DIT IS EEN UITGAVE VERSPREID MET HET FINANCIEELE DAGBLAD. DE REDACTIE VAN HET FINANCIEELE DAGBLAD HEEFT GEEN BETROKKENHEID BIJ DEZE PRODUCTIE.

Transcriptie

1 DIT IS EEN UITGAVE VERSPREID MET HET FINANCIEELE DAGBLAD. DE REDACTIE VAN HET FINANCIEELE DAGBLAD HEEFT GEEN BETROKKENHEID BIJ DEZE PRODUCTIE. BoardroomIT security & Datacenters Bescherming van de nieuwe olie Dubbele editie! Trends in cybercrime 7 Bedrijven riskeren boetes tot 8 ton 11 Datacenterplanning baart IT-manager zorgen 15 Bouw datacenter: investeren in groei 22 Niet alleen bedrijven hebben de waarde van data ontdekt, ook de georganiseerde misdaad heeft het voorzien op de nieuwe olie die de business draaiende houdt. Daarbij worden geld noch middelen gespaard. Onder andere de levendige marktplaatsen voor het verhandelen van kant-en-klare en geteste virussen zijn daar het levende bewijs voor. De bedrijven die actief zijn op het gebied van cybersecurity floreren bij de toenemende cyberdreigingen. Volgens sommige schattingen groeit de markt voor IT-beveiliging nog dit jaar naar een omvang van ongeveer 75 miljard wereldwijd. Voor een afdoende beveiliging is echter meer nodig dan techniek alleen. Lees verder op pagina 3 Onderzoek: Nederlandse organisaties schuilen onder lappendeken VUGHT Nederlandse organisaties hebben allerlei los van elkaar functionerende securitytools in gebruik. Hierdoor kan slechts een kwart alle relevante security-info op één centraal platform bij elkaar brengen. Dit betekent in de praktijk dat het erg lastig is om in realtime dreigingen te detecteren en af te slaan. Dit blijkt uit een onderzoek dat Pb7 Research heeft uitgevoerd in opdracht van Intel Security. Doordat de beveiligingssoftware slecht op elkaar aansluit, ontstaan tal van problemen en uitdagingen. Zo stelt 44 procent van de respondenten dat dreigingen gemakkelijk over het hoofd worden gezien. Bijna eenzelfde percentage (43 procent) concludeert dat dreigingen onvoldoende of zelfs helemaal niet onschadelijk worden gemaakt. Een kleine minderheid (17 procent) is van mening dat de organisatie te veel securitytools gebruikt. Lees verder op pagina 3 Security Naar data-centric security 4 Security hoort thuis in de bestuurskamer 5 ICT-beveiliging blijft in gebreke 9 Organisaties niet voorbereid op geavanceerde aanval 12 Privacy in een hyperconnected wereld 14 Datacenters Virtuele datacenters zijn onmisbaar 16 Netwerk cruciaal voor succes cloud 19 Doe niet zo moeilijk met je software defined 20 Nederland als datacentermagneet 24 De organisatorische structuur moet veranderen 27

2

3 Door onze redactie Fotografie Roelof Pot Over deze uitgave 3 Redactioneel Follow the money Door Rob Beijleveld Nederlandse bedrijven geven meer geld uit aan de koffie-automaat dan aan het beveiligen van hun digitale infrastructuur, zo claimde Rhett Oudkerk Pool, bestuurslid van brancheorganisatie Nederland ICT, in april van dit jaar. Aan humor geen gebrek bij Nederland ICT. Het bestuurslid wist zich in ieder geval verzekerd van de nodige aandacht, die hij gebruikte om bedrijven op te roepen om tien procent van hun ICT-budget te reserveren voor maatregelen om de cybersecurity te verbeteren. Nooit genoeg Ik kan me heel goed voorstellen dat u moedeloos wordt van dergelijke oproepen. Na de aanschaf van state-of-the-art firewalls en inbraakdetectie- en -preventiesystemen, kreeg u doodleuk te horen dat de cybercrimineel toch wel binnenkomt en dat het verstandig is om ook nog even in de buidel te tasten voor post breach-maatregelen waarmee u criminele activiteiten op uw netwerk kunt detecteren en kunt voorkomen dat gevoelige informatie wordt weggesluisd. En dan is het volgens Nederland ICT nog steeds niet genoeg... Marktonderzoeker Gartner meldt dan ook al enkele jaren op rij dat de uitgaven aan IT-beveiliging met bijna tien procent toenemen. Gartner verwacht dat de wereldwijde securitymarkt dit jaar een omvang zal hebben van 76,9 miljard dollar. Alle maatregelen ten spijt is de dreiging er ook niet minder op geworden. In de Global Risk Management Survey van verzekeraar AON staan cyberrisico s dit jaar voor het eerst met stip genoteerd in de top 10. De totale schade van cybercrime worden door de verzekeraar wereldwijd geschat op bijna honderd miljard dollar per jaar. Nieuwe olie Is er dan helemaal geen hoop dat we het gevecht met de cybercriminelen gaan winnen? De bankovervaller is toch ook uitgestorven? In het recordjaar 1992 waren er in Nederland nog 570 bankovervallen, in 2014 waren dat er nul (0!). Nu is het echt niet zo dat bankovervallers thuis op de bank hangen, moedeloos geworden door de draconische beveiligingsmaatregelen die banken hebben getroffen om hun filialen te beschermen. Nee, ze zijn het geld gevolgd en maken miljarden buit door banken wereldwijd te hacken. Het geld ligt niet meer in de kluis van de bank, maar staat op de servers van de banken, net zoals uw waardevolle assets in de vorm van nullen en enen liggen opgeborgen in uw datacenter. Data wordt niet voor niets aangeduid als de nieuwe olie die uw business draaiende houdt. Zolang die olie een waarde vertegenwoordigt, zullen criminelen de meest geavanceerde middelen inzetten om u uw waardevolle bezittingen afhandig te maken. De draconische maatregelen die u met die tien procent van uw IT-budget treft, brengen de criminelen echt niet op andere gedachten. Deal with it. Rob Beijleveld (rob@ictmedia.nl) is CEO van ICT Media. Vervolg van pagina 1. Nederlandse organisaties schuilen onder lappendeken Groot aantal organisaties getroffen Een derde van de ondervraagde organisaties geeft aan inmiddels met geavanceerde aanvallen te maken te hebben gehad. Waarschijnlijk is het werkelijke aantal organisaties dat hiermee is geconfronteerd veel hoger: nog eens een derde van de organisaties geeft namelijk aan niet te weten of men dergelijke aanvallen heeft ondergaan. De gevolgen van dit soort aanvallen zijn echter groot. Een op vijf organisaties geeft aan dat bij dit soort incidenten werkprocessen zijn verstoord. In een beperkt aantal gevallen (6 procent) is gevoelige bedrijfsinformatie gestolen. Geen idee Maar ook hier geldt dat veel organisaties op dit soort vragen eigenlijk geen antwoord kunnen geven. Nog eens 22 procent stelt namelijk vast dat er eigenlijk geen idee is of er schade is geleden bij een geavanceerde aanval, en zo ja, hoe groot die schade dan was. Doordat er geen samenhangende security-architectuur in gebruik is, ontbreekt het ten eerste aan de mogelijkheden om aanvallen te ontdekken en ten tweede aan de tools om de schade ervan in kaart te brengen. Beveiliging niet hoog genoeg op agenda management SCHIPHOL Ondanks alle aandacht voor security staat het onderwerp niet hoog genoeg op de agenda bij het management. De risico s die bedrijven lopen, komen ook steeds vaker van binnenuit. Beheerders en beveiligingsspecialisten verleggen dan ook hun aandacht van technische oplossingen naar het strenger toezien op het naleven van het security-beleid. Tot deze conclusies komt F5, specialist in cloud-, datacenter- en software defined networking, naar aanleiding van een jaarlijks onderzoek onder ruim 150 ITverantwoordelijken. Bijna de helft van alle ondervraagde bedrijven heeft afgelopen jaar te maken gehad met een gerichte bedreiging op het bedrijfsnetwerk. In een kwart van de gevallen ging het om een DDoS-aanval (25 procent), terwijl fraude inmiddels goed is voor 13 procent van de incidenten. Een versteviging van het securitybeleid heeft dan ook de hoogste prioriteit voor 42 procent van de ondervraagden. Beveiliging op gebruikersniveau en centraal beveiligingsbeheer staan eveneens op de agenda. Reputatieschade Al jarenlang wordt geroepen dat security hoger op de managementagenda moet komen, om een groter draagvlak te creëren en beslissingen te nemen die de beveiliging ten goede komen. Nog steeds is dit niet het geval. Meer dan de helft (56 procent) van de respondenten geeft aan dat security te weinig aandacht krijgt in de bovenste lagen van de organisatie. Wat wel is veranderd, is hoe men kijkt naar de gevolgen van beveiligingsbreuken. Niet langer is men bezorgd om dataverlies of technische problemen, maar staat reputatieschade bovenaan. Colofon: Hoofdredactie Arnoud van Gemeren Eindredactie Ferry Waterkamp Correcties Arnoud Lamboo Medewerkers Chantal Burink, Hans Lamboo, Felix Speulman, Ferry Waterkamp, Hotze Zijlstra Fotografie Roelof Pot Vormgeving Sabine van Loon Drukwerk PRinterface Uitgever Rob Beijleveld, ICT Media BV Laan van Voorburg 1, 5261 LS, Vught, t , f , info@ictmedia.nl Sales & Business Development Director Bart de Vaan Manager Media Jeffrey Ploeg, ICT Media BV, Vught 2015

4 4 Informatiebeveiliging Door Informatica en onze redactie Vincent Harmsen, Informatica: Van application-centric naar data-centric security NIEUWEGEIN In deze tijd waarin personen en devices altijd met elkaar verbonden zijn en organisaties steeds meer te maken krijgen met trends als mobile, Internet of Things (IoT) en cloud, wordt het belangrijker om privacygevoelige en bedrijfskritische data goed te beveiligen. In een interview licht Vincent Harmsen, Vice President EMEA North East binnen Informatica, toe op welke manier trends in data een cruciale rol hebben in de vorming van de informatiebeveiligingsmarkt van de toekomst. Welke trends gaan volgens jou de grootste impact hebben op de toekomstige informatiebeveiligingsmarkt? De meeste organisaties en branches hebben al te maken gehad met digital transformation. De multi-channel retailmarkt wordt bijvoorbeeld gekenmerkt door online transacties. Internet of Things verbindt devices met mensen via het internet. En organisaties ontwikkelen steeds kostenefficiëntere software development-modellen met behulp van outsourcing en offshoring. Al deze ontwikkelingen zorgen ervoor dat steeds meer data zich buiten de muren van de firewall bevinden. Dit vereist een datacentrische security strategie. Wat bedoel je precies met datacentrische security? Datacentrische security is een nieuwe benadering van informatiebeveiliging; je gaat juist de data beveiligen in plaats van de netwerken of de applicaties. Omdat organisaties erg snel innoveren met SMAC (Social, Mobile, Analytics en Cloud)-gerelateerde architecturen, zal data zich bevinden binnen verschillende technologiestacks met tal van verschillende security en control frameworks. Met deze alleen maar toenemende complexiteit is een datacentrische security de enige manier om consistentie en uniformiteit te garanderen op het gebied van informatiebeveiliging. Dit verlaagt het risico op een lek in de informatiebeveiliging. Welke rol speelt data in de informatiebeveiligingsmarkt? Data zijn de nieuwe olie en er zijn helaas personen en organisaties die hier oneigenlijk gebruik van willen maken. Tot voor kort was olie de brandstof van auto s, datacenters en eigenlijk de gehele wereldeconomie. In de hedendaagse wereld vervullen de data deze rol. Organisaties die in staat zijn om Vincent Harmsen de waarde van data te verzilveren, zullen de concurrentiestrijd winnen en de nieuwe leiders worden. Zij zijn in staat tijdig hun producten en services te innoveren op basis van marktdata. En zij zijn in staat tijdig de juiste beslissingen te nemen op basis van data. Kortom: data zijn de nieuwe olie en deze asset moet worden beveiligd. In welke mate zijn security-specialisten voorbereid op het afdekken van securityrisico s? Op dit moment zijn veel security-specialisten nog gefocust op applicatie- of device-centrische security, terwijl er meer focus moet liggen op de beveiliging van de data zelf. Je kunt pas een lek in de informatiebeveiliging dichten als je weet waar gevoelige data zich bevinden. Investeringen in datacentrische security-technologieën zoals data security intelligence en data security controls (bijvoorbeeld masking en encryptie) kunnen vervolgens het risico minimaliseren van het ontstaan van lekken in de informatiebeveiliging. Wat doet Informatica om de innovatie binnen de informatiebeveiligingsmarkt te bevorderen? Informati ca heeft haar R&D-investeringen in data-security de voorgaande jaren sterk verhoogd. Wij geloven dat we organisaties over de hele wereld kunnen helpen bij het verlagen van het risico op het ontstaan Organisaties die in staat zijn om de waarde van data te verzilveren, worden de nieuwe leiders van een lek in de informatiebeveiliging met ons Informatica Intelligent Data Platform, en onze recente ontwikkeling Source. Dit artikel is gebaseerd op een artikel dat eerder is verschenen op CXOtoday.com. Ibt marktonderzoek: Helder beleid ontbreekt bij één derde organisaties AMSTERDAM Een grote minderheid van bedrijven heeft geen beleid voor het gebruik van en archiveert deze ook niet. Daarop duidt onderzoek dat ibt marktonderzoek heeft uitgevoerd in opdracht van ZyLAB, leverancier van oplossingen voor e-discovery en information governance. Tweederde van de ondernemingen geeft aan dat er een duidelijk beleid is. Hoe groter de organisatie, hoe vaker er sprake is van helder beleid. Toch heeft 15 procent van de bedrijven met meer dan duizend werkplekken geen beleid voor het gebruik van . Als er wel sprake is van een duidelijk beleid voor het gebruik van , dan wordt het door iets minder dan de helft (44 procent) van de ondervraagde verantwoordelijken overlegd met collega s van andere afdelingen. In de meeste gevallen (45 procent) wordt het beleid besproken met het managementteam of de board. Ook wordt overlegd met de IT-afdeling (15 procent) en juridische zaken (12 procent). Geen automatische archivering Bijna de helft (44 procent) de ondervraagde organisaties heeft op dit moment geen (technische) oplossing in huis voor het automatisch archiveren van . In de meeste gevallen wordt dit opgelost door geregeld backups te maken (42 procent) of het aan de gebruiker zelf over te laten hoe de mail te archiveren (52 procent). Bedrijven met meer dan duizend geautomatiseerde werkplekken hebben vaker een oplossing in huis dan de kleinere bedrijven. Het al dan niet hebben van een formeel beleid heeft geen invloed op het wel of niet hebben van een technische oplossing. Jan Scholtes, Chief Strategy Officer van ZyLAB: Het valt op dat bijna de helft van de ondervraagde bedrijven geen technische oplossing in huis heeft voor het archiveren van . Men verwacht dat het maken van een back-up afdoende is of laten het aan de gebruiker zelf over om de verantwoordelijk op te slaan. Dat is niet altijd even verstandig. Want alle goede intenties ten spijt, het blijft een uitdaging om de honderden s die we per week ontvangen, op een verantwoordelijke manier te beheren. De ondervraagden maken zich echter weinig zorgen. Ze verwachten geen juridisch onderzoek en als het toch zover zou komen, is de verwachting dat de huidige manier van archiveren volstaat. Alleen toegankelijkheid van bestanden (formaat, locatie, etc.) of problemen met betrekking tot de privacywetgeving baren de respondenten enige zorgen. Bedrijven zouden zich iets meer zorgen moeten maken, zegt Scholtes. Het maken van back-ups is niet in alle gevallen voldoende. Back-ups zijn heel slecht doorzoekbaar en worden in tegenstelling tot archieven, niet geconverteerd naar een nieuw systeem. Dat kan een probleem worden als je onverhoopt gedwongen wordt bepaalde informatie te overhandigen. Want ook in Nederland stellen verschillende instanties, waaronder de belastingdienst, strenge retentie-eisen aan de administratie van een onderneming. Onder administratie vallen ook s en zelfs afspraken en agenda s die tegenwoordig worden gemaakt in Exchange. En let hierbij op, digitale correspondentie moet ook digitaal worden bewaard. Over het onderzoek Het onderzoek is door ibt marktonderzoek uitgevoerd onder ruim 160 organisaties met meer dan 200 geautomatiseerde werkplekken. Binnen elke organisatie is gesproken met diegene die (eind)verantwoordelijk is voor de archivering van .

