Donderdag 13 oktober was de CSA Summit op het hoofdkantoor van IBM Nederland in Amsterdam. In zes sessies werd er kennis gedeeld op het gebied van cloud security. Hier is mijn verslag over de middag.
Het thema van de summit was Cloud Orchestratie en de eerste spreker is Tom Deprins van KBC Group (België). Een bank qua personeel vergelijkbaar met de huidige grootte van ABN Amro, en aanwezig in vele Europese landen. KBC heeft gekozen voor een strategie om Office 365 van Microsoft in zijn geheel te omarmen en Deprins legt uit welke aspecten belangrijk zijn om dit mogelijk te maken. Voor mij was deze binnenkomer al genoeg om de dag een succes te noemen.
Alle data – buiten het core banking zelf – wordt in de basis opgeslagen in de cloud van Microsoft. Een paar uitspraken uit mijn hoofd geciteerd. ‘De data in sharepoint online was veiliger bij Microsoft dan op de on-premises omgeving.’ ‘Ga de dialoog aan met toezichthouders, in de basis is er zeer veel mogelijk, vooral als je er open over bent.’ ‘De mate van security die Microsoft aanbiedt gaat verder dan welke je on-premises kunt realiseren als het gaat om kantoorautomatisering.’ ‘Zelfs hele gevoelige medische data van werknemers is opgeslagen in sharepoint online.’
Dat zijn nog eens uitspraken! Heel inspirerend vond ik de open manier waarop Deprins de ervaringen bij KBC deelt. Alles werd positief benaderd en met overtuiging. Het is een mooie opsteker voor Microsoft en zal vast gebruikt worden in marketingdoeleinden. Natuurlijk betekent alles opslaan bij Microsoft dat je een sterk vertrouwen moet hebben, aangezien Microsoft je sleutels beheerd voor het beveiligen van gegevens. Blijkbaar waren de procedures van Microsoft voor gegevensbescherming voldoende voor toezichthouders om verregaande data opslag bij een Amerikaans bedrijf mogelijk te maken.
Na Deprins kwam Martin Vliem van Microsoft aan het woord. Was het tempo van Deprins al behoorlijk vlot, Vliem wist daar nog een paar tandjes bovenop te doen. Ja, het was een marketing verhaal over Microsoft, maar met voldoende inzichten om het geheel toch aantrekkelijk te houden.
Na Vliem kreeg Dave van Stein van Xebia het woord met een verhaal over security en Agile en hoe deze tegenstelling geen tegenstelling blijkt te zijn. De essentie van wat ik ervan onthouden heb – ik heb de sheets van de dag nog niet ontvangen – is dat security steeds verweven moet worden in je sprints en dat je bijvoorbeeld ook ‘evil user stories’ daarin mee moet nemen.
Daarna kwam het verhaal van Charlie Howe – de enige Engelse spreker van de middag – van Skyhigh Networks. Helaas met een groot ‘wij van wc-eend’-gehalte, maar toch heb ik er wat dingen uitgehaald die ik daarvoor nog niet wist. De hele term casb (spreek uit als Kasbie) ofwel cloud-access-security-broker was mij onbekend. Niettemin snap ik het belang van het product van Skyhigh wel en zal ik me hier zeker verder in verdiepen. Dus in dat geval een win. Het gaat verder waar online identity access management oplossingen ophouden. Hoe mitigeer je shadow IT? Hoe hou je controle over wat je gebruikers uitspoken? Welke middelen heb je tot je beschikking? Het verhaal paste zeker goed in de context van de summit.
Rein van Weerden van Snow presenteerde het volgende gedeelte. Hij vertelde een horror story over security met als tagline ‘binnen zonder kloppen’. Helaas waren de voorbeelden – bijvoorbeeld een cloud in de kelder – niet heel sterk en bleef het verhaal wat oppervlakkig waardoor het niet helemaal tot zijn recht kwam. De conclusie was dat te snel beginnen met bouwen een slecht idee is. In zijn voorbeeld kwam naar voren dat de klant – een eigenaar van de te bouwen cloud – zowel klanten als leveranciers naast elkaar in de cloud wilde laten leven. In mijn ogen een standaard verzoek als je een cloud bouwt. Vervolgens moesten die klanten flexibel kunnen zoeken in de data, maar mochten ze elkaars data niet zien en wel eigen custom plug-ins kunnen installeren. Volgens Van Weerden werd dat een security nachtmerrie, al lees ik nog steeds een basis randvoorwaarde voor iedere cloud.
De premisse van het verhaal is dat als je in een hellend vlak van schuivende vereisten terecht komt het beschermen van data erg moeilijk wordt, vooral als security een afdeling is in plaats van een basishouding en als deze die niet nauw bij het project betrokken is en daar ben ik het dan weer roerend mee eens.
Na een korte pauze kwam er een andere bank aan het woord: Olaf Streutker van de ABN AMRO. ABN ‘doet’ het niet met Microsoft, maar heeft IBM als partner. Wel waren de bevindingen van Streutker niet heel anders dan die van Deprins. Er zaten toch wat interessante stellingen in die ik uit mijn hoofd helaas niet meer op kan lepelen. Het tempo van de dag was behoorlijk hoog en op een gegeven moment nam ik niet zoveel meer op.
De uitsmijter van de dag kwam van Peter van Eijk, mijn cloud mentor. Hij had voor mij een bekend verhaal, maar zeker ook met een twist. Ieder tijdperk van de it van de jaren zestig tot en met het cloud tijdperk was er één van een disruptief karakter en kwam tot de volgende conclusie; ‘controleer de automatisering door het automatiseren van de controle.’ Het verhaal werd luchtig gebracht en ging er zo aan het einde van de dag gemakkelijk in. Vragen bleven achterwege, iedereen was toe aan een borrel.
Er waren zo’n zeventig aanwezigen, waarvan vier vrouwen. De aanwezigen waren veelal mensen met een security functie. Van auditor tot security verantwoordelijke. De locatie was prima verzorgd en het was een waardevolle besteding van de middag. Ik ging met meer inzichten naar huis dan ik gekomen was.
De slides zijn beschikbaar op de volgende link: https://chapters.cloudsecurityalliance.org/netherlands/2016/08/31/cloud-security-summit-met-als-thema-cloud-orchestratie/
Mijn slides staan er al tussen dus neem ze vooral nog een keer door!