wil borgen. Al met al kunnen we uit het onderzoek uit 2013 concluderen dat de CISO van vandaag beperkingen heeft. CISO’s evalueren en adopteren maar deels de relevante krachten in hun strategie en beleid. Ze weten dat security een continu proces is maar hebben moeite het daadwerkelijk als zodanig te effectueren. Een mogelijke blinde vlek kunnen de sociale vaardigheden zijn. Bijvoorbeeld vaardigheden om doortastend te zijn of meer eisend ten aanzien van het management.

De CISO van de toekomst De CISO van de toekomst zal doordrongen moeten zijn van het enorme effect dat het vertrouwen van de stakeholders heeft op de continuïteit van de organisatie. Hij zorgt verder voor de noodzakelijke verbinding van de governance (het richten) met het management (het inrichten van processen) en met de operatie (het verrichten van activiteiten). En als er stakeholder-belangen in het geding zijn, dan grijpt hij in. Steeds zal hij hun belangen op het gebied van security verbinden aan de belangen en doelstellingen van de organisatie. De CISO van de toekomst is dus een verbinder. Hij is in staat om met bestuurders in begrijpelijke bewoordingen over technische onderwerpen te communiceren. Hij is een vaardige verandermanager die psychologisch inzicht paart aan organisatorische sensitiviteit. Hij beschikt over globale kennis van aanpalende disciplines zoals juridische zaken. Hij weet waar de grenzen van de wet liggen en waar die worden overtreden. Hij weet ook waar de aansprakelijkheden van de organisatie liggen. Hij heeft een inschatting gemaakt van de risico’s die de organisatie loopt en is in staat om deze in financiële zin te kwantificeren. Hij heeft verder globale kennis van HR-processen. Hij weet wat de regels zijn waar gebruikers zich aan moeten houden en zorgt ervoor dat deze niet strijdig zijn met hun wettelijke rechten, zoals

bijvoorbeeld vastgelegd in arbeidsrecht en de privacywetgeving. Hij is verder toegerust met globale kennis van architecturen (business systemen en IT-architecturen) en kan security architectuurprincipes duiden. Ook heeft hij globale kennis van marketing in huis. Kennis die hij vooral intern benut om bij de medewerkers de juiste houding en het juiste gedrag te bewerkstelligen. Niet in de laatste plaats heeft de CISO van morgen feeling voor finance. Hij begrijpt waar de organisatie haar geld mee verdient, hoeveel er wordt verdiend en of het op een verantwoorde wijze wordt uitgegeven (security van investeringen in relatie tot risico’s). Hij is in staat om business cases uit te werken en toe te lichten om de noodzaak van investeringen in security te onderbouwen. Hij maakt een gedegen afweging van security uitgave ten opzichte van te realiseren doelen en kan deze afzetten tegen de industriecijfers (benchmarks). De CISO van de toekomst weet bovenal wat hij niet weet. Daarom weet hij dat hij moet samenwerken en is hij daardoor in staat samen te werken in multidisciplinaire teams van experts. Hij waakt als een liaison over de juiste teamsamenstelling van kennis, vaardigheden en ervaring.

Permanente educatie Concluderend kunnen we stellen dat de CISO van de toekomst een duizendpoot is die zich door middel van permanente educatie de kennis en vaardigheden eigen maakt die hij nodig heeft om zijn organisatie blijvend te kunnen (be)dienen. Voor ons vakgebied waarin veranderingen zich continu voordoen - zijn snelheid en doelgerichtheid van eminent belang. Interventies die nodig zijn om beveiliging naar een hoger plan te tillen, kunnen niet uit louter theoretische zaken bestaan.

Daarom pleit ik ervoor om action learning en action research op te nemen in de onderzoekslijnen en leerlijnen van universiteiten en hogescholen. Hogeschool NOVI doet dit al tot grote tevredenheid van de deelnemers. De opleiding ICT van deze hogeschool is recent gekozen tot beste deeltijdopleiding van Nederland. Criteria om deze kwalificatie te verkrijgen waren kleinschaligheid, individuele begeleiding en de intensieve wijze zoals het onderwijs (action learning) wordt gegeven. Onder andere door praktijkgevallen in te brengen in onderzoek en onderwijs en zo actiegericht tot kennisverbreding en -verdieping te komen. Zowel Hogeschool NOVI als ook LOI Hogeschool hebben een leerlijn ‘business information security’ gedefinieerd waarin de ISO en de CISO van de toekomst kunnen worden opgeleid.

