Bericht

Security Stoptober; stoppen met DIY!

Data protection

“Bij de meeste bedrijven zijn ze al lang binnen. Het feit dat dit nog niet opgemerkt is, betekent simpelweg dat ze (nog) niet interessant genoeg zijn”. Dit zei een FBI medewerker 5 jaar geleden tegen me tijdens een IT security awareness training.

De reden is simpel; Hacken is big business. Criminelen betalen grof voor een IT hack van een specifieke organisatie, maar ook worden gegevens van bedrijven die in stilte gehackt zijn voor veel geld verkocht. En met zo veel geld kunnen de meest briljante hackers de meest innovatieve manieren bedenken om medewerkers gegevens te ontfutselen.

Dus wat gaat uw organisatie, waar de uitgaven aan security gerelateerde zaken uit hooguit 10% van uw totale IT budget bestaan, nou uitrichten tegen zo veel financieel geweld uit een criminele hoek? Helaas is er geen simpeler antwoord dan: “zorg dat iedereen binnen je bedrijf constant op haar/zijn hoede is, geef meer geld uit aan security en laat aan specialisten over wat zij beter kunnen.”.

Dit is nog wel eens een teer punt bij veel bedrijven en dat is begrijpelijk, maar bijna altijd onverstandig. Veel organisaties vinden het de normaalste zaak van de wereld dat de schoonmaak, het bedrijfsrestaurant en zelfs de bewaking aan specialisten overgelaten wordt. Het kost wat, maar daar krijg je garanties voor kwaliteit, continuïteit en nog veel meer voor terug.

DIY (Do It Yourself) is in dit soort gevallen niet slim.


We hebben al jaren geleden besloten dat een eigen datacenter niet efficiënt is en dat het operationeel beheer van IT beter aan derden over kunnen laten. Applicaties halen we uit de cloud en de helpdesk zit in een land waar dát specifieke stukje IT goedkoper en efficiënter gedaan wordt. We hebben al lang geleden besloten dat DIY (Do It Yourself) in dit soort gevallen niet slim is.

Helaas zijn veel van onze systemen nog niet geïntegreerd en daarom zijn veel organisaties druk met API Management en het bouwen van legacy integraties om zo een flexibelere IT infrastructuur te creëren. Zodat we efficiënter en vooral sneller nieuwe functionaliteit kunnen bouwen als dat nodig is. Maar dan zonder te beseffen dat iedere koppeling of integratie een poortje is waardoor gegevens uitgewisseld worden. Een extra zwakke plek, soms zelfs direct benaderbaar van “buiten” door partners of klanten. En dan worden deze koppelingen ook nog eens gebouwd, beheerd en beveiligd in meerdere (verschillende) tools. Als veredeld DIY project, soms on-premise en soms in de cloud. Vraag iedere auditor welke integraties er allemaal binnen uw organisatie in gebruik zijn, waar ze zich bevinden en wie de “eigenaar” is en u weet meteen hoe gevaarlijk deze ontwikkeling is. Het is natuurlijk naïef om te denken dat derden niet op zoek gaan naar juist deze zwakheden.

Gelukkig is ook daar een oplossing voor. Door integraties af te nemen als een dienst bent u zich verzekerd van de kwaliteit, de veiligheid en de continuïteit van integraties. Of het nu om een state-of-the-art API is tussen twee verschillende cloud omgevingen of een ESB integratie waarmee legacy gegevens met een cloud applicatie gedeeld worden, door deze koppeling af te nemen als Connection as a Service bij de integratiespecialisten van Enable U die de beschikbaarheid en veiligheid 24 uur per dag, 7 dagen per week voor u bewaken, kunt u zich weer focussen op de volgende uitdaging.

Stoptober. Een mooi moment om te kijken of we kunnen stoppen ons zorgen te maken over in ieder geval één security aspect.