5 Door onze redactie Interview 5 Rogier van Agt, Sogeti: Security hoort thuis in de bestuurskamer Naarmate organisaties meer vertrouwen op IT-systemen, des te belangrijker wordt het thema security. Nieuwe manieren van werken en toenemende interactie met de buitenwereld zetten informatiebeveiliging in een nieuw daglicht. De bescherming van essentiële bedrijfsmiddelen is verworden tot een maatschappelijk thema en verschuift van een gedelegeerd probleem naar een vast agendapunt in de bestuurskamer. En terecht. De tijd van incidenteel management is voorbij, aldus een gedreven Rogier van Agt, leider van de securitydivisie bij IT-dienstverlener Sogeti. In dit digitale tijdperk, waarin bedreigingen aan de orde van de dag zijn, is het zaak om securitykennis permanent beschikbaar te hebben. Hoe kunnen securityverantwoordelijken de uitdagingen het beste aangaan? We kunnen enorm veel lessen trekken door terug te kijken. Zo weten we inmiddels dat voorkomen beter is dan genezen. Iedere organisatie is zich bewust van de noodzaak voor preventief securitybeleid en beleid dat erop gericht is adequaat te handelen tijdens en na aanvallen. De belangrijkste les is dat we gelijk bij de start van het ontwerp en de ontwikkeling van IT-systemen security-eisen meenemen. Voorheen werden veiligheidsmaatregelen achteraf genomen. Daarmee ben je per definitie te laat en krijg je met extra maatregelen te maken. Met het inbedden van securitymaatregelen in het initiële proces kun je veel gedoe, tijd en kosten besparen. Rogier van Agt Hoe organiseer je security-by-design? Uiteraard begint het bij de erkenning dat het nodig is security-eisen mee te nemen bij de start van een project. Vervolgens is het een kwestie van doen. De eerste stap is het vaststellen van security-eisen naast de benodigde functionele requirements. Beide requirements samen laten komen, gaat voor het echte succes zorgen. Functionele systeemeisen die tegelijkertijd ook veilig zijn. Wat is de grootste security-uitdaging voor de komende tien jaar? Kennis op peil houden. We hebben nog een achterstand in te halen op de slimmigheid van aanvallers. Je zou het een beetje kunnen vergelijken met de ontwikkeling van autodiefstal. Jaren terug waren dieven de autofabrikanten veel te slim af met hun handige manieren om snel en effectief in te breken. Auto-inbraken aan de lopende band waren het gevolg. Inmiddels is het aantal inbraken en autodiefstallen aanzienlijk verminderd, omdat de fabrikanten een goede inhaalslag hebben gemaakt. Hoe zorg je ervoor dat securitykennis op peil blijft, terwijl hackers steeds slimmer worden? Haal ethische hackers in huis. Zij kijken op een andere manier naar de wereld en in het bijzonder naar informatiesystemen en -processen. Met een gecontroleerde inzet van deze kennis en ervaring toets je voortdurend of genomen maatregelen effectief zijn. Ondertussen kom je erachter waar verbetering nodig is. De aanval is toch uiteindelijk de beste verdediging. We weten dat het tegenwoordig niet de vraag is óf je gehackt wordt, maar wannéér dat gaat gebeuren. Dat betekent dat je ervan uit moet gaan dat het fout gaat. Dit dwingt je om van tevoren alle mogelijke scenario s tegen het licht te houden. Een goede voorbereiding is het halve werk. Door op voorhand maatregelen te treffen, kun je je volledig richten op de oplossing op het moment dat een aanval zich voordoet. Is met het in huis halen van hackers securitykennis gewaarborgd? Zeker niet. Het is slechts een voorbeeld van benodigde maatregelen. Een ander belangrijk aandachtspunt is het bewustzijn van medewerkers. Het staat als een paal boven water dat de mens nog altijd de zwakste schakel is in het proces. Dan is het zaak dat je medewerkers meeneemt in de bewustwording. Niet door een willekeurige training dat gaat geen verschil maken. Om een gedragsverandering te laten slagen, moet je een handeling zeker dertig keer hebben gedaan. Zorg daarnaast dat je dat beloont in plaats van te straffen. Een blijvende gedragsverandering realiseer je door goed gedrag op een ludieke manier kortcyclisch te tonen en te belonen. Hoe blijft het kennisniveau van securityspecialisten op peil? Een van de grootste uitdagingen van morgen is het behoud van goed opgeleid personeel. Op dat vlak is er ook veel veranderd. Ook al bestaat IT-security al jaren, de functie heeft nog niet zo lang geleden een vaste plaats in de organisatie gekregen. Dat betekent dat er nog weinig wordt gedaan aan loopbaanontwikkeling voor securityspecialisten. Uiteraard is dat in eerste instantie een verantwoordelijkheid van zowel de specialist als zijn of haar werkgever. De leverancier kan eveneens een Met het inbedden van maatregelen in het initiële proces kun je veel gedoe, tijd en kosten besparen belangrijke rol spelen. Er is dan geen sprake meer van een klant-leverancierrelatie, maar van een gedegen partnership. Zo werken wij samen met de klant om kennis en personeel uit te wisselen. Hoe kun je bijvoorbeeld een securityanalist die in een vast team van een security operating centre (SOC) werkt, perspectief op groei geven? Er is tenslotte maar één SOC-manager en één omgeving waar hij de afgelopen twee jaar heeft gemonitord. Met deze securityanalisten ga je bekijken hoe en waar verandering van omgeving mogelijk is. Weg van het vaste eiland. Daarmee bied je de analist een nieuwe uitdaging, maar wel in een vertrouwde omgeving. En de organisatie is verzekerd van het behoud van kennis en continuïteit, plus binding met de medewerker. Ontwikkeling van deze binden & boeien -aanpak kan heel goed samen met je leverancier. Wat is in het kader van een gedegen security-aanpak nog meer nodig? Je zult ook moeten blijven monitoren. Meten is immers weten, zeker binnen security. IT-systemen actief en voortdurend monitoren, betekent continu inzicht in wat er precies gebeurt. Die data omzetten in kennis en intelligentie helpt bij het nog beter anticiperen op afwijkend gedrag. Inzet van goede monitoringstechnologie maar ook de inzichten van ervaringsdeskundigen zoals security-analisten en (ethische) hackers zijn daarbij onontbeerlijk. Natuurlijk is het daarbij belangrijk dat je leert van het verleden. Nog altijd zijn de meest succesvolle organisaties die bedrijven en instellingen die zich voortdurend weten aan te passen. Ook als straks alles aan het internet hangt. Bij de ontwikkeling van het internet of things, is security-by-design een absolute must. Tot slot: Hoe houdt de CISO zijn eigen kennis op peil over de diversiteit aan securitytooling? Het is belangrijk dat organisaties weten waar naartoe ontwikkeld wordt de bekende stip op de horizon. Anders gezegd: think big, start small. Op deze manier kan de CISO een gedegen afweging maken welke technologie daar het beste bij past. De geselecteerde technologie kan voortdurend getoetst worden aan de gekozen strategie. Dat is niet altijd even makkelijk met de huidige wildgroei aan technologie. Bepaal dan ook of je die kennis zelf op peil wilt houden, of dat je daarbij een beroep doet op onafhankelijke kennis van IT-dienstverleners.