Meer weten? Yuri Bobbert schreef in 2010 het boek ‘Maturing Business Information Security, a framework to establish the desired state of security maturity’, dat wordt gebruikt op verschillende universiteiten en hogescholen. Vanuit dit boek zijn de MBIS-methode en het MBIS-platform ontstaan (mbis.eu). In 2014 verscheen zijn tweede boek: ‘Hoe Veilig is mijn ‘aandeel’?, Het borgen van Reputatie, Vertrouwen en Continuïteit met de MBIS methode’. Daarnaast heeft Bobbert meerdere wetenschappelijke publicaties op zijn naam. Dit artikel is een bewerking van het hoofdstuk ‘Competentiemanagement’ dat is opgenomen in het boek ‘Hoe veilig is mijn aandeel?’. Dit boek is het resultaat van praktisch en wetenschappelijk onderzoek bij ruim honderd organisaties naar de beveiliging van kritische assets en de wijze waarop bestuurders en managers hun reputatie, vertrouwen en continuïteit kunnen borgen.

Er is een voortdurende terugkoppeling vanuit de praktijk nodig. Snelle ‘feedback loops’ zijn dus essentieel. Daarom is ‘action research & learning’ zo’n uitermate geschikte methodiek voor ons vakgebied. Juist door deel uit te maken van het te onderzoeken object ontstaat ‘levende kennis’. Het is aan hogescholen en universiteiten om hiervoor opleidingen te hebben of te ontwikkelen. Niet alleen om de CISO van de toekomst op te leiden qua (technische) kennis en kunde, maar vooral ook om hem/haar de vaardigheden mee te geven die hij/zij nodig heeft om adequaat te blijven functioneren en zo zijn bestuurders te kunnen blijven adviseren. CloudWorks - nr. 3 / 2015

37

Security-opleidingen e-CF zorgt voor structuur

Europees Competentie Framework voor ICT-professionals Omdat er een groot tekort is aan ICT-experts in de EU, heeft de Europese Commissie vanaf 2003 de ontwikkeling van het e-Competence Framework (e-CF) gestimuleerd door steun te geven aan de CEN Workshop ICT Skills. Het e-CF is een neutraal hulpmiddel voor de ICT-sector en een Europees referentiepunt bij het vaststellen van e-competenties (het kan bijvoorbeeld van belang zijn bij HR-management en –planning). Momenteel wordt gewerkt aan een Europese norm voor het e-CF, verwacht wordt dat deze eind 2015 verschijnt. In 2008 is de CEN Workshop Agreement (CWA) 16234-1 ‘European e-Competence Framework’ (eCF) gepubliceerd. Het e-CF is goed ontvangen en al enkele keren herzien. In 2013 is de derde versie verschenen. Het Italiaanse normalisatie-instituut UNI heeft het e-CF overgenomen als nationale norm en vervolgens het voortouw genomen om hier een Europese norm van te maken. Een Europese norm moet worden overgenomen door alle lidstaten van de EU, zo ontstaat er één ‘speelveld’ voor e-competenties in Europa.


De tekst van de CWA wordt nu omgewerkt naar het normformat. Het streven is dat er zo min mogelijk betekenisverschillen ontstaan tussen de CWA en de Europese norm. De veranderingen in de tekst worden voorgesteld, besproken en beoordeeld door de CEN-normcommissie. Inmiddels is een tweede concept van de Europese norm verschenen. Hierop zijn meer dan 100 commentaren binnengekomen die zijn besproken tijdens de laatste vergadering van de CEN-commissie, in oktober 2014 in Berlijn. Verwacht wordt dat de ‘Europese e-CF’-norm eind 2015 verschijnt.

Nederlandse vertegenwoordiging CEN is het Europese normalisatie-instituut. Aan de CEN-normcommissie wordt deelgenomen door de Europese normalisatieinstituten. Vanuit NEN werkt de normcommissie ‘ICTCompetenties’ mee aan deze Europese norm. Op het moment zijn de firma’s IT-Staffing en ABIO de twee leden van deze commissie.

Proces om te komen tot een Europese norm

Komende ontwikkelingen

Begin dit jaar is de CEN-normcommissie ‘eCompetences and ICT professionalism’ opgericht die een Europese norm ontwikkelt op basis van de laatste versie van het e-CF. Eén van de verschillen met een CWA is dat in een norm duidelijk moet zijn wanneer eraan wordt voldaan. Verder heeft een Europese norm een gestandaardiseerde lay-out en hoofdstukindeling. De voorlopige indeling is als volgt: • Inleiding • Onderwerp en toepassingsgebied • Normatieve verwijzingen • Termen en definities • Algemene uitgangspunten • Doel

Op de CEN-commissievergadering begin 2015 komt de NENcommissie met ideeën voor de volgende versie van de eCF norm. De NEN-commissie vindt het van belang dat de begrippen in het e-CF beter gedefinieerd worden en de relaties tussen de begrippen op een eenduidige wijze worden vastgelegd. Verder moet worden nagedacht over hoe het e-CF ‘geautomatiseerd’ kan worden gebruikt.

