CIO Round Table: In cloud we trust, do we?

We hebben vertrouwen in de cloud. Of organisaties overgaan naar de cloud is een vraag uit een ver verleden. Maar is de cloud ondertussen veilig? Gaan gebruikers er veilig mee om, is misschien een betere  vraag? Dit thema stond aan het begin van de zomer centraal tijdens een van de CIO Round Tables die Executive People regelmatig organiseert, in dit geval samen met intel Security.

Spreker Maurice Cashman Intel Security, heeft een achtergrond van informatiebeveiliging in het Amerikaanse leger. Hij was intelligence officer op het gebied van cybersecurity, een van de bedreigingen. “De transformatie die wij in het leger doormaakten is vergelijkbaar met de huidige journey waar bedrijven nu mee worstelen, Het grote verschil is wel dat de veranderingen veel sneller gaan dan destijds.”

“We maakten een aantal jaren geleden een overgang door van compliance driven naar een threat focussed approach . Dat vraagt om een grondige transformatie van de manier waarop je omgaat met security.” Die transformatie was het startpunt van de discussie.

“De kern van het probleem is al jaren hetzelfde. De data moet beschermd worden. Alleen de snelheid waarmee bedreigingen de kop opsteken en op blijven steken neemt enorm toe. Dat vraagt om een resilient omgeving. Digitaal is een nieuw operating domain. Een aanvaller kan je business online verstoren, dat vraagt om resilience.”.

DDOS-aanvallen

Die resilience is ondertussen duidelijk terug te zien bij de jongere generatie, die zijn weg feilloos weet te vinden in de duistere hoeken van internet. Een van de deelnemers is betrokken bij het beveiligen van onderwijssystemen, en iedere dag worden er meerdere DDOS-aanvallen gedetecteerd vanuit Rusland die naar alle waarschijnlijkheid zijn ‘besteld’ door Nederlandse scholieren om het schoolproces te frustreren.

Ondanks deze alarmerende signalen hebben mensen in het bedrijfsleven ondertussen volop vertrouwen in de cloud. Het is een fact of life, het is een geaccepteerde operating environment. Het gaat voor organisaties niet meer om de vraag of het betrouwbaar is, het is er gewoon en we moeten ervoor zorgen dat het betrouwbaar is. Interne klanten vragen om een ‘no worry’ solution, ze willen zich geen zorgen maken over de details, ze willen gewoon dat het voor ze geregeld wordt. Dat is de uitdaging voor de IT-afdeling

Digitale transformatie

Deze trend is onderdeel vanm de digitale transformatie, de business wordt nu daadwerkelijk digitaal. IT is niet meer alleen een belangrijke enabling factor, het is dè factor. IT heeft overal mee te maken, en speelt een rol bij alle geledingen van de business. Een van de voorbeelden die tijdens de CIO round table aan bod komt is die van een bank. Tijdens een discussie over digitale transformatie en digiatle disruptie gaf dee bank aan niet bang te zijn voor concurrentie door grote gevestigde spelers, maar juist voor de opkomst van een kleine, flexibele organsiatie met een paar mensen die in staat is om heel goedkoop financiële diensten aan te bieden.

Een andere deelnemer wees er in dat verband op dat de complexiteit waar veel bestaande organisaties mee te maken hebben in het verleden zit, niet de nieuwe IT die nu wordt ontwikkeld volgens heel andere principes dan voorheen. Dat leidt tot een steeds grotere kloof in het bedrijfsleven, tussen bedrijven die vastzitten in dat verleden aan de ene kant, en aan de andere kant tussen medewerkers en klanten die al lang gewend zijn vanuit hun privé situatie op een heel andere manier te werken. Zij zijn bijvoorbeeld al heel vertrouwd met het gebruik van Dropbox, terwijl sommige bedrijven nog steeds discussiëren over het al dan niet gebruiken van Sharepoint.

Conservatief

Een van de deelnemers beschrijft de IT dan ook als een van de meest conservatieve afdelingen in een bedrijf. Cloud is voor veel medewerkers een manier om die starre afdeling met zijn vele regels en verboden te omzeilen. Dat is wat er nu in veel bedrijven aan de hand is. En daarom ontstaat zoveel van die veelbesproken schaduw-IT. Ene andere deelnemer brengt daar tegenin dat het misschien wel goed is dat de IT afdeling de meest conservatieve afdeling is in het bedrijf, omdat de risico’s waar ze mee te maken hebben zo groot zijn.

Het is niet mogelijk alle alle risico’s uit te sluiten en tegen te houden. Maar in deze tijd van onderlinge  afhankelijkheden moet er een afdeling zijn die in ieder geval zoveel mogelijk probeert de risico’s te minimaliseren. Het is vooral zaak voor de IT om onderscheid te maken tussen zaken die mensen zelf kunnen doen, en zaken waar ze een professional voor nodig hebben. Het is belangrijk om daar een duidelijke lijn trekken, en ervoor te zorgen dat de mensen ook daadwerkelijk gebruik gaan maken van de juiste hulp om te voorkomen dat ze zelf met oplossingen komen die een risico vormen en zorgen voor schade.

Data

Centraal in deze discussie, of het nu gaat over cloud, security, productiviteit of legacy, staat data. Een van de deelnemers wijst erop dat het data zijn die steeds waardevoler worden, en nog waardevoller worden gecombineerde data uit verschillende bronnen. Organisaties lopen het meeste risico wanneer hun data gestolen worden door hun concurrenten, dat zou de meeste schade toebrengen aan hun business.. Ze zijn in mindere mate bezorgd over de activiteiten van Oost-Europese cybercriminelen of individuele hackers.

De schade die cybercrime aanricht bij bedrijven heeft dan ook voor een belangrijk deel te maken met de waarde van hun data. Wanneer er een geslaagde aanval plaatsvindt waarbij die data gestolen of gewist wordt dan heeft dat direct effect op de business, en leidt dat direct en aantoonbaar tot schade.

Het grootste deel van de security-problemen, wel 80 procent, komt uiteindelijk doordat mensen binnen een organisatie zelf foute dingen doen. Het gaat dus om awareness, die moet worden omgezet in readiness, zegt Cashman. Dan is duidelijk wat de gedeelde waarde is in een bedrijf. Dan weet je wanneer je iets op een gevaarlijke plek opslaat. Het moet een meaningful outcome hebben. zoals dat in het Amerikaanse leger wordt genoemd. Als je het fout doet doet beschadig je de business.