6

7 Door Freek Blankena Trends 7 Trends in cybercrime Financieel risico steeds minder ongrijpbaar VUGHT Cybercrime, of internetcriminaliteit, lijkt een ongrijpbaar fenomeen te worden. Nuchterheid en aanpassingsvermogen zijn wel nodig om de snelle ontwikkelingen het hoofd te bieden. En aandacht voor een handvol trends. De gedachte dat alles wat digitaal gebeurt ook onveilig is, bekruipt menigeen. De hack van het bedrijf Gemalto waardoor de versleuteling van het gsm-verkeer opeens ter discussie stond, een digitale inbraak die Sony dwong een speelfilm uit de roulatie te houden, een grote verzameling webwinkels die onbewust op onveilige manier met klantendata blijkt om te gaan, de Amerikaanse NSA die zich niet alleen aan gewone spionage wijdt, maar ook aan bedrijfsspionage bij Airbus: hoe kunnen burgers en bedrijven zich nog wapenen? Cybercrime lijkt een ongrijpbaar verschijnsel te worden. Enerzijds omdat het zo gemakkelijk is geworden om op het internet kant-enklare gereedschappen te vinden waar een niet eens zo ervaren hacker werkende malware van kan maken. Anderzijds omdat de manieren waarop internetcriminelen te werk gaan steeds gevarieerder, geavanceerder en onopvallender worden. Financieel is het verschijnsel minder ongrijpbaar: verzekeraar AON schat de totale kosten van cybercrime wereldwijd op bijna honderd miljard dollar per jaar. Cyberrisico s staan in AON s Global Risk Management Survey dit jaar voor het eerst in de top 10. Op nummer één staat reputatieschade, die natuurlijk even goed is op te lopen door een digitale inbraak. Verzekeraar AON schat de totale schade van cybercrime wereldwijd op bijna honderd miljard dollar per jaar Managementkwestie Toch is nuchterheid het devies, simpelweg omdat angst- en hype-verhalen (ja, ook afkomstig van leveranciers van beveiligingssoftware) niet echt helpen. Bestuurders en directieleden van bedrijven en organisaties moeten zich wel realiseren dat beveiliging geen technische kwestie (meer) is die geheel aan de IT-afdeling kan worden gedelegeerd. Of zoals Henk Wesseling, hoofd van de (inmiddels opgeheven) Taskforce Bestuur en Informatieveiligheid Dienstverlening onlangs verwoordde: Digibeet kan voor een bestuurder geen geuzennaam meer zijn. Voor bestuurders in overheid en bedrijfsleven (dus RvB- en RvC-leden) geldt hetzelfde: beveiligen is regels stellen, voorbereid zijn en risico s afwegen. Wat betekent het bijvoorbeeld voor een e-commercebedrijf als er twijfels zijn over de veiligheid van de klantendatabase waarin alle inlognamen en wachtwoorden staan? Wat is eigenlijk het fundamentele beleid rond wachtwoorden? De bedrijfstop moet antwoorden op zulke vragen hebben, niet de IT-afdeling. Ze kunnen daarbij rekening houden met een aantal trends: Oude software wreekt zich Vorig jaar openbaarden zich kwetsbaarheden als Heartbleed en Shellshock, zwakke plekken in internetprotocollen die al vele jaren blijken te bestaan en waarvan het onduidelijk is in welke mate er misbruik van is gemaakt. Veel software moest worden vervangen steeds vaker is die software ingebakken in apparatuur. OpenSSL en Java zijn inmiddels berucht, maar geen enkele software is honderd procent veilig. Bestaande software up-to-date houden blijft natuurlijk altijd nodig. Maar daarmee zijn bedrijven en organisaties er niet. Het besef dat er nog heel veel software in omloop is die niet is gebouwd met security-by-design als uitgangspunt, zal verder doordringen. Dat de Rijksoverheid herhaaldelijk miljoenen moet uitgeven voor extra ondersteuning omdat het uitfaseren van het nota bene desktop-besturingssysteem Windows XP meer tijd vergt dan verwacht, illustreert hoe lastig dat kan zijn. Dit soort inzichten zorgt er ook voor dat een kleiner deel van het beveiligingsbudget wordt besteed aan het beveiligen van de buitengrens van een organisatie of bedrijf; voorkomen dat er iemand met kwaadaardige bedoelingen binnenkomt is immers gewoon niet genoeg. Internet of Things onder vuur Bij de term Internet of Things (IoT) denkt menigeen aan testjes met slimme koelkasten die zelf melk bijbestellen, maar er zijn al veel evidentere IoT-toepassingen in gebruik. De slimme energiemeter, auto s, routers, IP-camera s, wifi-printers; veel apparatuur hangt al aan het net. In bedrijven is men daarin zelfs vooruitstrevender. Deskundigen verwachten daar dan ook veel aandacht van cybercriminelen. Bedrijfsapparatuur die via het internet zijn afhandelstatus doorgeeft in logistieke processen of zijn onderhoudsstatus, is volgens hen eerder kandidaat voor een aanval dan die mooie thermostaat thuis die zich via de smartphone laat bedienen. Aanvallen op mobiele apparatuur Smartphones en tablets zijn bijna volwaardige computers geworden, die voor ons gemak veelal automatisch inloggen en informatie delen. Die gemakkelijke persoonlijke omgang met data botst vaak met die van het bedrijfsleven. Cyber security-specialisten voorzien een toename in het aantal aanvallen waarbij mobiele apparaten worden gebruikt om inlogdata te stelen om zo bedrijfsnetwerken en de door het bedrijf gebruikte clouddiensten binnen te komen. Onderzoeksbureau Gartner denkt dat driekwart van de mobiele applicaties op dit moment niet door een fundamentele beveiligingstest zouden komen. Bedrijven zijn daarin relatief machteloos. De meeste bedrijven zijn onervaren in de beveiliging van mobiele applicaties. Zelfs als ze die testen, gebeurt dat vaak niet serieus, door ontwikkelaars die vooral bezig zijn met de functionaliteit van applicaties, niet hun beveiliging, aldus Gartner-analist Dionisio Zumerle. De verspreiding van mobiele apparatuur brengt overigens ook een voordeel met zich mee: eenvoudigere twee-factorauthenticatie. Naast inlognaam en wachtwoord dient de gebruiker dan nog een derde gegeven aan te leveren, zoals de per sms toegezonden code die fervente DigiD-gebruikers en thuisbankiers wellicht kennen. Sms-authenticatie is een stuk goedkoper dan oplossingen voor twee-factor authenticatie waarbij gebruik wordt gemaakt van een hardtoken. Beveiligen is regels stellen, voorbereid zijn en risico s afwegen Openheid en samenwerking Er komt in Nederland een Meldplicht datalekken, waarbij hacks en/of dataverlies op straffe van een boete aan het College Bescherming Persoonsgegevens gemeld moeten worden. Maar bedrijven en overheid zouden uit zichzelf al veel opener moeten worden over gevallen van cybercrime. De aanvallers werken namelijk wel goed samen, stelde Richard Struse, Chief Technology Officer op het Amerikaanse departement Homeland Security, op de recente RSA-conferentie. Ze gebruiken elkaars kennis en tools, omdat dat efficiënt en kostenbesparend is. Dat zouden bedrijven en overheden dus ook moeten doen. Ook op de recente Global Conference on CyberSpace 2015 in Den Haag was de roep om meer samenwerking te horen. In het onlangs uitgebrachte rapport European Cyber Security Perspectives 2015 (van TNO, NCSC, KPN en Nationale Politie) wordt de gezamenlijke actie van politiekorpsen in 16 landen tegen gebruikers van de malware Blackshades als voorbeeld genoemd, evenals het platleggen van de illegale online-handelsroute Silk Road 2.0. Samenwerking werkt, wil men maar zeggen. Een andere ontwikkeling is het beter delen van kennis, middels gestandaardiseerde en geautomatiseerde uitwisseling van informatie over cyberdreigingen. Freek Blankena is freelance journalist

8 8 Onderzoek Door Felix Speulman Data Breach Investigations Report 2015 ICT-beveiliging blijft in gebreke AMSTERDAM Cyberaanvallen krijgen een steeds geavanceerder karakter, maar traditionele technieken als phishing en hacking blijven populair. Wel worden de technieken in de overgrote meerderheid van de aanvallen (70 procent) gecombineerd met een tweedelijns slachtoffer. Dat blijkt uit 2015 Data Breach Investigations Report van Verizon dat in april werd gepubliceerd. Digitale spionnen hebben het met name voorzien op manufacturing en de publieke sector. Mobiele dreigingen vallen mee Opvallend is dat de onderzoekers de berichtgeving over mobiele bedreigingen overdreven achten. Het aantal kwetsbaarheden in de beveiliging van mobiele platforms waar cybercriminelen misbruik van maken, is verwaarloosbaar. Het IoT is echter wel nieuw werkterrein voor cybercriminelen. Waar er in 2014 geen beveiligingsincidenten op het gebied van machine-to-machine-communicatie werden gerapporteerd, maakt het rapport dit jaar melding van incidenten waarbij hackers gebruikmaakten van verbonden apparaten voor het infecteren van systemen. Ook werden IoT-apparaten gecombineerd tot een botnet (een netwerk van privécomputers die geïnfecteerd zijn met kwaadaardige software en die beheerst worden zonder dat de eigenaar dat weet) voor denial of service (DoS)-aanvallen. Een zorgwekkende ontwikkeling waar de onderzoekers op wijzen en waar ook een recente enquête van Intel op wijst, is dat veel organisaties verzuimen om bekende kwetsbaarheden te verhelpen of dit met grote vertraging doen. Beveiligingspatches worden vaak niet geïnstalleerd en veel kwetsbaarheden zijn al jarenlang bekend en dateren vaak van vóór Dat begint al bij de software-leveranciers: uit recent onderzoek van Symantec blijkt dat deze bij zero-day-kwetsbaarheden bijna twee maanden (59 dagen) nodig hebben om patches te maken en te implementeren en deze tijd wordt almaar langer. Volgens het 2015 Data Breach Investigations Report is er sprake van een detectiekloof. Detectiekloof Er is daarnaast sprake van een detectiekloof : de tijd die verstrijkt tussen de diefstal van gegevens en de ontdekking daarvan is te lang. Aanvallers kunnen in zes op de tien gevallen bedrijfsnetwerken binnen enkele minuten binnendringen: te snel voor detectie. Hoe later ontdekking plaatsvindt, hoe meer tijd aanvallers hebben diep in het netwerk door te dringen en schade te berokkenen. Bij meer dan een kwart van alle incidenten kost het gehackte organisaties weken of zelfs maanden om zich van een beveiligingsincident te herstellen, aldus het Verizon-rapport. De uitkomsten van de Intel-enquête wijzen er dan ook op dat veel verantwoordelijken voor beveiliging de oplossing vooral zoeken in automatisering van detectie, betere analytics en betere integratie van beveiligingstools. Organisaties laten wat de ICT-beveiliging betreft nog altijd veel steken vallen, zegt Mike Denning, Vice President Global Security bij Verizon Enterprise Solutions. Hoewel er geen garantie tegen beveiligingsincidenten bestaat, kunnen organisaties de risico s fors terugdringen door zich waakzamer op te stellen bij het beschermen van hun bedrijfsgegevens. Dit blijft de rode draad in meer dan tien jaar onderzoek naar beveiligingsincidenten voor onze Data Breach Investigations Reports. De onderzoekers achten de berichtgeving over mobiele bedreigingen overdreven Aanbevelingen De belangrijkste aanbevelingen uit het rapport zijn: verhogen van de waakzaamheid, ervoor zorgen dat medewerkers de eerste verdedigingslinie worden, gegevens alleen toegankelijk maken voor mensen die deze werkelijk nodig hebben, updates en patches zo snel mogelijk installeren, gevoelige informatie versleutelen, twee-staps-authenticatie gebruiken en de fysieke beveiliging niet verwaarlozen. Vooral Nederlandse organisaties zouden zich deze aanbevelingen moeten aantrekken. Onlangs maakte Symantec bekend dat ons land opnieuw in de wereldwijde top 5 staat van de ranglijst van bedrijven die het meest geraakt worden door cyberaanvallen. In Europa staat Nederland zelfs op de eerste plaats. De kosten van een beveiligingsincident afgezet tegen het aantal gegevensbestanden dat wordt gestolen. Model voor schatting kosten incidenten Verizon heeft een nieuw model ontwikkeld voor de berekening van financiële gevolgen van een beveiligingsincident, gebaseerd op analyse van bijna 200 verzekeringsclaims die verband hielden met cyber-aansprakelijkheid. Het model houdt rekening met het feit dat de kosten per gestolen gegevensbestand direct verband houden met het type informatie en het totale aantal geschonden gegevensbestanden. Het geeft een bandbreedte aan voor de kosten per gestolen of verloren gegevensbestand (zoals een creditcardnummer of medisch dossier). Het model voorspelt bijvoorbeeld dat de kosten van een beveiligingsincident waarbij 10 miljoen gegevensbestanden gestolen worden, tussen de 2,1 miljoen en 5,2 miljoen dollar zullen liggen (95 procent van alle gevallen). Afhankelijk van de omstandigheden kan dit oplopen tot wel 73,9 miljoen dollar. Voor beveiligingsincidenten met 100 miljoen gegevensbestanden zullen de kosten tussen de 5 en 15,6 miljoen dollar liggen (95 procent van de gevallen) en deze kunnen oplopen tot 199 miljoen dollar. Negen basispatronen Volgens de analisten kan de overgrote meerderheid (96 procent) van de bijna beveiligingsincidenten die zij dit jaar analyseerden, herleid worden tot 9 standaard aanvalspatronen die per sector kunnen verschillen. Deze patronen zijn: menselijke fouten zoals het verzenden van berichten naar de verkeerde persoon, crimeware (uiteenlopende vormen van malware die de controle over systemen overnemen), misbruik door insiders of gebruikers met speciale toegangsrechten, fysieke vormen van gegevensdiefstal of -verlies, aanvallen op internetapplicaties, denial of service-aanvallen, cyberspionage en inbreuk op point of sale-systemen en skimming. Volgens de onderzoekers is 83 procent van alle beveiligingsincidenten te herleiden tot de top 3 van bedreigingspatronen voor elke sector (2014: 76 procent). Felix Speulman is redacteur van IT Executive De sector onderwijs heeft gemiddeld met malware events per week te maken. Over het onderzoek De Data Breach Investigations Reports van Verizon zijn gebaseerd op praktijkgevallen. Het laatste rapport is de achtste editie en vormt de neerslag van analyses van meer dan bevestigde gevallen van gegevensdiefstal en circa gerapporteerde beveiligingsincidenten. In de afgelopen tien jaar heeft Verizon voor zijn rapport meer dan gevallen van gegevensdiefstal en bijna beveiligingsincidenten geanalyseerd. De rapporten zijn tevens gebaseerd op informatie over beveiligingsincidenten die niet in gegevensdiefstal resulteerden zodat een completer beeld van het beveiligingslandschap ontstaat. Verizon is een van de 70 wereldwijde organisaties die gegevens en analyseresultaten bijdroegen aan het rapport van dit jaar.

