Reflectie

Het afgelopen jaar is voor veel organisaties ook op IT-gebied enerverend geweest - op zijn minst. Veranderingen moesten versneld worden uitgevoerd. Bedrijven concentreerden op instant oplossingen in de overgang naar flexibele en veilige werkregelingen. Daarnaast vergde de massale verschuiving van middelen om de hoos aan online aankopen te ondersteunen, de nodige aandacht. Nu is het moment daar om stil te staan bij technologische keuzes van 2020 en vervolgens te bepalen hoe nu verder. Zijn de oplossingen die werden geïmplementeerd duurzaam, of hebben ze onbewust informatie in gevaar gebracht en/of de bedrijfsrisico’s verhoogd? Organisaties kunnen dit reflectiemoment gebruiken om te evalueren hoe investeringen in technologie en veranderingen kunnen worden gebruikt bij innovatie.

De hybride omgevingen, opgebouwd uit meerdere publieke clouds met SaaS, IaaS en PaaS, fysieke datacenters met on-premise applicaties en relationele databases, cloud-native applicatie-ecosystemen, stateful containers en een diverse reeks infrastructuurplatforms hebben geleid tot een multi-generationele wildgroei aan data. Binnen deze omgeving moeten workloads voortdurend in beweging én in communicatie met elkaar zijn.

Deze dataversnippering, in combinatie met het fenomeen van Dark Data, leidt tot het inzicht dat informatienetwerken bedrijfskritisch zijn, zeker tegen het licht van datagestuurde bedrijfsvoering. Omdat veel organisaties hun data - mede hierdoor - nog niet onder controle hebben, is er een ‘business-integriteits’ gap ontstaan en zijn er de kwetsbaarheden op verschillende niveaus toegenomen. Die zwakke plekken kunnen fundamentele bedrijfsprocessen verstoren.

Toename handhaving

De totale waarde van de GDPR-boetes sinds 25 mei 2018 is meer dan verdubbeld tot iets meer dan 272 miljoen euro, met 158,5 miljoen euro alleen al in de afgelopen 12 maanden. De opgelegde boetes zijn ook nog eens met gemiddeld 39% gestegen ten opzichte van de voorgaande periode van 20 maanden. Nu high-profile aanvallen op de toeleveringsketen en ransomware steeds vaker voorkomen, geven gegevensbeschermingsautoriteiten aan dat ze uitgebreider toezicht zullen houden op de beveiligingsmaatregelen die worden genomen door organisaties die met persoonsgegevens werken. We mogen dus verwachten dat steeds meer landen privacywetten invoeren, evenals een toename van sectorspecifieke wet- en regelgeving met betrekking tot organisaties in het publieke en private domein. Zo trad in Nederland voor de overheid vorig jaar de Baseline Informatiebeveiliging Overheid in.

We zagen het afgelopen jaar ook een toename in ransomware-aanvallen en nieuwe vormen van cybercriminaliteit met steeds geavanceerdere technologie, zoals bij SolarWinds. Ransomware en andere aanvalstechnieken worden steeds verfijnder en wijdverspreider, terwijl onze data op steeds meer plekken staat en de ‘attack surface’ dus groter wordt. Dat beseffen we ons allemaal, maar hoe kunnen we ons verweren?

Het vereist een integrale beveiligingsaanpak om deze lacunes te dichten. Niet alleen vanuit het perspectief dat data de digitale transformatie drijft, maar ook uit het oogpunt van wet- en regelgeving. Kwetsbaarheden management-programma’s worden dan ook een topprioriteit voor alle engineering-afdelingen en niet alleen voor het cybersecurity-team. Van softwareontwikkelaars tot site reliability engineers, productmanagers en investeerders; iedereen moet zorgen dat het ecosysteem met regelmaat wordt gepatched, en gehardened en dat tijdig kwetsbaarheden scans worden gedaan. Dit omvat ook de naleving van het beleid om ervoor te zorgen dat de configuratie van het platform alleen verkeer tussen geautoriseerde klanten en servers toestaat.

