Vanwege het digitaliseren van diensten en processen zijn medewerkers in staat IT-diensten en processen ergens anders af te nemen, zonder dat de eigen organisatie en IT-afdeling hiervan op de hoogte is. En door het toevoegen van meer en meer technische oplossingen aan de IT-infrastructuur, gaat het inzicht, overzicht en de beheersbaarheid ervan verloren. Hoe zorg je toch voor grip op de bedrijfsvoering?
Uitdaging
De grootste uitdaging zit hem in het feit dat organisaties gewend zijn de IT-infrastructuur te gebruiken voor het managen van (IT) security op het gebied van bedrijfscontinuïteit, -risico’s en -data. Denk hierbij aan de technische oplossingen in de connectiviteitslaag, zoals firewalls, proxy’s, Identity & Access Managementoplossingen en DMZ’s. De uitdagingen zijn een gevolg van de volgende ontwikkelingen:
- Naleving van (steeds) meer IT wet- en regelgeving
- Het teruglopende aantal beschikbare gekwalificeerde IT’ers
- Digitalisering zorgt ervoor dat processen en diensten benaderbaar en beïnvloedbaar zijn (bewust of onbewust)
- De gebruikte IT-infrastructuur is niet meer van de eigen organisatie (XaaS)
- Wanneer IT niet beschikbaar is liggen de werkzaamheden volledig stil
Deze ontwikkelingen zorgen ervoor dat, vanwege het verschuiven van het eigendom van de IT-infrastructuur, het niet meer mogelijk is voor organisaties dit zelf te blijven managen. Lees voor meer informatie over deze ontwikkelingen ook het blog ‘4 Belangrijke Cyber Security ontwikkelingen’.
Regie voeren op IT
Steeds meer organisaties willen dan ook regie voeren op de IT-omgeving en zoeken naar geschikte partners die in staat zijn deze taak op zich te nemen; zogenaamde Managed Security Service Provider (MSSP). Met deze MSSP’s maken organisaties gebruik van IT, gebaseerd op afgesproken Service Level Agreements (SLA’s), maar liever nog eXperience Level Agreements (XLA’s), waarbij het verbeteren van de dienstverlening en de (gebruikers)ervaring centraal staat.
Afrekening is in een contractvorm vastgelegd, waarbij pay per use of prijs per maand zorgt voor flexibiliteit en vrijheid voor de afnemende partij. Kennis en expertise zijn gecentraliseerd bij de MSSP en daarmee is de uitdaging voor organisaties voor het zelf in huis hebben van deze kennis, expertise en vaak ook vaste activa opgelost. Er ontstaat een regiefunctie op IT waarbij de afnemende organisatie haar MSSP op basis van gewenste functionaliteit aanstuurt op het gebruik ervan. De MSSP dient daarbij ook de mogelijkheid te bieden waarbij hun klanten in staat zijn de (IT) security voor de bedrijfscontinuïteit, -risico’s en -data te managen.
Regie voeren: verantwoordelijkheden managen
Het is voor organisaties niet mogelijk de verantwoordelijkheid voor de omgang én de security van hun data over te dragen naar de MSSP. De manier waarop organisaties (legaal) omgaan met data en informatie is de eigen verantwoordelijkheid en dient te zijn vervat in het beleid. Organisaties voeren regie op de MSSP voor het handhaven van dit beleid. Hierin dienen de afhankelijkheid van mens, proces en techniek duidelijk naar voren te komen. Daar waar het techniekdeel is uitbesteed aan eerdergenoemde MSSP, is het van belang dat de organisatie vanuit de eigen structuur op de juiste manier regie blijft voeren op omgang met data en informatie vanuit mens en proces.
Beheren van data
In een wereld waarin de technische ICT-infrastructuur eigendom is van een MSSP, verschuift de nadruk van IT-security naar de data en de informatie van de organisatie. De data is in dit geval het aanwijsbare eigendom van de organisatie. De functie van systeembeheerders en IT-Engineers is belegd bij de MSSP. De organisatie zelf houdt controle op de eigen data met behulp van data- en informatiemanagers. Deze zijn in staat om aan de hand van het door Security Office vastgestelde beleid hun data te beheren en te controleren vanuit een platform dat inzicht geeft in de volgende aspecten:
- Welke data heb ik en welke waarde heeft deze voor de organisatie?
- Wie of wat wil en mag toegang hebben tot mijn data?
- Hoe verplaatst mijn data zich?
- Is dit toegestaan volgens de kaders waar ik mij aan dien, of wens te houden?
Door dit inzicht zijn organisaties in staat het vastgestelde beleid te toetsen op de werkelijke manier waarop data zich verplaatst én keuzes te maken ten aanzien van de wenselijkheid hiervan. Er is overzicht en inzicht gecreëerd waarmee organisaties de controle voeren over hun data en informatie en zo grip hebben op de manier waarop ze hun bedrijfsvoering uitoefenen.
Innovaties door Big Data
Dit inzicht en overzicht brengt als belangrijkste voordeel dat organisaties in staat zijn de vruchten te plukken van de trend die digitalisering met zich meebrengt: het positief en legaal analyseren en correleren van de enorme hoeveelheid data die beschikbaar komt als gevolg van onze digitaliserende maatschappij en economie.
Meer informatie?
Benieuwd hoe jij je met jouw organisatie moet manoeuvreren door alle datamogelijkheden? Neem contact op met Kasper van Wersch of bekijk onze cyber securitydiensten.