9

10

11 Door Joke Bodewits Privacy 11 CBP kan boetes opleggen tot ruim 8 ton Wet Meldplicht Datalekken AMSTERDAM Recent is de Tweede Kamer akkoord gegaan met een brede meldplicht datalekken voor bedrijven die verantwoordelijk zijn voor het verwerken van persoonsgegevens, zoals werkgevers die persoonsgegevens van werknemers verwerken, of ondernemers die een klantenadministratie bijhouden. Als deze gegevens worden gelekt, dient het beveiligings incident in de toekomst wellicht te worden gemeld bij het College bescherming persoonsgegevens en de betrokkene. De Eerste Kamer heeft aangegeven dat zij graag het wetsvoorstel nog voor het zomerreces zou willen behandelen. Een goed moment om te kijken waar we nu staan en om alvast te anticiperen op de toekomstige wetgeving. De wet is van toepassing op alle ondernemingen, van zzp er tot multinational Op dit moment kent de Nederlandse wet alleen een zogenoemde smalle meldplicht, namelijk voor aanbieders van elektronische communicatiediensten zoals mobiele providers. De Telecommunicatiewet verplicht deze aanbieders de toezichthouder te informeren over inbreuken op de beveiliging die nadelige gevolgen hebben voor de bescherming van de persoonsgegevens. Voorts dienen aanbieders de getroffen abonnees te informeren indien de inbreuk waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Deze melding aan de toezichthouder en de abonnee dient onverwijld plaats te vinden. De Wet bescherming persoonsgegevens (Wbp) kent zo n verplichting om beveiligingsincidenten te melden tot op heden niet. Al is het in beginsel niet zo dat een datalek helemaal niet hoeft te worden gemeld aan de persoon van wie persoonsgegevens zijn gelekt, de betrokkene. De Wbp vereist namelijk dat de verantwoordelijke de betrokkene informeert over de wijze waarop persoonsgegevens worden verwerkt. Dit verwerken is een breed begrip en omvat eigenlijk alle handelingen die met persoonsgegevens kunnen worden verricht, van het verzamelen, opslaan, inzien en doorgeven, tot verlies en vernietiging. Aangezien verlies van persoonsgegevens eveneens onder het verwerkingsbegrip valt, zou de verantwoordelijke nu dus reeds een verplichting hebben om de betrokkene te informeren over het verlies van de persoonsgegevens. Het College Bescherming Persoonsgegevens (CBP) dient in beginsel eveneens te worden geïnformeerd. De praktijk is echter dat beveiligingsincidenten op dit moment niet worden gemeld aan de betrokkene of aan het CBP. Samenvatting wetsvoorstel De wet zoals die nu bij de Eerste Kamer ligt vereist dat het CBP onverwijld in kennis wordt gesteld van een inbreuk op de beveiliging [...] die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de persoonlijke levenssfeer. Voorts moet de betrokkene, de persoon op wie de persoonsgegevens betrekking hebben, worden geïnformeerd als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Kort gezegd houdt dit het volgende in: veel inbreuken op persoonsgegevens zullen moeten worden gemeld bij het CBP; als de inbreuk waarschijnlijk privacygevolgen heeft voor de betrokkene, moet het datalek eveneens aan de betrokkene worden gemeld, tenzij de data voldoende versleuteld waren; bedrijven moeten een overzicht bijhouden van de datalekken die er zijn geweest; en in bewerkersovereenkomsten moeten afspraken worden gemaakt over naleving van de verplichtingen rondom beveiligingsinbreuken. Belangrijk is dat niet alleen datalekken dienen te worden gemeld die ernstige gevolgen hebben voor de bescherming van persoonsgegevens, maar ook datalekken die leiden tot een aanzienlijke kans daarop. Doordat de wet op alle ondernemingen, van zzp er tot multinational, van toepassing is, laat de wetgever het aan de verantwoordelijke zelf om te bepalen wat voldoende ernstig is. Volgens de wetgever zouden de aard en de omvang van het datalek leidend moeten zijn. Wat de gevolgen van het datalek zijn, hoeft niet vast te staan. Voorts is het niet van belang of de beveiliging van de gelekte gegevens passend was. Inbreuk op de beveiliging met ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens volstaat. De vraag rijst wanneer een beveiligingsincident moet worden gemeld. Een sprekend voorbeeld is het verlies van een laptop, maar het geldt uiteraard evenzeer voor het onfortuinlijke geval waarbij een website is De wetgever laat het aan de verantwoordelijke zelf om te bepalen wat voldoende ernstig is gehackt. Als een laptop wordt gestolen, dient dit bij het CBP te worden gemeld indien er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van de persoonlijke levenssfeer, bijvoorbeeld een laptop met financiële klantgegevens. Als de laptop (of de data op die laptop) niet was versleuteld, dient de diefstal eveneens te worden gemeld aan de betrokkene indien de inbreuk waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Andersom geldt dat het verlies van een laptop met versleutelde klantgegevens niet hoeft te worden gemeld aan het CBP of de betrokkene indien de gevolgen van het beveiligingsincident niet ernstig te noemen zijn. Bewerkersovereenkomsten De Wbp vereist dat de contractuele verplichtingen tussen verantwoordelijke en serviceproviders zijn vastgelegd in een schriftelijke bewerkersovereenkomst. Kort gezegd eist de Wbp dat zo n bewerkersovereenkomst in ieder geval beschrijft (i) welke acties de serviceprovider dient te verrichten (bijvoorbeeld het verrichten van payrolservices), (ii) dat de serviceprovider enkel handelingen met persoonsgegevens mag verrichten die zijn geïnstrueerd door de verantwoordelijke, (iii) dat de serviceprovider de persoonsgegevens vertrouwelijk zal behandelen en (iv) dat de serviceprovider passende technische en organisatorische beveiligingsmaatregelen treft. De verantwoordelijke dient er op toe te zien dat de serviceprovider zich aan deze afspraken houdt. Met de invoering van de meldplicht datalekken dient de bewerkersovereenkomst te worden uitgebreid. De verantwoordelijke heeft immers de verplichting om het CBP onverwijld in kennis te stellen van datalekken en kan deze verplichting alleen nakomen nadat hij door de serviceprovider is geïnformeerd over het beveiligingsincident. Het is raadzaam om in bewerkersovereenkomsten op te nemen dat de serviceprovider onmiddellijk dient te informeren indien deze kennis neemt van een beveiligingsincident waarbij mogelijk persoonsgegevens zijn gelekt. Voorts dient te worden opgenomen dat de serviceprovider de verantwoordelijke informeert over de aard en de omvang van het beveiligingsincident, de maatregelen die de serviceprovider heeft genomen om erger te voorkomen en voor zover mogelijk, welke maatregelen de betrokkene kan treffen om de negatieve gevolgen te beperken, bijvoorbeeld door te voorkomen dat data (verder) wordt gelekt. Boetebevoegdheden CBP Een belangrijke reden om datalekken te melden, kan worden gevonden in de nieuwe boetebevoegdheden van het CBP. In februari is de Tweede Kamer akkoord gegaan met een uitbreiding van de boetebevoegdheden van het CBP. Indien ook de Eerste Kamer akkoord gaat, kan het CBP voortaan boetes opleggen tot euro, met voor rechtspersonen een mogelijke uitloop tot 10 procent van de jaaromzet, bij niet naleving van de meldplicht datalekken en een groot aantal andere bepalingen uit de Wbp. Alsof een datalek al niet vervelend genoeg is. Joke Bodewits is advocaat bij Hogan Lovells in Amsterdam

12 12 Onderzoek Door onze redactie Best practices worden genegeerd Organisaties niet voorbereid op geavanceerde aanval VUGHT Een meerderheid van de organisaties wereldwijd is niet goed voorbereid op geavanceerde cyberdreigingen. Ook doen zij vrijwel niets met beschikbare best practices voor incident response die hen in staat stellen cyberaanvallen, die uiteindelijk tot inbreuken leiden, te detecteren en te verstoren. Dit is de belangrijkste conclusie van een onderzoek dat beveiligingsspecialist RSA heeft laten uitvoeren. Het onderzoek is uitgevoerd in dertig landen en vergeleken met onderzoek van de Security for Business Innovation Council (SBIC), een groep top security-leiders van de Global De resultaten van beide onderzoeken zijn gebundeld om kwantitatief inzicht te verschaffen in real world security best practices, om te laten zien waar de technologie tekortschiet en om gericht te kunnen adviseren over hoe deze kloof het beste gedicht kan worden. Incident response Het onderzoek richt zich op maatregelen binnen vier belangrijke deelgebieden van breach readiness & response: incident response, content intelligence, analytic intelligence en threat intelligence. Incident response is een activiteit die bedrijven continu moeten aanscherpen om het hoofd te kunnen bieden aan het groeiend aantal aanvallen. De onderzoeksresultaten laten zien dat, terwijl alle SBIC-leden beschikken over een vorm van incident response, 30 procent van de ondervraagde organisaties in het Global Breach Readiness-onderzoek (GBR) geen formeel calamiteitenplan heeft. Bovendien geeft 57 procent van de organisaties die wel een plan hebben aan, dat ze dit plan nooit aanpast. Content intelligence Content intelligence is inzicht verkregen door de inzet van tools, technologie en processen voor het identificeren en monitoren van belangrijke assets. Terwijl alle leden van de SBIC de mogelijkheid hebben data te verzamelen en alarm te slaan wanneer dat nodig is, doet 55 procent van 30 procent van de ondervraagde organisaties heeft geen formeel calamiteitenplan de ondervraagde organisaties dit niet, wat hen blind maakt voor veel bedreigingen. Het identificeren van false positives blijkt in de praktijk moeilijk: de helft van de respondenten blijkt in staat deze te identificeren, terwijl meer dan 90 procent van de SBIC-leden over geautomatiseerde cyber security-technologie en -processen beschikken om informatie te updaten en de kans op incidenten te verkleinen. Analytic intelligence De meeste organisaties erkennen dat het verzamelen van belangrijke loggegevens met behulp van security information and event management (SIEM)-systemen slechts een gedeeltelijk beeld schetst van hun omgeving. Uit het onderzoek blijkt dat 72 procent van de respondenten toegang heeft tot malware of endpoint forensics, terwijl slechts 42 procent van de respondenten beschikt over de mogelijkheid voor meer verfijnde network forensics, waaronder packet capture en netflowanalyse. Threat intelligence Externe threat intelligence en het delen van informatie daarover is belangrijk voor organisaties om op de hoogte te blijven van de nieuwste tactieken en motieven van aanvallers. De onderzoeksresultaten laten zien dat slechts 43 procent van de GBR-respondenten een externe threat intelligence-bron gebruikt als aanvulling op de eigen kennis. Hackers maken regelmatig gebruik van bekende maar vaak niet gepatchte kwetsbaarheden, maar slechts 40 procent van de ondervraagden in het onderzoek heeft een actief vulnerability management-programma. Dit maakt het voor velen een nog grotere uitdaging om aanvallers voor te blijven.