Datacentrische uitgaves

De uitgaven voor innovatie zullen stijgen en het grootste deel daarvan zal gaan naar data en analyses – denk aan datamanagement, data-privacy, data-intensieve projecten, en dergelijke. Cloud computing faciliteert snelle testen en vervolgens implementatie van dergelijke initiatieven, en innovaties in software, SaaS en PaaS zullen deze trends verder stimuleren. Een datacentrische strategie wordt de norm.

Ondernemingen die hun IT-strategieën rond infrastructuren en locaties hebben gedefinieerd, beginnen zich nu te beseffen dat datagerichte strategieën cruciaal zijn voor het doelmatig gebruik van en toegang tot informatie. Kwesties met betrekking tot overdraagbaarheid, veiligheid, schaalbaarheid, soevereiniteit en flexibiliteit moeten aangepakt worden. Deze verschuiving zal invloed hebben op de manier waarop we onze IT- en dataplatformen ontwerpen om diensten te kunnen leveren aan interne en externe klanten. Op deze manieren brengen we de basis weer in orde. Om de business integriteits-gap te dichten, is er een aantal aanvullende acties nodig.

Levensduur

De sleutel tot het optimaal benutten van de groeiende databerg vormt het selecteren van technologie, die het beheren van gegevens over het breedst mogelijke scala aan cloud-platforms, on-prem en SaaS-platforms ondersteunt en waarmee u snel, gemakkelijk en tussen verschillende publieke clouds en tussen on-prem en publieke cloud kunt bewegen. Om data effectief te benutten, moet u weten waar deze staat, hoe u deze kunt vinden én gebruiken. Oplossingen die volledig inzicht en zichtbaarheid bieden, zijn dus van cruciaal belang.

Het is daarnaast belangrijk om een prescriptieve end-to-end benadering te hanteren voor data gedurende de hele levenscyclus, vanaf de dag en plaats waarop ze worden gecreëerd, regelmatig worden beschermd, worden gekopieerd, gemigreerd en uiteindelijk worden vernietigd, gearchiveerd of volledig verwijderd. Dit geldt uiteraard ook voor het vinden en beveiligen van de eerder benoemde Dark Data.

Als het op kosten aankomt, is het duidelijk dat de rendabiliteit verbetert als meer taken geautomatiseerd kunnen worden. De kosten dalen ook als het aantal verschillende vaardigheden en technologieoplossingen, die worden gebruikt om hetzelfde te doen, verminderd kan worden. Het standaardiseren van oplossingen voor het beheren en controleren van data is een belangrijk gebied waarop kosten te besparen zijn, al mag dit nooit ten koste gaan van de flexibiliteit van de dienstverlening, de herstelbaarheid en de gegevensbescherming.

Ten slotte zal de voortdurende dagelijkse dreiging van cyberaanvallen niet verdwijnen, en het is dus van cruciaal belang op de hoogte te blijven van de actuele dreigingen. Als alle Dark Data is geëlimineerd en er volledige zichtbaarheid en controle is over de data, is de kans op snel en volledig herstel bij een aanval vele malen groter dan wanneer dit inzicht ontbreekt.

Samenvattend kunnen we stellen dat de nadruk op data en data-analyses bij het nemen van bedrijfsbeslissingen het afgelopen jaar nog meer centraal is komen te staan. Het inzichtelijk en toegankelijk maken van deze data, die op verschillende plekken binnen en buiten de organisatie kan resideren, vormt hierbij een uitdaging. Daarnaast wordt steeds meer duidelijk dat de bescherming van de data een integraal onderdeel moet zijn binnen de gehele organisatie, al dan niet afgedwongen door wet- en regelgeving. Om te anticiperen op bovenstaande ontwikkelingen, doen organisaties er goed aan hun data management te centraliseren en waar mogelijk te automatiseren.

Paul Hollebon, Commvault