Het laatste hoofdstuk gaat geheel over e-Competences. Dit is vrij gedetailleerd en wordt opgedeeld in de te doorlopen fases: • Plan • Build • Run • Enable • Manage

38

In de bijlagen zijn voorbeelden opgenomen voor de mogelijke toepassing van de norm in organisaties met een sterke ICTafhankelijkheid en/of ICT-component, voor IT-leveranciers in een zakelijke omgeving en voor MKB-bedrijven.

Meer weten? Als u meer wilt weten over deze normcommissies of deel wilt nemen aan het normalisatieproces dan kunt u contact opnemen met Jan Rietveld. Hij is secretaris van de normcommissie ‘IT Beveiligingstechnieken’ en de commissie ‘ICT-Competenties’ van NEN. E-mail: [email protected]


39


SCOS organiseert Wireshark Network en Security Training

Forensische netwerkanalyse omvat het registreren van verdachte gegevens en het ontdekken van ongebruikelijke patronen die schuilgaan achter schijnbaar normaal netwerkverkeer. Deze cursus voorziet de deelnemer van een set onderzoekstechnieken en richt zich op het gebruik van leveranciersonafhankelijke, opensourcetools om inzicht te verschaffen in de volgende gebieden: • De grondbeginselen van forensische analyse • Datarecorder technologie en data mining • Netwerkbeveiligingsprincipes, waaronder encryptietechnologieën en defensieve configuraties van apparaten voor de netwerkinfrastructuur • Herkenning van beveiligingsrisico’s voor verschillende algemene netwerkaanval- en exploitscenario’s, waaronder netwerkverkenningstechnieken, gevaarherkenning van botnetwerken en ‘man-in-the-middle’-aanvallen evenals algemene kwetsbaarheden in het gebruikersprotocol, inclusief IP-gerelateerde protocollen (IP/TCP, DNS, ARP, ICMP), e-mailprotocollen (POP/SMTP/ IMAP) en andere, algemene webbased gebruikersprotocollen • Opensource-tools op het gebied van forensische netwerkanalyse • Gespecialiseerde forensische netwerkanalysetechnieken, inclusief reconstructie van verdachte gegevens en inspectietechnieken Gedurende de cursus worden praktijkvoorbeelden gebruikt, in combinatie met verschillende praktijkoefeningen, zodat in de praktijk bewezen, praktische forensische analysevaardigheden worden verkregen.

WiFi en WLAN Network Analysis Als officiële Wireshark Trainings Center van de Wireshark University van Laura Chappell organiseert SCOS Software regelmatig de Wireshark Troubleshooting TCP/IP Networks-training. Wireshark is een populaire tool voor netwerkanalyse met meer dan 500.000 downloads per maand. SCOS organiseert in Europa regelmatig trainingen rond deze tool.

Wireshark University: Troubleshooting TCP/IP Networks In deze training (vijf dagen) wordt ingegaan op het efficiënt gebruiken van Wireshark en de packet-level TCP/IP communicatie door het bestuderen van zowel het correct als verkeerd gedrag van netwerken. In een groot gedeelte van de training wordt diep ingegaan op de mogelijkheden van Wireshark. Verder worden het beoordelen van zowel normale als abnormale communicatiepatronen van de TCP/IP-toepassing en de meest gangbare applicaties bestudeerd. Denk aan DHCP, DNS, FTP, Telnet, HTTP, POP en SMTP. De nadruk gedurende de training ligt sterk op hands-on laboefeningen en case studies uit de praktijk. Hiermee wordt kennis opgedaan welke direct na de training gebruikt kan worden.

Advanced Networks / Security Analysis Network en Security Analysis (eveneens vijf dagen) omvat de vaardigheden van niet alleen het vastleggen van gegevens, maar ook de mogelijkheid om ongebruikelijke patronen verborgen in schijnbaar normaal netwerkverkeer te onderscheiden. Deze cursus biedt de student een reeks van onderzoeken analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools zoals Wireshark om

40


inzicht te geven in de volgende gebieden: • Advanced Network en Security Analysis methodieken • Prestaties van het netwerk analyse en veiligheid bedreiging herkenning betreffende problemen met netwerkprestaties en netwerkaanvallen, Bot-Net gevaarherkenning evenals standaard gebruiker protocol problemen, waaronder IP-gerelateerde protocollen en andere op veelgebruikte internettechnologie gebaseerde user-protocollen (HTTP, VoIP, IRC, IM) • Open-Source Network Analysis hulpmiddelen • Gespecialiseerde Network Security Analysis technieken, waaronder reconstructie van verdacht dataverkeer en analyse technieken • Real-World voorbeelden zullen tijdens de cursus worden gebruikt in combinatie met een groot aantal hands-on oefeningen om in de praktijk bewezen, praktische Network en Security Analysis vaardigheden te bieden. Deelnemers krijgen de beschikking over talrijke Wireshark trace-bestanden en een DVD met netwerk en beveiliging gereedschappen, evenals een bibliotheek van Network Security Analysis referentiedocumenten