13 Door onze redactie Fotografie Roelof Pot Discussie 13 KPN en Cisco over de impact van Internet of Things Businessmodellen op de schop GROENEKAN Op 23 april vond tijdens het Jaarcongres Connected Enterprise in Fort Voordorp een rondetafelsessie plaats over de impact van het Internet of Things op businessmodellen, de veranderende rol in het ecosysteem en randvoorwaarden zoals data en connectiviteit. Het resultaat was een drukbezochte en levendige discussie over de mogelijkheden en kansen van een connected enterprise. Gastheren Joris Geertman (KPN) en Michiel Panders (Cisco) werden bijgestaan door gespreksleider Arnoud van Gemeren. club met een heel ander type IT er, gericht op flexibiliteit en snelheid. Het is maar helemaal de vraag of een interne IT-afdeling zich kan permitteren om alleen mensen en processen te bedienen en alles wat met things te maken heeft kan outsourcen. Het kan immers nadelig zijn voor de integratie tussen de voor- en achterkant van de IT-omgeving. Een belangrijk punt. Dat is een besluit op boardniveau, vindt een van de aanwezigen. Zolang zij IT aan de CFO laten rapporteren, zal de aandacht op de backoffice gericht blijven. Een ander is het daar volledig mee eens. We moeten ophouden met IT te beschouwen als kostenpost. IT is een business enabler en naast de kosten staan ook baten. Onze CIO werd voorheen vooral afgerekend op kosten en beschikbaarheid. Nu heeft hij een commerciële doelstelling. Boardcultuur Alles draait dus om de mindset van de organisatie. Maar leeft IoT wel in de boardroom? De meeste boards zijn teveel bezig met risicomitigatie, compliance en het pleasen van aandeelhouders. En hoewel IT steeds belangrijker wordt, doen ze het liever de deur uit. Er is veel gebrek aan kennis over digitale transformatie, stelt een ander. Een nieuwe Michiel Panders, Directeur Enterprise bij Cisco, legt uit dat de term Internet of Everything (IoE) verder gaat dan het Internet of Things (IoT). Het gaat niet alleen om de verbindingen met dingen zoals sensoren en devices, maar ook om connecties tussen mensen, (bedrijfs)processen en data. Een mooi praktijkvoorbeeld daarvan is taxidienst Über. Naast praktische informatie vanuit de auto, zoals waar het voertuig zich bevindt en wat het ritje gaat kosten, kunnen klanten direct hun persoonlijke ervaringen met elkaar delen. Joris Geertman, Directeur Innovatie & Application Services bij KPN Consulting, voegt toe dat Internet of Things bedrijven de mogelijkheid geeft om businessmodellen volledig op de schop te nemen. Er is veel gebrek aan kennis over digitale transformatie Wet- en regelgeving als hindernis Een van de deelnemers geeft aan dat in de zorg al heel veel apparaten en systemen met elkaar kunnen communiceren. De apparatuur op de intensive care toont parameters op de displays, en die waarden worden tegelijkertijd doorgestuurd naar het EPD van de betrokken patiënt. In de zorg bestaat een ander probleem: In een Academisch Ziekenhuis moeten we meer tegenhouden dan we zouden willen. We hebben heel veel point solutions, vaak verouderde apparatuur die niet geschikt is voor het IoT. Maar ook nieuwe ontwikkelingen geven problemen: artsen adopteren bijvoorbeeld e-health volledig, maar daar is de wet- en regelgeving nog helemaal niet aan toe. Een arts mag bijvoorbeeld geen diagnose stellen op basis van een niet-geijkt apparaat. Diezelfde problematiek speelt in de wereld van de hoorapparaten. De wet- en regelgeving werkt daar beperkend: Niet alleen speelt privacy een rol, ook de voorschriften over de wijze van aanmeting en het verbod op kalibratie op afstand belemmeren ons om ons businessmodel aan te kunnen passen. Terwijl de klanten daar wel voor open staan. Muizenvallen en cv-ketels Een van de aanwezigen vertelt dat zijn bedrijf facilitaire dienstverlening meetbaar maakt met IoT. Wanneer moet het koffiezetapparaat bijgevuld worden, wanneer moet de muizenval worden geleegd. Daar is heel veel efficiëntiewinst te behalen in het businessproces. Innovatie in de facilitaire dienstverlening heeft zich vooral voltrokken op het gebied van schoonmaakmiddelen. Maar nooit is de vraag gesteld: moeten wij vandaag wel schoonmaken? Met een simpele sensor kan IT veel invloed uitoefenen op de winstgevendheid. Het resultaat is dat je hetzelfde kunt blijven doen, maar met minder personeel en met hogere kwaliteit. De spreker geeft aan dat je die werkwijze niet zomaar in een grote organisatie kunt invoeren, terwijl de nieuwe werkwijze genoeg klanten aanspreekt. Een voorbeeld uit de installatiemarkt: de leveranciers van cv-ketels rusten hun apparatuur uit met sensoren en krijgen zo dus veel informatie buiten de installateurs om. Zij zien dat als een serieuze bedreiging voor het doen van goed onderhoud. Bovendien krijgen de leveranciers ook inzicht in het gedrag van de gebruiker. Het is maar de vraag of onze maatschappij dat wel wil. IT-afdeling in het gedrang Een van de deelnemers merkt op dat het een illusie is dat de interne IT-afdeling kennis zou hebben van de businessprocessen en daar toegevoegde waarde aan kan leveren. IT komt teveel uit de administratieve hoek. En heeft nauwelijks verstand van alle nieuwe technologieën die op ons afkomen. Hij is dan ook een voorstander van het outsourcen van IT. Maar wel met een zeer sterke regiefunctie. Een ander constateert dat ITafdelingen wel degelijk aan het veranderen zijn, meest conform Gartners model van Bi-modal IT. Enerzijds een gedegen backoffice en anderzijds een soort freestyle De board moet begrijpen wat de impact is van IoT op hun organisatie CFO kan veel doen, zoals bij C&A. Die snapt het, en zet direct een andere CIO neer. Het moet echt van de top afkomen. De board moet begrijpen wat de impact is van de transformatie en van IoT op hun organisatie. Maar zelfs als de bestuurders begrijpen dat er iets moet gebeuren, hebben ze geen idee wat en hoe, stelt een andere aanwezige. Bij ons bestaat een groot perceptieverschil: de board geeft zichzelf nog 10 jaar. Ik denk meer aan twee. En mijn landenorganisatie zegt: ik heb nú al last van de veranderingen. Adoptie van IoT IoT komt er aan, sterker nog: het is er al. Zijn bedrijven en instellingen er klaar voor? Een deelnemer antwoordt met een wedervraag: Waren we in 1970 voorbereid op honderd tv-kanalen? Waren we twintig jaar geleden klaar voor mobiele telefonie? Kijk eens hoe we ons daaraan hebben aangepast, wat een impact dat heeft, en hoeveel gespreksstof dat nog steeds oplevert. We hebben leren omgaan met de securityrisico s en daarbij zijn nieuwe inzichten en businessmodellen ontstaan dankzij alle nieuwe informatie die makkelijker kon worden gedeeld. Zo zal het ook met het IoT gaan. Er leven nog vele ideeën over de toepassing van IoT en nieuwe businessmodellen. Maar het is van belang eerst te bepalen welke business driver je gaat adresseren. Maak het zo concreet mogelijk. Anders komt het niet verder dan vage ideeën en evangeliserende analisten.

14 14 Connected Enterprise Door Jaap Schekkerman en Jan Scholtes Privacy en Security: Jan Scholtes Hebben wij die nog wel in een hyperconnected wereld? ROTTERDAM In de laatste twintig jaar heeft de technologische revolutie een enorme impact gehad op hoe we leven en werken. Het heeft ons nieuwe kansen voor innovatie en verbeterde productiviteit gebracht, maar ook risico s en uitdagingen. liefst 7 triljoen apparaten met elkaar verbonden kunnen zijn, roept wel de vraag op of wij als samenleving niet security-eisen moeten stellen aan technologieën en apparaten. Bedrijven en overheden kunnen een deel van de risico s verkleinen en de schade beperken door beter samen te werken en zelf eisen te stellen aan het gebruik ervan. Steeds meer organisaties doen dit al: zij delen informatie over risico s en dreigingen en er zijn bepaalde sectoren waarin bedrijven samenwerken aan contingency-plannen of een gezamenlijke aanpak om kwetsbaarheden op te sporen en aan te pakken. Ook delen steeds meer organisaties hun security-informatie zodat het mogelijk wordt om kenmerken of patronen vroegtijdig te herkennen. Databeveiliging hoog op de agenda ediscovery startpunt voor een efficiënt cybersecuritybeleid Als gevolg van innovatieve technologieën als cloud, mobile computing en het Internet of Things staat alles en iedereen tegenwoordig in verbinding met elkaar, de zogenaamde hyperconnected world. Onderzoekers denken dat rond 2025 meer dan 7 triljoen apparaten draadloos met elkaar zijn verbonden. Deze verbonden wereld zorgt voor economische en maatschappelijke groei, maar maakt organisaties ook kwetsbaar voor identiteitsdiefstal, cyberspionage en digitale oorlogsvoering. De uitdaging is dus om deze nieuwe technologieën aan de ene kant te omarmen, en aan de andere kant de hieraan verbonden risico s op het gebied van databescherming en privacywetgeving te managen. Deze nieuwe technologieën zijn echter niet ontworpen met de gedachte dat zij ook misbruikt kunnen worden. De snelheid waarmee zij ontworpen worden, zorgt ervoor dat er onvoldoende aandacht is voor het security- en privacyaspect. De wetenschap dat rond 2025 maar Jaap Schekkerman Privacywetgeving Er bestaan grote verschillen tussen landen als het gaat om privacywetgeving. Zo kent de VS een bijna laissez faire sectorspecifieke aanpak, gericht op een aantal specifieke gebieden van datamanagement (medische en financiële gegevens et cetera). In tegenstelling tot deze aanpak, maken Canada en de EU gebruik van een omnibus-regeling voor gegevensbescherming; hierbij wordt alle persoonsgerelateerde data gereguleerd. Veel nationale overheden en grote handelsblokken zoals de EU herzien bestaande overeenkomsten wat betreft het delen van data Rond 2025 zijn meer dan 7 triljoen apparaten draadloos met elkaar verbonden met andere landen zoals de VS, met als doel het garanderen van dezelfde mate van databescherming - de huidige databescherming in de EU is nog gebaseerd op een richtlijn uit De nationale ministers van alle EUlanden kijken momenteel naar het voorstel van de Europese Commissie, dat op enkele kleine aanpassingen na in maart 2014 is aangenomen door het Europees Parlement. De verwachting is dat er dit jaar uitsluitsel komt over een nieuwe Europese privacywet. Onze toenemende afhankelijkheid van connectiviteit zorgt ervoor dat gegevensbescherming een kritieke factor is voor ons allemaal. De vraag is of de nieuwe Europese regelgeving voldoende waarborgen biedt in een hyperconnected wereld en wat wij er zelf als samenleving aan kunnen doen. Geen enkele regelgeving of samenleving kan gegevensbescherming en privacy-issues alléén oplossen. We moeten kiezen voor een samenwerkende multi-stakeholder aanpak, zelfs als dit betekent dat concurrenten in een bepaalde branche of land met een andere visie op privacy moeten samenwerken om een stabiele en veilige omgeving te creëren. Jaap Schekkerman is Director Global Cyber Security bij CGI AMSTERDAM Bij de combinatie beveiliging en datacenter denkt iedereen al gauw aan bescherming tegen bedreigingen van buitenaf. Aan hackers die het voorzien hebben op de kostbare bedrijfsgeheimen die zijn opgeslagen op de servers in die datacenters. Aan gevoelige informatie in digitale archieven die het bedrijf ernstig kan schaden wanneer deze naar buiten zou komen. Veel mensen gaan echter voorbij aan de gevaren die in de data zelf op de loer liggen. Want in die data, opgeslagen op soms dramatisch verouderde servers, huist vaak een enorme hoeveelheid gevoelige informatie die daar helemaal niet had hoeven liggen. En een vijandelijke data-inbreuk is dan niet de enige bedreiging. Ook een externe toezichthouder kan een bedrijf onverhoopt dwingen bepaalde informatie te overhandigen. Databeveiliging staat bij bedrijven hoog op de agenda. Voor de meeste organisaties zijn het beschermen van intellectueel eigendom, bedrijfsgevoelige informatie en persoonsgegevens de belangrijkste drijfveren om zich te verdiepen in een efficiënt cybersecuritybeleid. Terecht, want er staat meer op het Praktische tips om uw data te beveiligen: De wet vereist niet dat ieder stukje papier of elk elektronisch bestand moet worden bewaard. Begin daarom met het grondig maar verantwoord opschonen van data in verouderde systemen (legacy data). Zorg daarna voor het ordenen van documenten volgens een juridisch verantwoord archiveringsplan en de invoering van een strikt beleid voor retentie en vernietiging. Technologie is onmisbaar bij het beheren van big data. De grootste uitdaging bestaat erin de gevoelige informatie te lokaliseren voordat u deze ongezien opslaat. Gebruik technologie voor het vooraf doorzoeken van big data, inclusief audio, multimedia en visuele bestanden om PII te identificeren en lokaliseren. spel dan verlies van kostbare informatie en mogelijke boetes van toezichthouders. Ook het imago van de organisatie en zelfs de omzet lopen gevaar. Koppen als Klantgegevens van bedrijf X liggen op straat doen het goed in de media en de consument lijkt bereid om actie te ondernemen. Privacy is het waarom, technologie het hoe Het toenemende volume van data en de complexiteit van het formaat van die data verhogen de druk op de verantwoordelijke professionals om hun activiteiten te automatiseren. Een doelgerichte aanpak voor de naleving van de wetgeving voor privacy- en gegevensbescherming en het veilig stellen van bedrijfskritische informatie, begint met het lokaliseren en identificeren van de informatie die moet worden beveiligd. Aangezien niemand de mogelijkheid heeft om alle aanwezige gegevens te analyseren, is het noodzakelijk om proactieve ediscoveryoplossingen in te zetten waarmee organisaties kunnen vaststellen welke gegevens ertoe doen. Privacy is the why, technology is the how, zei iemand laatst op een congres over dit onderwerp. Prof. dr. ir. Jan Scholtes is CSO van ZyLAB Zo weet u wat u waar opslaat en worden incidenten die kunnen leiden tot ongewenste of ongeautoriseerde openbaarmaking van persoonsgegevens, vroegtijdig opgespoord. Maak een noodplan (incident response plan) om snel te kunnen reageren op mogelijke lekken of cyber aanvallen. Stel een incident response team op met duidelijke rolverdeling en verantwoordelijkheden. Combineer in dit team professionals met zowel technologische als juridische expertise. Mocht het toch fout gaan, gebruik dan wederom technologie. De meeste tijd gaat immers zitten in de cruciale onderzoeksfase: wat is er gebeurd? Welke data is erbij betrokken? Wat stond daarin? Om de situatie snel en adequaat te kunnen beoordelen, is forensische en dataclassificatie-technologie onmisbaar.

