Tijdens de ict-vakbeurzen Infosecurity, Storage Expo en The Tooling Event op 4 en 5 november was het hoofdthema Computing Everywhere. Computable stelde een aantal experts op de beurs de vraag wat computing everywhere voor hen betekent. Onder andere de rol van security bij computing everywhere, en het belang van cloud computing kwamen aan bod.
Computing everywhere kan niet zonder cloud computing. De afgelopen jaren zijn veel organisaties ook gaan inzien dat het hebben, onderhouden, vernieuwen en uitbreiden van een eigen serverpark een flinke investering is, zegt Eric van Aken, cloud consultant bij QNH. ‘Om hierop in te spelen zijn veel it-partijen begonnen met het opzetten van een infrastructure as a service (IaaS)-platform.’
Toch ziet hij dat deze stap meer wordt gemaakt door het mkb dan door enterprises. Van Aken legt uit dat dit heeft te maken met de security-vraagstukken die cloud oproept. ‘Enterprises denken dat zij te groot zijn en daardoor veel te verliezen hebben als het fout gaat. Het mkb durft juist meer risico’s te nemen en maakt de overstap naar IaaS sneller.’
Van Aken meent dat cloud veel voordelen biedt, maar dat het toch niet voor iedereen het Walhalla is. ‘De techniek is nog volop in ontwikkeling en sommige zaken moeten nog ontwikkeld worden. Neem bijvoorbeeld de ondersteuning van alle type devices, denk aan de trend ‘bring your own device’ (byod) en ‘choose your own device’ (cyod). Hoe bedien je zoveel wensen en smaken? Wil je dat überhaupt beheren of maak je je als it-afdeling of als it-manager misschien meer druk over hoe je integreert in de wereld van de eindgebruiker?’ Volgens Van Aken moet de eindgebruiker in controle worden gesteld of in ieder geval dat idee hebben.
QNH is bezig met het ontwikkelen van op cloud gebaseerde werkplekken. Deze worden niet op IaaS gebouwd, maar op bestaande public clouddiensten. ‘Is dat wel veilig?’ is hierbij de meest gestelde vraag, maar Van Aken denkt dat de infrastructuur veiliger is dan de meeste datacenters. ‘De toegang tot de clouddiensten moet dan natuurlijk wel goed beveiligd worden.’
Einde nee-cultuur
Ook Dirk Geeraerts, IDP expert bij Gemalto, ziet het belang van goede beveiliging bij computing everywhere. Volgens hem betekent het begin van computing everywhere het einde van de nee-cultuur van it-afdelingen. ‘Want’, zo zegt hij, ‘Des te vaker je als it-afdeling nee verkoopt, des te meer beveiligingsrisico’s de organisatie loopt. Medewerkers zitten immers te springen om nieuwe en flexibele manieren om te werken. Zij zullen doorgaans doen wat nodig is om een klus te klaren, met of zonder toestemming. Ict-afdelingen staan dus onder hoge druk om dit te faciliteren.’
Geeraerts ziet echter wel dat de angst voor beveiligingsrisico’s de nee-cultuur toch in stand houdt. ‘Maar liefst 92 procent van de ict-afdelingen beperkt nog altijd de toegang tot gevoelige bedrijfsinformatie en applicaties vanaf mobiele apparaten. Dit blijkt uit de 2015 Global Authentication and Identity Access Management Index. Hierdoor komen organisaties onvoldoende tegemoet aan de behoefte van medewerkers om flexibel en mobiel te werken. Met als gevolg dat zij ook de klanten niet optimaal kunnen bedienen. Alles moet immers instant geregeld zijn.’
Hij meent dat de mogelijkheden van computing everywhere wel kunnen worden benut met een ja-cultuur waarbij de veiligheid goed wordt geborgd. ‘Hiervoor is het nodig om anders naar de beveiligingsaanpak te kijken, want alleen het beveiligen van de netwerkrand volstaat al lang niet meer. Aangezien een hack niet is uit te sluiten, is het van essentieel belang om te focussen op het beveiligen van de kritische bedrijfsgegevens.’
Volgens Geeraerts gaat het hier nu nog vaak mis. ‘Maar liefst 70 procent van de ‘geslaagde’ hacks is het gevolg van zwakke authenticatie. Combineer daarom een sterke authenticatie met encryptie en key management om te voorkomen dat hackers schade kunnen berokkenen. Als it-afdelingen dit goed hebben ingeregeld, is nee-verkopen niet langer meer nodig.’
Denk vanuit risico’s
Ook Bart Verhaar, productmanager bij Motiv, meent dat de focus van beveiliging meer moet liggen op het beveiligen van de gevoelige data, in plaats van op het beveiligen van het device. ‘Door de opkomst van byod is het niet meer te doen om alle losse devices stuk voor stuk te beveiligen. Bij de apparaten die wel worden beheerd door de organisatie kan dat nog wel, maar bij apparaten die uit de privé omgeving komen gaat dat gewoon niet. Toch moeten organisaties voorkomen dat een infectie op een willekeurig device de data bereikt. Eén van de gevolgen van de enorme toename aan mobiele appraten en apps is de groeiende interesse in het centraal beveiligen van data’, signaleert hij.
Verhaar meent dat organisaties er veel belang bij hebben dat de data veilig is, ‘niet perse de devices’. ‘Met andere woorden: de beveiliging gaat naar de data in het datacenter. Uiteraard moeten ook de endpoints beveiligd blijven, maar daar zou idealiter de focus minder op het beveiligen van het endpoint zelf moeten liggen. Bij ‘offline’ werken met data op een endpoint, moeten we de data zelf beveiligen of bijvoorbeeld met een encrypted container voor de data gaan werken. Bij een encrypted container wordt alle zakelijke data bij elkaar geplaatst en dat deel van de data wordt vervolgens versleuteld. Op die manier hoeft niet alle data te worden versleuteld, maar enkel het deel waarvoor het echt nodig is.’
Toch bestaat er volgens hem geen standaard security-oplossing. ‘Bij iedere bedrijf past weer een ander beleid. Een flexibele security-partner is daarom key.’ Wat wel voor alle bedrijven geldt, is dat zij moeten denken vanuit risico’s en niet klakkeloos end-point security-oplossingen in huis moeten halen, meent Verhaar. ‘En kijk naar het gehele applicatielandschap. Er is een groeiende behoefte om maatregelen meer granulair in te richten en te besturen vanuit bedrijfsrisico’s. Orchestratie is hierbij key.’