Deze vijfdaagse cursus is bedoeld voor Wireless Network Engineers en Ehernet-netwerk Engineers voor het verdiepen van hun kennis op het gebied van draadloze netwerken. Deze cursus biedt de cursist een set van analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools om inzicht te geven in de volgende gebieden: • Wireless Network Analysis fundamentals • Data Recorder technologie en data-mining • Beveiliging gericht op draadloze netwerken, waaronder encryptie technologieën en defensieve configuraties van netwerkinfrastructuurapparaten • Herkennen van diverse problemen die WiFi / WLAN-netwerken en de kwaliteit van de data beïnvloeden Factoren zoals latency, out-of-sequence pakketten, packet loss en retransmissions en hoe de ervaring van eindgebruikers kan worden geanalyseerd en geëvalueerd. Specifieke draadloze communicatie protocollen waaronder gegevens, beheer en controle en bijbehorende ondersteunende protocol architecturen zullen worden onderzocht.

CSI Training: Cyber Security Investigation and Network Forensic Analysis

Voice over IP (VoIP) Analyse

De CSI Training (lengte: vijf dagen) is door SCOS speciaal ontwikkeld voor netwerkbeveiligings- en wetshandhavingspersoneel met basis- tot gemiddelde kennis van algemene beveiliging en netwerken. Deze cursus maakt forensische netwerkanalyse (Network Forensics Analysis) toegankelijk voor de deelnemers. Indien men reeds beschikt over goede kennis van hostbased forensische analyse leert men toepassingen met betrekking tot het ‘end-to-end’ digitale forensische proces.

Deze cursus (drie dagen) is bedoeld voor Network Engineers, VoIP en Netwerk Telefonie medewerkers welke een basiskennis bezitten over algemene VoIP / Telefonie en netwerken. Deze cursus biedt de cursist een set van analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools om inzicht te geven in de volgende gebieden: • VoIP Network Analysis fundamentals • Data Recorder technologie en data-mining

• VoIP gerichte netwerkbeveiliging principes waaronder encryptie technologieën en defensieve configuraties van netwerkinfrastructuurapparaten • Herkennen van diverse problemen die VoIP-netwerken en de kwaliteit van de voice data beïnvloeden Factoren zoals latency, out-of-sequence pakketten, Jitter en Quality-of-Service en hoe de ervaringen van eindgebruikers kan worden geanalyseerd en geëvalueerd. Standaard VoIP gerelateerde protocollen waaronder SIP, MGCP, SCCP, UNISTEM, H.323 en bijbehorende ondersteunende protocol architecturen zullen worden behandeld.

Windows Digital Forensics (5 dagen) Deze cursus is speciaal bedoeld voor Windows-beheerders, Windows forensische analisten en Law Enforcement personeel met basiskennis van de Microsoft Windows-architectuur, maar geen kennis van Windows Digital Forensics. Voor maximale effectiviteit, moeten de deelnemers ten minste elementaire kennis hebben van TCP/IP-netwerken, Windowsnetwerken en Wireshark. De inhoud van de cursus richt zich op de mogelijkheden en technieken voor analyse in plaats van hoe men een specifiek instrument kan gebruiken. Tevens biedt het diepgaande forensische analyse van Windows-besturingssystemen en media gericht op Windows. Identificeer artefact en bewijs locaties die belangrijke vragen beantwoorden, waaronder vragen over de uitvoering van een programma, bestand openen, extern gebruik van het apparaat, geo-locatie, het downloaden van bestanden, anti-forensisch onderzoek en gebruik van het systeem. Na afloop is de deelnemer een effectieve Windows Digital forensisch analist en beheerder met een goed kennisniveau en inzicht om efficiënt digitaal bewijsmateriaal te behouden, extraheren en analyseren in Windows-systemen. Bovenstaande trainingen worden regelmatig door SCOS zowel in Amsterdam-Hoofddorp als op lokatie van de klant georganiseerd.