15 Door onze redactie BoardroomIT Datacenters Het datacenter is de machinekamer die trends zoals cloud, Internet of Things en big data mogelijk maakt. De data die door mensen en machines wordt gegenereerd, wordt hier verwerkt, opgeslagen en verrijkt. Iedere wijziging in de machinekamer heeft dan ook direct invloed op de informatievoorziening van een organisatie. Het is de vraag of het topmanagement van organisaties zich voldoende realiseert wat het belang van het datacenter is en dat datacenters, ondanks alle standaardisatie, niet één pot nat zijn. Europees onderzoek Opinion Matters: Dagelijkse werk lijdt onder datacenterplanning VUGHT In 2014 deed Opinion Matters een onderzoek onder 700 IT- en datacentermanagers in België, Denemarken, Duitsland, Frankrijk, Nederland, de UK en Zwitserland. Meest in het oog springend zijn de vele hoofdbrekens die de datacenter planning en security de ondervraagden bezorgt terwijl ze tegelijkertijd een rotsvast vertrouwen in hebben dat hun aanpak de juiste is. De verantwoordelijken voor de datacenterplanning staan onder grote druk. Meer dan driekwart van de Europese datacentermanagers meldt dat de capaciteit van hun datacenter in 2014 is gegroeid en ze verwachten dat de groei in 2015 zich onverminderd zal voortzetten. Dat geeft managers veel hoofdbrekens: meer dan de helft zegt daardoor gebukt te gaan onder zorgen. De Zwitserse managers het meest: ze geven allen aan zich zorgen te maken; meer dan driekwart maakt zich zelfs ernstige zorgen. Het is goed om te X den ziet optimale security en betrouwbaarheid de komende 2 jaar als belangrijkste taken bij het ondersteunen van de business doelstellingen. 70 procent van de Duitse IT-managers noemt alleen security. Ook de Denen en de Fransen vinden beveiliging het zwaarst wegen; de Belgen, Nederlanders en Britten (samen met flexibiliteit) benadrukken de betrouwbaarheid. De Zwitsers vinden risicobeperking het belangrijkst. 36 procent van alle ondervraagden vindt security de grootste risicofactor. Dat is iets meer dan de twee andere genoemde aspecten samen, te weten beschikbaarheid (14 procent) en operationele kwaliteit (14 procent). Security houdt vooral de Duitse managers bezig: met 54 procent hadden ze veruit de hoogste score. Andere, minder genoemde zorgen waren: dataprotectie, capaciteit, datalocatie en carrier beschikbaarheid. 44 procent vindt security de grootste belemmering voor verandering, daarmee kosten, ongemakken, contracten en regelgeving ver achter zich latend. Opnieuw zijn de Duitse managers het meest bevreesd voor security, dit keer in relatie tot change. Het weegt zelfs zo zwaar dat ze daarmee het gemiddelde flink omhoog trekken; de anderen vinden vooral de kosten een hindernis voor verandering. Virussen in het netwerk vormen de grootste zorg van de Britse en Duitse IT-managers, voor de andere respondenten zijn dat vooral externe hacks. Rampen zoals brand, overstroming en aardbevingen, worden nauwelijks als bedreiging gezien. Vertrouwensparadox Uit het onderzoek blijkt dat er onder de Europese IT-managers een vertrouwensparadox bestaat. Ondanks dat ze zich zo zorgen maken over de planning van hun datacenter, dat het hun dagelijkse functioneren beïnvloedt, hebben ze vertrouwen in hun strategie. Terwijl 21 procent van de respondenten zich het hoofd breekt hoe hun colocatie in de pas blijft lopen met de businessbehoefte, heeft 79 procent er het volste vertrouwen in dat alles goed komt. Dat is in het licht van alle geuite zorgen over druk, complexiteit en security een opvallende uitkomst. De Duitse (93 procent) en Britse (90 procent) IT-managers steken daarbij met kop en schouders 64 procent vindt security de belangrijkste component van datacenterstrategie weten dat de Nederlanders zich het minst zorgen maken, volgens het onderzoek. 90 procent van de IT-managers maakt zich zó veel zorgen om de planning van zijn datacenter, dat zijn dagelijkse werk daar onder lijdt. Dat blijkt uit een onderzoek onder 700 Europese IT- en datacentermanagers dat Opinion Matters uitvoerde in opdracht van Colt. Meer dan de helft van de respondenten geeft aan dat ze meer tijd besteden aan de planning van hun datacenterstrategie dan eigenlijk zou moeten, 22 procent maakt zich meer zorgen dan hen lief is en 19 procent zegt dat de zorgen ze minder productiever maken. De Duitse managers zeggen de impact het meest te voelen, terwijl ook hier de Nederlanders het laagst scoren. Complexiteit Het plannen van een datacenterstrategie is een ingewikkelde materie, vindt het merendeel van de respondenten; de Duitse, Franse en Zwitserse managers voorop. Daartegenover zegt de helft van de Nederlanders dat hun colocatie-strategie helemaal niet zo complex is. De gecompliceerdheid bemoeilijkt uitbreiding van het datacenter. Ongeveer een derde van de datacentermanagers zag zich geplaatst voor grote uitdagingen op het gebied van regelgeving en technische migratie bij de uitwijk naar een datacenter over de grens. De Belgische, Deense, Franse en Duitse ITmanagers noemen de beperkende en onbekende wet- en regelgeving, de Nederlanders en de Britten misten vooral bekendheid met de lokale markten. De Zwitsers zagen zich vooral geconfronteerd met slechte connectiviteit over de landsgrenzen. Ook problemen met leverancierscontracten vergroten de complexiteit, zo geeft twee derde van de managers aan; de Zwitsers spannen de kroon met 93 procent, ook hier scoren de Nederlanders het laagst met 43 procent. In het algemeen geldt dat de starheid van de dienstverlening voor de meeste problemen zorgt, op de voet gevolgd door de inflexibele locatie en slechte SLA s, inflexibele schaalbaarheid en de looptijd van het contract. Per land zijn er enkele accentverschillen. Security, risicofactor #1 Beveiliging geeft de Europese IT-managers de meeste kopzorgen: 64 procent vindt security de belangrijkste component van datacenterstrategie, 33 procent noemt securityaspecten in relatie tot cloudproviders. Opvallend is dat de Duitse respondenten in dit kader ook stroomvoorziening als belangrijke risicofactor beschouwen. Iets meer dan de helft van alle ondervraag- De Zwitsers zien zich geconfronteerd met slechte connectiviteit over de landsgrenzen boven de anderen uit. Slechts de Zwitsers zijn bescheiden, of misschien wel gewoon realistisch: met 61 procent sluiten zij de rij. Tot besluit citeren we een van de Nederlandse respondenten, die op de vraag wat zijn grootste zorg rond de planning van zijn datacenterstrategie was, antwoordde: Datacenterplanning zou geen zorgwekkend proces moeten zijn. En hoeft dat ook helemaal niet te zijn.

16 16 Datacenterplanning Door Martijn ten Kate en Onno Louwen Nederland digitale mainport van Europa Ligt de toekomst van datacenters boven NAP? HENGELO Previder hield onlangs een bijeenkomst voor datacenter-consultants om de ontwikkelingen in de branche te bespreken. Stijn Grove, directeur van de Dutch Datacenter Association (DDA), en Eric Vredeveldt, directeur van Previder, discussieerden met de aanwezigen over vragen als bestaat er een ideale locatie voor datacenters? en is er een businesscase voor duurzame datacenterdiensten? In onderzoek van Deloitte over Digitale Infrastructuur in Nederland 1 wordt ons land gepositioneerd als één van de koplopers met een snelgroeiende digitale infrastructuur. Door de aanzienlijke bijdrage die dit levert aan de interneteconomie mag het met recht de derde mainport van Nederland genoemd worden. De vraag naar datacenterdiensten uit het bedrijfsleven groeit, maar op dit moment is nog veel vloerruimte in datacenters beschikbaar. In tegenstelling tot de VS blijken nog relatief veel Nederlandse bedrijven een eigen datacenter te hebben. De verwachting is echter dat dit de komende jaren sterk zal gaan veranderen. Google kiest voor Nederland Bedrijven zien de ligging van een datacenter ten opzichte van de Amsterdam Internet Exchange (AMS-IX) vaak als de heilige graal. Maar is dat wel terecht? Een datacenter in de randstad kan soms lagere responstijden bieden, maar hoeveel verschil maakt het als een datacenter honderd of meer kilometer verderop ligt? Is dit vooral marketing of echt op harde feiten gebaseerd? De aanwezige consultants stellen dat er zeker verschil is, maar dat die paar milliseconden voor de meeste bedrijven te verwaarlozen zijn. Voor organisaties in de financiële sector of grote internationale organisaties is het te verantwoorden, maar de meeste bedrijven kunnen hun kosten aanzienlijk reduceren met een datacenter buiten de randstad. Daarnaast is de ligging boven NAP voor sommige internationale bedrijven een eis. Als voorbeeld wordt genoemd dat Google vorig jaar 600 miljoen investeerde in de bouw van een enorm datacenter in Eemshaven. Relatief ver van de AMS-IX, maar boven NAP en dichtbij een knooppunt waar elf van de vijftien internetkabels tussen Europa en de VS aan land komen. Big data en IoT: trends of hypes? Naar verwachting zal de vraag naar datacenterdiensten de komende jaren doorzetten door trends als cloud computing, big data, het Internet of Things (IoT) en SaaS. Big data is nog grotendeels een hype, maar cloud en SaaS vertegenwoordigen zonder twijfel een enorme groeimarkt. Van bedrijfsapplicaties tot consumenten-apps staan we pas aan het begin van wat er in de De meeste bedrijven kunnen hun kosten aanzienlijk reduceren met een datacenter buiten de randstad nabije toekomst vanuit het datacenter geleverd gaat worden. Voor het afnemen van hosting geldt dat bedrijven de prijs steeds belangrijker vinden dan locatie. Aanvullende dienstverlening door datacenters kan doorslaggevend zijn voor het maken van een keuze, maar ook zaken als duurzaamheid zijn een opkomend thema, zowel vanuit een MVO-gedachte als voor kostenreductie. De top van de internettechnologiebedrijven worden al vanuit Nederland gehost, waaronder Twitter, Amazon, Facebook, Netflix en Akamai. Deze bedrijven leveren hiermee een aanzienlijke bijdrage aan de Nederlandse positie als digitale mainport van Europa. Nederlandse organisaties met een eigen datacenter die besluiten om deze diensten uit te besteden, kunnen hiermee hun ITkosten reduceren en tegelijk de Nederlandse interneteconomie stimuleren. Onno Louwen is journalist 1 Onderzoek Digitale Infrastructuur in Nederland : Virtuele datacenters zijn onmisbaar voor Nederland Innovatieland Martijn ten Kate Door Martijn ten Kate SCHIPHOL-RIJK In The Dutch Mountains, was ooit dé wereldhit van popgroep The Nits. Een cryptische titel, want Nederland kent helemaal geen bergen. Net zoals Nederland geen Silicon Valley kent waar alle innovatieve bedrijven samenklonteren. Dat wil echter niet zeggen dat er in ons land geen vruchtbare voedingsbodem is voor innovatie. Integendeel. Wat te denken van Eindhoven Valley, Energy Valley, Health Valley, Food Valley, Immuno Valley, de Dutch Game Valley en Game Garden Breda? Binnen al deze innovatieclusters spelen big data, sensortechnologie, Internet of Things en last but not least (virtuele) datacenters steeds vaker een cruciale, onmisbare rol. Zo is Noord-Holland hard op weg om dé biologische provincie van Nederland te worden. De regio rond Harenkarspel moet uitgroeien tot BioValley, dé biologische groentetuin van Nederland. En het gebied tussen Enkhuizen en Warmenhuizen wordt al de Seed Valley genoemd. Hier zijn tientallen bedrijven gevestigd die zijn gespecialiseerd in de veredeling, productie en verkoop van hoogwaardige zaden. De vraag naar mais en sojabonen stijgt wereldwijd explosief, omdat de wereldbevolking toeneemt tot 9,6 miljard mensen in De enthousiaste CEO Jan Willem Breukink van Incotec mocht in DWDD uitleggen waarom een zak veredelde tomatenzaadjes euro waard is. De kwaliteit van elk zaadje wordt namelijk beoordeeld aan de hand van een röntgenfoto. Kwaliteitsbewaking in de voedselketen is bittere noodzaak om de productiviteit verder te verhogen. Gegevens over de kwaliteit van de bodem, irrigatie, gewasgroei, het weer en de bemesting worden op de proefvelden in Nederland en op exotische plekken in het buitenland verzameld en verstuurd. Enorme hoeveelheden gegevens die worden geanalyseerd in laboratoria en vervolgens bewaard moeten worden: big data en Internet of Things in optima forma. IoT vraagt om een gedistribueerde datacentermanagement-aanpak. Analisten van Gartner raden organisaties aan om ICT-systemen te bouwen op meerdere locaties, omdat verwerking op één gecentraliseerde locatie technisch en economisch niet haalbaar zal zijn. 1 In die gedistribueerde (virtuele) datacenters zo dicht mogelijk bij de bron wordt de big data met minimale latency verwerkt en opgeslagen. Matthew Finnie, CTO bij Interoute, is van mening dat Machine to Machine Communication de belangrijkste motor wordt voor cloud computing in de komende jaren. 2 De revolutie die IoT teweeg brengt, dwingt bedrijven om ICT-architecturen te bouwen die dit kunnen ondersteunen. Interoute gelooft in gedistribueerde cloud computing met virtuele datacenters, vlakbij de bron, de markt of de afnemers. Martijn ten Kate is Country Manager bij Interoute Bevolved-understanding-what-2015-holds-forthe-cloud/