Over SCOS en Wireshark SCOS is de enige partij in Europa die door de Wireshark University geautoriseerd is om de Wireshark Network en Security Training te verzorgen. SCOS-trainers zijn Certified Wireshark University Trainers, lid van FBI InfraGard, het Computer Security Institute, het IEEE en het Cyber Warfare Forum Initiative. Ze spreken regelmatig op regionale, nationale en internationale evenementen op het gebied van netwerken en beveiliging. De eerstvolgende cursussen worden verzorgd in AmsterdamHoofddorp: • 1 -5 Juni 2015 Troubleshooting TCP/IP Networks (Wireshark University) • 8 -12 Juni 2015 Advanced Networks and Security Analysis Voor meer inlichtingen: http://www.wireshark.training 023-568 92 27 CloudWorks - nr. 3 / 2015

41


{

Emile Kok:

‘De kennisbehoefte van onze klanten bepaalt uiteindelijk de trainingen op onze agenda’

‘Security-trainingen hebben diepgang nodig’ Informatiebeveiliging wordt volwassener, heeft daardoor steeds meer behoefte aan specialisten en zal door de groeiende focus op privacy nog meer aandacht gaan krijgen. Het in security trainingen gespecialiseerde opleidingsinstituut TSTC zit dicht bij het vuur als het gaat om trends in de informatiebeveiliging. “Dagelijks leggen bedrijven en cursisten hun kennisbehoefte bij ons neer waardoor verschuivingen in het vakgebied snel zichtbaar zijn. Ons opleidingsprogramma wordt gevormd door die vraag en geeft dan ook een goed beeld van de diversiteit die informatiebeveiliging tegenwoordig kenmerkt”, stelt Emile Kok, algemeen directeur van TSTC

Veranderde behoefte Tussen 2006 en 2012 was de vraag naar security trainingen volgens Kok redelijk homogeen. Om hun betrokkenheid bij beveiliging aan te tonen, streefden organisaties vooral naar security awareness en medewerkers met bekende titels als CISSP, CISM en CEH achter hun naam. Omdat vacatures hetzelfde beeld gaven, gingen professionals op zoek naar dergelijke trainingen om hun kansen op de arbeidsmarkt te vergroten. Deze behoefte is volgens TSTC niet verdwenen maar is de afgelopen jaren steeds meer uitgebreid met de wens naar verdere specialistische kennis. Waar een netwerkbeheerder eerder bij veel bedrijven nog kon worden aangewezen als ‘de collega die alles weet over beveiliging’ is hij tegenwoordig nog slechts de firewallspecialist of één van de netwerkbeveiligers. “Met het volwassener worden van informatiebeveiliging, zijn er meer specifieke rollen ontstaan met daarin afgebakende

42


verantwoordelijkheden. Een security professional wordt nog wel geacht over veel zaken iets te weten, maar is bij veel organisaties niet langer meer generalist. Dit verklaart ook het succes van meer gerichte verdiepingstrainingen in penetratietesten, risk management, incident response en cloud security. Deze ontwikkeling wordt verder gestimuleerd door nieuwe eisen van de overheid zoals de jaarlijks verplichte DigiD audit waar bijvoorbeeld gemeenten mee te maken hebben en die dwingen te investeren in verdere ex- of interne security kennis.”

kregen, is TSTC vorig jaar een exclusieve samenwerking aangegaan met IAPP, de grootste internationale vakvereniging voor privacy professionals. We zijn in mei gestart met hun bekendste CIPP/E titel die cursisten certificeert in globale- en Europese privacy weten regelgeving. Dit jaar zullen we het programma verder uitbreiden met CIPM en CIPT die gaan over hoe deze kennis toe te passen in een privacy management of technische functie. CIPP/E en CIPM sluiten in combinatie het beste aan op de eisen uit de Europese verordening waarmee veel bedrijven verplicht worden een privacy functionaris aan te stellen.”

Privacy In dat kader zal de nieuwe Europese Verordening Bescherming Persoonsgegevens, die de WBP moet gaan vervangen, weer consequenties hebben voor de opleidingsvraag in 2015. Ondanks dat er nog enkele knopen doorgehakt moeten worden, is al wel duidelijk dat er een grote verantwoordelijkheid bij bedrijven komt te liggen op het gebied van bijvoorbeeld privacy management. Waar deze kennis voorheen beperkt bleef tot de juridische afdeling, wordt privacy steeds meer (mede) het domein van informatiebeveiligers en compliance officers. “Omdat de nieuwe privacy verordening vergaande gevolgen heeft voor de informatiebeveiliging en we hier steeds meer vragen over

Certified Chief Information Security Officer (CCISO) Een andere nieuwe titel die TSTC in 2015 zal introduceren is CCISO. De laatste jaren is de eindverantwoordelijkheid voor informatiebeveiliging steeds hoger in de organisatie komen te liggen met de CISO functie tot gevolg. De CISO opereert op het grensvlak tussen beleid en techniek, tracht deze werelden in zijn functie te verenigen en heeft een organisatiebrede kijk op informatiebeveiliging. Bij veel potentiële kandidaten schiet de vereiste management- of technische kennis volgens TSTC nog tekort om voldoende draagvlak te kunnen krijgen binnen alle lagen van de organisatie. De CCISO training behandelt al deze aspecten en met name de samenhang ertussen zodat de functie

beter kan worden ingevuld. CCISO is een internationaal erkende certificering van EC-Council en fungeert tevens als aanvulling op een eventuele behaalde CISSP en/of CISM certificering in verband met de specifieke focus op de CISO-rol en de daarbij behorende werkzaamheden.

Opleiden anno 2015 Volgens TSTC’s directeur is het werk van de opleider langzaam aan het verschuiven. “Bedrijven schakelen ons naast hun reguliere trainingen vaker in voor maatwerktrajecten waarbij certificering niet- of van ondergeschikt belang is. We hebben de beschikking over een uitgebreid netwerk van internationale professionals die naast hun praktijkervaring ook didactisch in staat zijn om hun kennis over te brengen. Om niet voor elke klant een nieuwe training samen te hoeven stellen, zullen we in 2015 ook meer specialistische titels brengen die door kleine groepen te boeken en op punten aan te passen zijn.” Kok noemt voorbeelden als SAP security, Malware Analysis en Exploit Development maar geeft aan dat klanten TSTC met al hun security en privacy vragen kunnen blijven benaderen. “Want één ding verandert er niet, de kennisbehoefte van onze klanten bepaalt uiteindelijk de trainingen op onze agenda.” CloudWorks - nr. 3 / 2015

43

Nieuws

Nieuws

van EuroCloud

Zend in voor EuroCloud Nederland Awards 2015 Ook in 2015 zullen we de EuroCloud Nederland Awards uitreiken, deze vijfde editie wordt gesponsord door EMC en VMWare. CloudWorks is mediasponsor. Er worden net als vorig jaar Awards uitgereikt in de categorieën Best Business Case Private sector, Best Business Case Public sector, Best Cloud Start-up en Best Cloud Product. De winnaars dingen ook deze keer mee naar de EuroCloud Europe Awards in september. De Jury, bestaande uit onder meer Robbert Hoeffnagel, hoofdredacteur CloudWorks, Peter Vermeulen, industry analist bij Pb7 en de EuroCloud Nederland bestuursleden Hans Timmerman en Jan Aleman, selecteert per categorie maximaal drie nominaties. De genomineerden presenteren hun case tijdens het Nationale Cloud Congres, waarna de Jury de uiteindelijke winnaars aanwijst.

Nieuw dit jaar is de uitreiking van de EuroCloud Nederland Publieks Award. Het tijdens het Award evenement aanwezige publiek kan zelf ook een voorkeur uitspreken. Voor deze Award zoeken we nog een sponsor. De EuroCloud Nederland Award Ceremonie vindt plaats op 18 juni. We zijn te gast bij Capgemini in Utrecht. Details over plaats, tijd en programma volgen nog. U wordt van harte uitgenodigd in te zenden! Kijk op www.eurocloudnl.eu voor de voorwaarden voor deelname of neem contact op met Pauline van Alderwerelt van Rosenburgh via [email protected] of 06 50 67 88 20.

It’s all about the Identity Met korting naar het IDNext/NVVB congres - 15/16 april - Noordwijkerhout. Op 15 en 16 april vindt het jaarlijkse IDNext congres plaats, in samenwerking met NVVB, de Nederlandse Vereniging voor Burgerzaken. De NVVB behartigt de belangen op het gebied van persoonsinformatiemanagement, identiteitsmanagement, verkiezingen en dienstverlening & innovatie.

Het congres is het jaarlijkse must-attendevent voor iedereen die professioneel van doen heeft met Identity & Access Management. Het congres wordt gehouden in De Leeuwenhorst in Noordwijkerhout. Ronald Plasterk, minister van Binnenlandse Zaken & Koninkrijksrelaties houdt de keynote. Moderator op beide dagen is Humberto Tan, bekend van Radio & TV.

Kijk op http://www.idnext.eu/en/events/ the-european-digital-identity-event-2015/ voor meer informatie. Leden van de EuroCloud Nederland community kunnen zich met 25% korting inschrijven. Stuur een e-mail naar [email protected] als u hiervan gebruik wilt maken, we sturen u per ommegaande de kortingscode toe.

EuroCloud stopt met NEN normcommissie Cloud Computing Sinds 1 januari jl. maakt EuroCloud geen deel meer uit van de werkgroep Cloud Computing bij het Nederlands Normalisatie Instituut in Delft. Daar zijn een aantal redenen voor. Het doel van de werkgroep was om eind 2014 een zogenaamde Nederlandse Praktijk Richtlijn (NPR) op te leveren, een soort voorloper van een norm. Tegelijk was het via deze officiële werkgroep mogelijk om op voorstellen en revisies van (internationale) normen - gerelateerd aan Cloud Computing - commentaar te leveren. De samenstelling van de werkgroep is beperkt gebleven. Voor een goede nieuwe norm is het echter essentieel dat er diversiteit is in de deelnemers van een dergelijke werkgroep. Het is belangrijk dat er niet alleen