17 Door onze redactie Insourcing 17 Bol.com koos na 7 jaar voor insourcing datacenter Eigen datacenter maakt agile UTRECHT Ruim 7 jaar besteedde online megastore bol.com de weboperations inclusief infrastructuurmanagement, databasebeheer en middleware uit aan een derde partij. Begin 2013 besloot het bedrijf alles te gaan insourcen en zelf een datacenter te ontwerpen en in te richten, waarbij alleen de housing is uitbesteed. Wat waren de afwegingen die aan die beslissing ten grondslag liggen? Directeur IT Jurrie van Rooijen legt uit. Bol.com groeit ontzettend hard. We zijn gaan beseffen dat diepgaande kennis van onze infrastructuur, middleware en databases voor ons essentieel is om de kosten onder controle te kunnen houden. En we willen continu snel en flexibel kunnen innoveren en dat gebeurt in 90 procent van de gevallen via IT, begint Van Rooijen. Big data speelt een hoofdrol we beschikken over enorme datavolumes. Alleen al de catalogus bevat ruim 9 miljoen producten, en we hebben meer dan 5 miljoen klanten die we ook nog eens gepersonaliseerd willen helpen. In dat spel is bij softwareontwikkeling kennis van de eigen infrastructuur en middleware van groot belang. Alles bij elkaar heeft ons dat doen besluiten die zo strategische keten te gaan insourcen. We zijn er van overtuigd dat we daarmee voor onze klanten het verschil kunnen maken. Bij outsourcing zijn vooral de changes duur. En wij innoveren constant Housing Het datacenter is gehuisvest bij Telecity. De gehele IT-stack, inclusief de software, is door bol.com zelf ontworpen en gebouwd, en wordt ook door bol.com zelf beheerd. In de praktijk moeten we vaak zelf onze software ontwikkelen, omdat we qua businessmodel voorlopen op de markt. Er zijn dus vaak geen oplossingen voorhanden die kunnen bieden wat we nodig hebben. Met onze eigen software kunnen we het verschil maken naar de klant. Qua hardware en besturingssystemen is alles gestandaardiseerd om de kosten zo laag mogelijk te maken. Maar aan de softwarekant wil je zo goed mogelijk de businessprocessen enablen en ondersteunen. Outsourcen is op zich een prima model, vindt Van Rooijen, vooral voor commodity s en applicaties waar weinig changes op plaatsvinden. Dan kun je goede afspraken maken over de kosten en over meerwerk. Bij ons is verandering een constante factor, en dan wordt dat lastig; op het moment dat je een contract afsluit met een derde partij is het al weer verouderd, omdat de business zich razendsnel ontwikkelt en je nieuwe inzichten hebt gekregen. Het outsourcemodel is absoluut niet agile. Changes zijn duur De kosten van housing wegen niet op tegen die van outsourcing. Omdat er immers geen partij meer tussen zit die ook zijn marges moet maken. En je hebt in je eigen organisatie geen mensen nodig die constant grip op de service provider houden; bij ons zijn de lijntjes kort en dat houdt de kostprijs laag, zegt Van Rooijen. Daar komt nog bij dat bij traditionele outsourcing vooral de changes duur zijn. De meeste providers bieden hun basisdiensten scherp aan, maar de klant moet flink zijn portemonnee trekken voor de changes. Innovatie zit in ons DNA en zorgt voor een stortvloed aan changes. Dat maakt outsourcen voor ons duur en dus onaantrekkelijk. De meeste contracten met serviceproviders hebben een looptijd tussen de drie en vijf jaar. Bij elke wijziging in de dienstverlening volgen opnieuw onderhandelingen over de voorwaarden en de prijs. Een vendor lockin, vindt hij, omdat je als klant in feite geen keuze meer hebt. Nu hebben we een housingcontract voor een langere periode. Bovendien is migreren naar een andere locatie of dienstverlener Jurrie van Rooijen Kennis over onze zo strategische IT kunnen en mogen we niet outsourcen relatief gemakkelijk omdat we de bestaande configuratie simpelweg zouden kunnen kopiëren. Niet dat daar sprake van is, we zijn zeer tevreden met de huidige situatie, maar het concept housing maakt ons onafhankelijker en autonomer. En dus agile. Het zelf inrichten van een in-house datacenter is nooit overwogen. Het vergt niet alleen een flinke investering, een datacenterfacility bouwen en runnen is echt een vak apart. De stroomvoorziening, de koeling daar heb je specialisten voor nodig, weet Van Rooijen. En we hebben er de schaalgrootte niet voor om dat lonend te kunnen doen. Experimenteren met werkwijze IT is voor bol.com een differentiator waar het bedrijf dus volledige greep op wil houden. Alles draait om innovatie, reden waarom Van Rooijen geen contracten van 3 jaar of langer kan sluiten. Veel en snelle innovaties impliceren ook voortdurende verandering in wat hij noemt ways of working. We zijn meer en meer volgens DevOps aan het werken. Dat betekent dat onze developmentteams ook run-verantwoordelijkheid krijgen. You build it, you run it, dat is het motto. Die keuzevrijheid heb je niet als er een derde partij bij betrokken is. Dan liggen er dikke contracten op tafel waarin precies staat beschreven wat de rechten en de verantwoordelijkheden van de klant en de service provider zijn, daar zit je aan vast. Wij willen juist kunnen experimenteren met andere manieren van werken, waarbij ontwikkelteams heel veel verantwoordelijkheden krijgen op productie. Greep op de deliveryketen Wij houden krachtig greep op de gehele application development chain, onder andere door stevig in te zetten op monitoring en alerting, een heel belangrijk specialisme. We hebben daarvoor een aantal experts in huis. Ze maken deel uit van de ongeveer 200 medewerkers van de IT-afdeling van bol.com, waaronder architecten, ontwikkelaars, analisten, infrastructuur engineers en projectmanagers. Dat geeft aan hoe belangrijk IT is voor het bedrijf dat innovatie zo hoog in het vaandel heeft staan. Maar niet alles draait om IT: zeker ook om marketing en klantsupport - en natuurlijk logistiek, die zorgdraagt voor de aflevering van vele tienduizenden bestellingen per dag. Goede IT ers die het verschil kunnen maken zijn moeilijk te krijgen, maar het lukt bol.com tot nu toe wel om vacatures in te vullen. Goede mensen willen graag met andere goede mensen samenwerken. Het is een soort vliegwieleffect, waardoor andere goede mensen zich aandienen. We maken het werk ook aantrekkelijk door de verantwoordelijkheden heel laag in het bedrijf te beleggen, bij autonome teams. Het management is veel meer ondersteunend en de mensen in de teams hebben heel veel vrijheid om te innoveren. Dat spreekt professionals aan. De kleine teams, tussen 3 en 8 mensen, werken dicht tegen de business aan. Onze IT ers begrijpen de businesscontext, onze businessmensen zijn IT-savvy. Dat zorgt voor perfecte alignment tussen business en IT. Mede daardoor is bol.com in staat snel te innoveren en een eigen datacenter te runnen, besluit Jurrie van Rooijen.

18 18 Onderzoek Door Felix Speulman Overheden minimaliseren infrastructuur- en datacenterbeheer Gartner ziet rol IT-organisaties overheid veranderen AMSTERDAM Omdat leveranciers een steeds groter deel van de koek voor de publieke cloud in handen krijgen, is het zeer waarschijnlijk dat IT-organisaties bij overheden hun taak als aanbieder van infrastructuur en datacenterbeheerder langzaam gaan terugbrengen. Ze zullen in plaats daarvan als bemiddelaar gaan optreden van deze fundamentele dienstverlening en de IT-functie gaan oriënteren van legacy first naar digital first, zo voorspelt Gartner op basis van een onderzoek. Overheden leunen nu nog zwaar op traditionele, verouderde technologieën en dit is een obstakel voor CIO s die hun organisaties willen digitaliseren. Daarbij komt dat een aanzienlijke meerderheid bij hogere overheden te maken heeft met dalende budgetten. Volgens Gartner zal de vraag waarom geen cloudoplossing? leidend worden in de planning van projecten voor vervanging van traditionele technologie. In de Verenigde Staten zou deze trend al zichtbaar zijn bij CIO s op staatsniveau. Door het beheer van en het voorzien in infrastructuur over te hevelen naar gecentraliseerde, gedeelde service-eenheden of betrouwbare commerciële aanbieders, kunnen CIO s bij de overheid een voorbeeldfunctie verwerven en IT-managementtechnieken verbeteren en de Design for Change-mindset omarmen die essentieel is in het digitale tijdperk, zegt Rick Howard, Research Director bij Gartner. In betrekkelijk korte tijd is de cloud van concept naar mogelijkheid naar betrouwbare keuze bewogen. Voor een kleine minderheid van overheids-cio s is het nu de eerste keuze wanneer zich een nieuw project aandient. Overheden staan open voor de cloud Terwijl IT-leveranciers cloudgebaseerde dienstenmodellen omarmen, staan overheidsdiensten steeds meer open voor oplossingen in de cloud binnen regionale of nationale grenzen. Dit laatste is hoofdzakelijk om redenen van abonnementskosten en de wendbaarheid van de organisatie. Vooral Australië, de Verenigde Staten en het Verenigd Koninkrijk hangen strategieën aan waarin de cloud bij projecten als eerste optie wordt benaderd. Ofschoon de openbaringen van Edward Snowden over de dataverzamelwoede van (vooral Amerikaanse en Britse) inlichtingendiensten IT-beslissers en CIO s zorgen hebben gebaard, hebben in de praktijk maar heel weinig organisaties in Europa hun data bij cloud of hostingleveranciers in de VS teruggehaald, zo werd onlangs bekend. Grote aanbieders als Amazon en Microsoft bieden als antwoord op de ontwikkelingen ook regionale clouds aan. Met kosten, waarde en beveiliging als belangrijkste overwegingen zouden CIO s bij de overheid moeten uitgaan van de aanname dat de publieke cloud de voorkeursoptie verdient. En als het nodig is, kunnen ze een stap terugdoen naar opties in de cloud, of naar colocatie- of on-premise-opties die het beste aansluiten op hun bedrijfsomgeving, aldus Howard. Voorspellende analytics Daarnaast liggen er kansen voor de verbetering van dienstverlening van overheden als deze gebruik gaan maken van ongestructureerde data, zoals die van multimedia en sociale media, zegt Gartner. Rapportage achteraf voor het sturen van beleid biedt steeds minder waarde. Overheids-CIO s moeten mogelijkheden ontwikkelen om voorspellende analytics in te zetten en deze informatie te combineren met data-experimenten om de toekomst vorm te geven. Over het onderzoek Gartner heeft voor dit onderzoek meer dan CIO s over de hele wereld geïnterviewd over onder andere hun prioriteiten inzake digitalisering. Het aandeel CIO s bij overheden was 343. Centrum kiest voor twin datacenter Naturalis verhuist IT-infrastructuur LEIDEN Naturalis Biodiversity Center in Leiden is een overeenkomst aangegaan voor datacommunicatie met The Datacenter Group. Vanwege uitbreidingsplannen een samengaan met drie andere universitaire instituten krijgt het centrum nieuwe huisvesting en daarin past uitbesteding van de ICT-infrastructuur. Met een rijksmuseum, academisch onderzoeksinstituut en erfgoedinstelling mag Naturalis zich tot de wereldtop in het natuurhistorisch domein rekenen. Dagelijks doen er honderden wetenschappers van het centrum onderzoek naar biodiversiteitsvraagstukken. De collectie van het museum die jaarlijks door mensen wordt bezocht bestaat uit ruim 37 miljoen planten, dieren en fossielen. Daarnaast worden jaarlijks duizenden nieuwe soorten planten en dieren ontdekt en aan de collectie toegevoegd: in 2014 stond de teller op maar liefst Daar komt nog bij dat Naturalis samengaat met drie universitaire instituten, namelijk het Zoölogisch Museum Amsterdam en de twee vestigingen van het Nationaal Herbarium Nederland in Leiden en Wageningen. Al deze ontwikkelingen hebben Naturalis doen besluiten om tot nieuwbouw over te gaan. Met dit besluit is door de directie van het centrum ook de huidige IT-infrastructuur onder de loep genomen. Intern onderzoek wees uit dat het uitbesteden van de apparatuur de beste optie is. Na een openbare aanbesteding en een viertal inschrijvingen van aanbieders, is de keuze op The Datacenter Group gevallen. Naturalis heeft voor een twin datacenteroplossing gekozen met Amsterdam als uitwijk en gaat de verhuizing gefaseerd uitvoeren. De eerste servers zullen in het eerste kwartaal van dit jaar in de datacenters aangesloten worden. De ontsluiting wordt verzorgd door SURFnet, die het scala aan connectiviteitsoplossingen binnen de datacenters nog verder uitbreidt.