leveranciers aan deelnemen. Verder hadden grote bedrijven in de NEN werkgroep 5317 geen of geringe inbreng en/of waren afwezig bij de vergaderingen. In het voorjaar van 2014 was er een druk bezochte conferentie over de status van de NPR op dat moment. Daar bleek dat mensen vooral inzicht wilden in bestaande normen voor specifieke aspecten van Cloud Computing. In de vergaderingen van de werkgroep 5317 was er echter zelden een brede inhoudelijke discussie over het wel of niet commentaar leveren op andere normen of over fundamentele keuzes in de NPR. Verder kan EuroCloud door het beperkte aantal actieve leden en niet gesteund door een professionele organisatie onvoldoende vuist maken in de Nederlandse werkgroep voor Cloud Computing.

Uit het inmiddels grootschalige gebruik van Cloud Computing blijkt dat het ontbreken van een breed gedragen officiële norm geen belemmering vormt voor inzet van Cloud Computing. Om deze redenen heeft het bestuur van EuroCloud Nederland besloten de jaarlijkse bijdrage van EuroCloud aan de NEN in te zetten om op een andere manier dit deel van haar missie uit te voeren. EuroCloud wil graag de actieve commissieleden en met name de coördinator van de NEN werkgroep NPR 5317 voor Cloud Computing, hartelijk danken voor hun inzet en veel succes wensen met de volgende stappen.

Nationale EuroCloud Monitor 2015 van start Na de succesvolle eerste editie in 2013 herhalen we dit jaar De Nationale EuroCloud Monitor om de staat van Cloud in Nederland te onderzoeken. De onderzoeksuitkomsten in 2013 gaven een helder en diepgaand beeld van het gebruik van cloud in Nederland op dat moment. Wij zijn erg benieuwd naar de stand van zaken nu. Binnenkort begint het veldwerk voor het onderzoek. Het richt zich op vragen waar organisaties die cloud overwegen zich voor gesteld zien: • Wat is de business case? • Wat zijn de kosten en de baten? • Wat zijn de risico’s en hoe maak ik ze beheersbaar en/of aanvaardbaar?

De Nationale Cloud Monitor is een terugkerend, onafhankelijk onderzoek naar het gebruik van cloud computing. Het is een initiatief van EuroCloud Nederland, FenceWorks, de uitgever van onder meer CloudWorks en marktonderzoeksbureau Pb7. Pb7 doet het veldwerk en verzorgt de analyses. De Monitor wordt gesponsord door Telecity Group, Proact en Dimension Data. Er is nog ruimte voor aanvullende sponsoring; sponsors zijn welkom. We hebben een aantrekkelijk sponsorpakket ontwikkeld, met ruimte om eigen onderzoeksvragen te laten meelopen. Partners van EuroCloud Nederland krijgen 15% korting.

Wilt u meer informatie? Stuur een mail naar [email protected] of naar [email protected].

Show your Cloud: op 22 april te gast bij Schuberg Philis

Meld u nu aan als partner of sponsor, en blijf op de hoogte!

De eerste Show your Cloud van dit jaar is bij Schuberg Philis, provider van managed services voor bedrijfskritische IT. De bijeenkomst vindt plaats op 22 april van 16:30 - 19:00 uur. Locatie: Schuberg Philis, Boeing Avenue 271, 1119 PD Schiphol-Rijk.

Met een aantal inspirerende bijeenkomsten in Nederland en andere landen, en een groeiende Europese organisatie met een vertegenwoordiging in meer dan 25 landen, is EuroCloud binnen twee jaar een belangrijk kennisnetwerk geworden op het gebied van Cloud Computing en Software as a Service. Daarnaast biedt EuroCloud een uitstekend platform voor netwerken met zowel leveranciers als gebruikers van Cloud Computing. Naast een actief bestuur hebben inmiddels al meerdere bedrijven zich ingezet voor EuroCloud door een financiële bijdrage te geven of middelen beschikbaar te stellen. Heeft u vragen of - nog beter - wilt u zich aanmelden als Partner, stuur dan een mail naar [email protected] +31 87 87 65 65 6 [email protected] www.eurocloudnl.eu

Onder de noemer Show your Cloud houden we een informele netwerkbijeenkomsten. We zijn te gast bij cloud-bedrijven die iets vertellen over hun propositie en die een klant bereid hebben gevonden de praktijkervaring te delen. Neem contact op met Marion de Iongh via [email protected] als uw organisatie als host wil optreden bij een van de komende Show your Cloud sessies.

www.eurocloudnl.eu 44



45

Een andere grond vinden we mogelijkerwijs in de sterke afhankelijkheidssituatie tussen cloudleverancier en gebruikersorganisatie en wellicht mede in de complexiteit en inhoud van service level agreements. In Nederland valt in ieder geval op dat opnieuw vonnis is gewezen in een conflict, waarbij niet de cloudleverancier maar zijn klant(en) failleerde. Deze omstandigheid leidt kennelijk tot problemen voor de faillissementscurator. Bij de afwikkeling van de boedel, inclusief doorstart van een onderneming, is toegang tot de bedrijfsinformatie immers cruciaal.

Wat is de uitkomst van dit conflict? Een failliete ondernemer mag curatoren bij de uitvoering van hun wettelijke taak niet dwarsbomen, terwijl de cloud service provider door de rechter wordt geboden om de bedrijfsgegevens, die in de cloud zijn opgeslagen, te ontsluiten. De provider moet de digitale omgeving zodanig herstellen en aan de curatoren via het Citrix portal ter beschikking stellen dat deze door middel van ‘alleen lezen’-rechten toegang verkrijgen tot de via een derde bij de Alles over innovatie in ICT

provider gehoste concerndata. Voorwaarde is wel dat curatoren de provider een redelijke vergoeding betalen voor deze werkzaamheden. Zo luidt de kern van een kort-gedingvonnis van de Bossche rechtbank tussen de curatoren en een failliete ondernemer, tevens cloudklant.

Cloudleveranciers moeten dus altijd meewerken? Daar is inderdaad sprake van, maar deze wijze waarop kan wel verschillen (en tevens de leverancier recht heeft op een vergoeding voor het werk). Eerder oordeelde overigens toevallig dezelfde rechter (in 2012 en dat vonnis werd in hoger beroep bevestigd) dat de curator recht heeft op alle administratieve gegevens van de failliet. Wanneer de cloudleverancier er een ‘digitale schoenendoes met bonnetjes’ van maakt en deze aan de curator overhandigt op een harddisk, de leverancier aan zijn wettelijke plicht heeft voldaan. Hij hoeft de gegevens dus niet per se online toegankelijk te maken. Uit deze rechtspraak blijkt dat de curator geen gratis toegang tot de financiële informatie in de vorm van een clouddienst hoeft te krijgen. Uit de nieuwe jurisprudentie blijkt duidelijk dat de curatoren vreesden dat ze überhaupt geen toegang tot de concerndata kregen en zelfs dat deze informatie zou verdwijnen. Ze werden domweg tegengewerkt. Dat mag niet. Mr.V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

SLA

STORAGE

VIRTUALISATIE

APPS

SECURITY

STORAGE

SOLUTIONS

MIGRATIE

SOLUTIONS

Algemeen bezien loopt het vrijwel zeker in geen enkel rechtsstelsel storm. Daaruit leiden we af dat slechts een enkele bij het cloudproces betrokken partij de gang naar de rechter maakt. Let op: het gaat nadrukkelijk om een ruimere groep stakeholders dan klant en leverancier van clouddiensten. Dat blijft opmerkelijk. Enerzijds is zo ongeveer alles ‘cloud’ wat de klok slaat (er zijn talloze diensten en miljarden gebruikers); anderzijds gaat er zeker van alles mis. Denk alleen al aan de talloze inbreukzaken, waarbij persoonsgegevens van soms miljoenen consumenten werden gelekt. Een verklaring geven voor het beperkte animo voor procederen, blijft lastig, maar eerder hebben we de vergelijking getrokken met niet-foutloze standaardsoftware. Ook hier zien we immers klanten - in concreto licentienemers op bedrijfspakketten - hun leverancier ondanks gebreken (bugs) niet voor de rechter dagen.

CLOUDSHOPPING

LAAS

IT MANAGEMENT

SAAS

PRIVATE LAAS

GREEN IT

PAAS

MIGRATIE PRIVATE APPS CONVERSION HYBRIDE CLOUDCOMPUTING SECURITY

PUBLIC

Wat is de status van rechtspraak over clouddiensten?

VIRTUALISATIE

door mr. Victor A. de Pous

CLOUDCOMPUTING

PAAS MIGRATIE

PRIVATE

LAAS CONVERSION

HYBRIDE IT MANAGEMENT

PUBLIC

Rechtspraak

46

DATAC GREEN IT

SECURITY

Legal Look

GREEN IT

cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht

turnIng off encrypted traffIc InspectIon for performance?

We have a better Idea. IntroducIng the fastest fIrebox ever. ®

Encrypted traffic is exploding worldwide. That’s why WatchGuard has released two new security appliances that deliver unprecedented speed – the Firebox M400 and M500. In fact, the M500 is 61% faster than the competition with all layers of security turned on – and 149% faster for capacity-intensive HTTPS inspection.* Now you have the power to amp up network performance without sacrificing security strength. Never compromise security. Step up to the new Firebox. Contact us today at: [email protected] or call +31 (0)70 711 20 85

Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved. * Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV

Prefab-datacenters: Sneller, flexibeler en kosteneffectiever

Recommend Documents