19 Door onze redactie Fotografie Roelof Pot Infrastructuur 19 Kevin Leahy, Dimension Data: Netwerk cruciaal voor succes van cloud Barneveld Het is een wervelende tijd die hoge eisen stelt aan het aanpassingsvermogen van bedrijven en instellingen. Vooral op het gebied van IT. Het aanhouden van het bestaande aantal datacenters voor de totale IT-dienstverlening is niet langer wenselijk en eigenlijk onmogelijk. Het inkrimpen van de eigen datacenters en het betrekken van IT-diensten op basis van een consumptief model uit de cloud is een steeds populairdere vorm om de IT-dienstverlening te laten aansluiten bij alle wensen, eisen en mogelijkheden. Volgens Kevin Leahy, Group General Manager Data Center Business Unit bij Dimension Data, zijn drie zaken cruciaal om succesvol te zijn: het netwerk, de invoer van DevOps en standaardisering. De meeste gesprekken die Leahy met klanten voert, gaan over de toekomst van hun datacenter: wat draait er precies on-premise en hoe kan de dienstverlening worden verbeterd? Ze onderzoeken nieuwe technologieën zoals converged en zelfs hyper-converged infrastructuren. Kun je het daarmee beter doen on-premise? Of moeten we toch naar de cloud? En zo ja, welk deel van ons ITlandschap moet dan de cloud in? Helaas wordt bij al die afwegingen vaak de meest cruciale succesfactor over het hoofd gezien: het netwerk. Behoorlijk disrupting De meeste klanten willen hun eigen datacenterfaciliteiten inkrimpen, zowel in aantal als dat van toepassing is als in omvang. Een eigen datacenter betekent hoge vaste kosten. Klanten zoeken naar manieren om die zo laag mogelijk te houden en waar mogelijke vaste kosten variabel te maken, door ze naar de cloud te brengen. Veel klanten vragen ons om advies welke IT-diensten in aanmerking komen om voor dat laatste in aanmerking te komen. Disaster Recovery is een perfect voorbeeld, omdat het mes aan twee kanten snijdt: het reduceert het eigen datacenter omdat veel Een eigen datacenter betekent hoge vaste kosten zaken daarin niet meer nodig zijn, en Capex wordt Opex, zegt Leahy. Hij noemt het buiten de muren van de onderneming brengen van IT behoorlijk disrupting. Het vergt veel van organisaties. En er blijven altijd tegenstanders van cloud, vaak gevoed door angst en een oude mindset. Leahy vertelt: De CIO van een grote klant heeft als doelstelling om in 2018 de helft van zijn IT in de cloud te hebben. Het mag ook minder of meer zijn, dat luistert niet zo nauw, maar hij heeft zichzelf en de organisatie een doel gesteld. Op die manier kan hij de mensen omzeilen die zich tegen een gang naar de cloud blijven verzetten: vanaf het moment dat zijn directie de plannen goedkeurde, kan niemand uitbesteding naar de cloud meer tegenhouden. Om zijn eigen datacenter te kunnen laten samenwerken met de cloud standaardiseerde de CIO naar datacenter Vblocks. Dimension Data standaardiseerde haar architectuur met dezelfde Vblocks, dezelfde images en dezelfde VM-standaarden. Dat werkte prima. Vervolgens vroeg de CIO ons om Disaster Recovery uit onze cloud op basis van een Opex-model. Dat is behoorlijk disrupting. En dat geldt ook voor Software-as-a-Service, de snelste manier om datacenters te consolideren. Dat vraagt van de organisatie om de businessprocessen aan te passen aan de service stack. Cloud drijft IT dus naar standaardisatie, waar we gewend geraakt zijn aan maatwerk. Disrupting. Managed private cloud Op zoek naar passende oplossingen experimenteren organisaties met verschillende vormen van cloud. Ik hoor wel eens discussies of een private cloud eigenlijk wel een cloud is. Ik denk dat het niet veel uitmaakt hoe je het noemt, vindt Leahy. Sommigen zeggen een eigen cloud te hebben gebouwd, die in feite niets meer blijkt te zijn dan een gevirtualiseerde omgeving. Als ze daarmee geholpen en tevreden zijn, mooi toch? Een verzekeraar bijvoorbeeld, draait op gevirtualiseerde servers met slechts één change per jaar. Ze bedienen alleen de eigen organisatie en hebben geen chargeback nodig. Dan is dat een goedkopere oplossing dan de echte cloud. Dimension Data levert ook managed private clouds on-premise als consumptief model. In het algemeen zien we dat cloudgebruik elke zes maanden verdubbelt. We lopen dus weinig risico, zegt Leahy. Veel klanten houden van die aanpak, omdat de hamvraag bij private clouds is: waar realiseer je besparingen? Als je bedenkt dat het gebruik in het begin klein zal zijn kun je de kosten in lijn brengen met de geleverde business waarde. Dat consumptieve element is belangrijk onpremise. We zorgen bovendien dat de private cloud competatief blijft ten opzichte van andere vormen van cloud, door elke 6 weken nieuwe functionaliteit toe te voegen, iets dat onze klanten zelf niet zouden kunnen. Next-generation datacenter Wat Gartner Hybrid IT noemt, heet bij Dimension Data next-generation datacenter. Noem het hoe je wilt, zegt Leahy. Als een organisatie een datacenter on-premise heeft, worden de resources gemanaged; IT uit de cloud gaat om het managen van gebruik. Zodra data en applicaties buiten de deur gaan moet bepaald worden wat waar heen gaat, wie waar toegang toe heeft, en heel belangrijk wanneer bepaalde diensten aan- of weer uitgeschakeld worden. Met dat laatste kan echt veel geld worden bespaard. De kwaliteit van de dienstverlening is afhankelijk van de routering van de workloads. Het netwerk is de kritieke succesfactor in de totale infrastructuur, benadrukt hij. Het vertrouwde netwerk dat niet buiten het datacenter on-premise kwam, wordt nu daarbuiten Kevin Leahy uitgebreid tot een next-generation datacenter. Dat kunnen wij. We hebben zeer veel ervaring met Enterprise Architecture en de meeste onpremise technologieën. Onze concurrenten zijn goed in zowel de cloud als on-premise, In een datacenter on-premise worden de resources gemanaged; IT uit de cloud gaat om het managen van gebruik maar dat zijn de uiteinden van de connectie. Maar daar zit ook nog iets tussen, zeg maar de derde poot van de kruk: de verbindingen zelf. Daar zijn wij goed in. Dat is mede wat ons onderscheidt van de anderen. Het security-tij gekeerd Het leven was mooi toen iedereen veilig achter de firewall bleef. Maar nu, met alle externe verbindingen en mobiele devices, ligt elk datacenter continu onder vuur. Onze clouddiensten zouden weinig voorstellen als ze niet veilig zijn. Het is de sophistication of security. De techniek is voor een IT-gebruiker niet meer bij te benen. Het tij is echt gekeerd: de meeste mensen begrijpen nu dat service providers beter in security zijn dan ze zelf ooit kunnen worden. Dimension Data is de grootste security system integrator ter wereld. Wat moet ik daar nog meer van zeggen?, besluit Kevin Leahy.

20 20 Connected Enterprise Door Bert Stam en Paul Cornelisse IoT-as-a-service Internet of Things is here to stay AMSTERDAM In gesprekken met klanten hoor ik steeds vaker de vraag: wat is precies het Internet of Things en wat moeten wij daarmee? Het Internet of Things (IoT) is alles dat verbonden kan worden met het internet. Het aantal things dat verbonden is, neemt snel toe. Dat varieert van smartphones en tablets tot auto s en huishoudelijke apparatuur, zelfs huisdieren of tandenborstels kunnen (en zullen!) met internet worden verbonden. Al lang wordt er gesproken over het Internet of Things, maar de infrastructuur ervoor was er gewoonweg niet. Het IoT is here to stay. Bedrijven zullen ermee aan de slag moeten om niet achter te raken op de concurrentie en competitief voordeel te behalen door optimaal gebruik te maken van het Internet of Things. Tegenwoordig hebben we de mogelijkheid grote hoeveelheden data op te slaan en te analyseren. Hierdoor kunnen we de technische eisen van al deze connected zaken ondersteunen. De eindeloze mogelijkheden en onbeperkte informatie dat het IoT biedt, zorgt voor een aanzienlijke impact op bedrijven. Outsourcen Mogelijkheden liggen er op het gebied van operationele efficiëntie. Dankzij het Internet of Things is het mogelijk gepersonaliseerde, op maat gemaakte ervaringen te creëren, die resulteren in betere klantervaringen, producten en diensten die realtime worden geleverd. Dit creëert tevens nieuwe inkomstenbronnen. Zo heeft surfmerk Rip Curl op een slimme manier wearable technologie ingezet om bij te houden waar de beste golven om op te surfen zijn en waar de surfers precies surfen. Deze technologie maakte betere klantenbinding en hogere omzetten mogelijk. MapMyFitness zet op een vergelijkbare manier apps als MapMyRun en MapMyRide in om sporters te helpen bij het bijhouden van hun activiteiten. Van mobiele telefoons tot polsbandjes tot sensoren in T-shirts, MapMyFitness combineert mobiele apps met draagbare technologie om sporters te blijven verbazen. Mogelijkheden op het gebied van operationele efficiëntie Hierdoor verandert het Internet of Things van een nice-to-have in een must-have. Organisaties moeten daarom investeren in expertise om hun IoT-zaken te beheren Bert Stam of het beheer daarvan te outsourcen naar gespecialiseerde partijen. Qua gebruik werkt het Internet of Things net als de cloud en SaaS-diensten die daarop draaien: mensen willen het gebruiken en hoeven niet te weten hoe het werkt. Het is de taak van organisaties zoals Rackspace de complexiteit van de cloud en allerlei IoT-diensten die daarop draaien uit handen te nemen zodat organisaties zich kunnen richten op waar zij goed in zijn. IoT-as-a-Service De verwachting is dat er een aantal grote IoT-partnerships zal ontstaan tussen consumenten en bedrijven met als resultaat: IoT-as-a-service. Standaard pakketten om complexiteit te reduceren. Of u nu werkt bij een slagerij of een multinational, het is belangrijk dat u begrijpt wat het Internet of Things u kan bieden en dat u in zee gaat met de juiste strategische partners zoals hardware- en softwareleveranciers en een goede hostingpartner die ervoor zorgen dat uw plannen effectief worden gerealiseerd. Bert Stam is Regional Director CEMA bij Rackspace We willen de IT met z n allen als roze wolk neerzetten Doe niet zo moeilijk met je software defined Door Paul Cornelisse SCHIPHOL-RIJK Niet zo heel lang geleden zag ik een man op tv aan wie werd gevraagd wat voor beroep hij had. De man zei: Een bestuurlijke functie in de logistieke sector. Hij was vrachtwagenchauffeur en lachte zelf het hardst om zijn creatieve woordgrap. En ik lach stiekem net zo hard om de kreet software defined anything. In de IT-wereld maken we de zaken graag groots en mooi. Veel bedrijven plakken de term software defined voor hun product en de oh s en ah s zijn niet van de lucht. Dan zie ik weer Software Defined Hardware van HP, dan weer Software Defined Network van Citrix. Een regelrechte hype is geboren en iedereen buitelt weer over elkaar heen als het gaat om wie er het hardst mee kan koketteren. We willen de IT met z n allen als roze wolk neerzetten. Als een droomwereld waar we allemaal in mee-zweven. Social media, big data, cloud computing; het klinkt toch als een zonnig utopia, als het Beloofde Land? Nu de werkelijkheid. Datacenters zijn stenen muren, met betonnen vloeren, wat koeling links en rechts en een hoop ijzerwerk in de vorm van computers. En wat doen ze, die huizen? Ze bieden de wereld computercapaciteit zodat de wereld met de computertechnologie kan werken. De wereld maakt er ook steeds meer gebruik van door het social media- en big datageweld dat er wordt opgeslagen. Vroeger liepen in die huizen mannen en vrouwen rond die al die apparatuur aan de praat hielden of ontstane problemen oplosten. Het laatste decennium komen we er steeds meer achter dat we die hardware in die betonnen blokken slimmer kunnen inzetten en meer kunnen automatiseren. En dat is dus software defined : dat je steeds meer handelingen die door mensen gedaan worden in zo n center steeds meer invult met behulp van software-oplossingen en platforms, zodat er automatisch een signaal en een oplossing wordt geboden als een computer vastloopt. Ik werkte een paar jaar terug bij een IT-bedrijf in België en daar ging wel eens wat mis omdat zo n man op het moment suprême even op de wc zat. Zei die beheerder: Allez, ik moet ook weleens, nietwaar? Dit soort problemen is opgelost door de hardware slimmer te gebruiken, te virtualiseren, strak te monitoren, de boel maximaal te automatiseren met minimale menselijke bezetting. En nu zeggen we met z n allen wat voor een geweldige oplossingen we tegenwoordig hebben. Terwijl het niets meer is dan een natuurlijke evolutie: de hardware slimmer, en het beheer intelligenter en meer geautomatiseerd inzetten. De hype geeft ook een verkeerd beeld. Alsof alles in de software zit, en dan het liefst in de cloud. Alsof we helemaal geen datacenters meer nodig hebben. Dat is een grove misvatting, want onder die romantische cloud zitten gewoon onze duizenden vierkante meters in Noordoost-Groningen of het Noord- Hollandse Middenmeer. Nu nog is dit een explosief groeiende markt van veel partijen, maar dat duurt niet lang meer. Slechts een paar global players zullen de enorme race in expansie kunnen volgen waarbij alles draait om sneller, groter en goedkoper. Misschien zullen een paar kleine bedrijven overleven; zij die echt specifieke kennis gaan leveren en met lokale partijen op basis van customer intimacy opereren. En de grote partijen stellen op hun beurt steeds hardere eisen aan computerleveranciers: de devices moeten op hun maat gesneden worden, waardoor zij nog grotere machtsbolwerken worden die er puur voor de massa zijn en dat betekent automatiseren, standaardiseren en de prijs omlaag. Dat doen ze in een ouderwets pand met veel ijzer en veel draadjes. Met je software defined anything! Paul Cornelisse is directeur bij benchmarking- en sourcingadviesorganisatie Metri Group.