Iedereen die werkzaam is in de IT heeft vast wel eens de vraag gekregen:

• Waarom zijn de kosten voor dit IT project zo hoog?

Of opmerkingen in de trant van:

• Mijn zoon heeft ons wireless netwerk thuis in 15 minuten geïnstalleerd. Waarom doen jullie er zo lang over? En waarom kost het zoveel?

Is IT een noodzakelijk kwaad?

IT wordt vaak gezien als een noodzakelijk kwaad. Dit komt vooral doordat IT professionals slecht zijn in het uitleggen van de waarde van IT en het niet kunnen rechtvaardigen van de investeringen richting het vaak sceptische management.

Laatst kwam ik een interessante gratis webinar tegen van Gartner:
Run, grow, transform… What is real IT value?

Naar aanleiding hiervan ben ik het boek gaan lezen waarop deze webinar grotendeels gebaseerd is:
"The Real Business of IT: How CIOs Create and Communicate Value"

In dit webinar en het boek wordt uitgelegd wat IT professionals, en CIOs/IT managers in het bijzonder, kunnen doen om de waarde van IT aan te tonen en deze op een goede manier te communiceren naar de organisatie.

Om een voorschot te doen op het webinar en het boek en jullie hiervoor te interesseren zijn er een paar dingen die ik hieruit wil lichten:

• Veranderen van eigen denkwijze;
• Aantonen en communiceren wat het hebben van IT of het doen van een IT gerelateerde investering oplevert;
• Gebruikmaken van hulpmiddelen als de Gartner “virtuous cycle of IT value”.

Verander je eigen denkwijze

Net als veel vakspecialisten lopen IT-professionals regelmatig in de valkuil om er vanuit te gaan dat iedereen binnen de organisatie redelijke kennis heeft van IT. Dit is natuurlijk in veel gevallen helemaal niet zo. Zeker voor CIOs/IT managers is het belangrijk te realiseren dat bijvoorbeeld mede-directieleden zich helemaal niet bezig houden met IT, behalve misschien met het gebruik ervan.

Twee dingen waar je je van bewust moet worden:

• De “business – IT’-relatie is geen klant – dienstverlener relatie. IT is onderdeel van de business en mede verantwoordelijk voor het bedrijfsresultaat;
• Het is de taak van de CIO en IT om uit te leggen wat de waarde is van IT, het is niet vanzelfsprekend dat de organisatie dit weet.

Laat zien wat IT oplevert

Laten zien bestaat uit twee onderdelen. Het in waarde uit kunnen drukken van IT en het op een relevante manier communiceren naar de doelgroepen.

Vaak worden business cases gemaakt op basis van ROI (Return on Investment). ROI zegt niets over de waarde voor de organisatie, maar alleen over de terugverdientijd.

Een aardige quote uit het boek is: “You can't add up ROI, you can add up P&L.”

Waarde kan worden onderverdeeld in twee categorieën:

1. Voordelen die kunnen worden opgenomen op de winst- verliesrekening (Profit & Loss), dit zijn harde voordelen;
2. Kwalitatieve voordelen. Deze zijn soms moeilijk in valuta uit te drukken. Dit zijn de zachte voordelen die in operationele termen kunnen worden beschreven.

Probeer altijd aan te geven wat de harde waarde is. Het niet goed kunnen aantonen en altijd terugvallen op zaken als ROI of kwalitatieve voordelen wordt “The value trap” genoemd.

Zaken als ROI of zachte voordelen zeggen andere directieleden vaak weinig. Hun wereld draait uiteindelijk alleen om de winst- verliesrekening.

Bron: Dilbert.com

Het kunnen bepalen van waarde is één, het op een goede manier communiceren naar de juiste doelgroep is weer een hele andere uitdaging. Wat ga je communiceren en op welke manier? Voor directie of sponsoren zijn voordelen uitgedrukt in harde valuta misschien de beste manier, maar voor een productieafdeling waarschijnlijk niet direct relevant. Hier zijn productieaantallen in de juiste eenheden gedurende een bepaalde periode misschien veel relevanter. Hiermee kan aangetoond worden dat er bijvoorbeeld productiewinst behaald wordt door de aangebrachte verbeteringen in IT.

In het boek wordt veel aandacht besteed aan dashboarding als een manier om dit te doen. Er worden verschillende succesverhalen aangehaald. Profileren van IT binnen een organisatie is belangrijk, maar natuurlijk zinloos als dit wordt gedaan met informatie die niet direct relevant is voor de doelgroep.

Meten is weten, Gartner “virtuous cycle of IT value”

De “Virtuous cycle of IT value” is een repeterende cyclus met o.a. de volgende doelen:

• het inzicht krijgen in welke initiatieven de prestaties van de organisatie kunnen verbeteren;
• zorgen dat initiatieven succesvol(ler) zijn;
• laten zien wat een initiatief heeft opgeleverd.

Bron: Measuring the Performance of the Virtuous Cycle of IT Value, Gartner, ID Number: G00214965, 9 August 2011

Onderdeel van de cycle is zorgen voor het oogsten van de voordelen. Iets wat na het afronden van projecten zelden gebeurt. Het project wordt afgerond, maar de organisatie heeft vaak nog hulp nodig bij het ten volste kunnen benutten van het resultaat.

Een ander belangrijk hulpmiddel voor het bepalen en het prioriteren van initiatieven is het benchmarken van de organisatie of onderdelen hiervan tegen branchegenoten. Als dit niet kan is het toch belangrijk te benchmarken, maar dan bijvoorbeeld tegen jezelf. Per jaar bekijken of de veranderingen effect hebben gehad of zaken verslechteren.

Ik noemde eerder al het gebruik van dashboards. In het boek worden een aantal voorbeelden van dashboarding beschreven. Een belangrijke opmerking hierbij is dat het streven niet direct moet zijn om dit in één keer perfect te doen. Wat belangrijk is dat er gemeten wordt en aangetoond kan worden dat IT ervoor zorgt dat de organisatie beter presteert. Daarnaast wordt, zoals ik eerder zei, door het meten ook inzichtelijk gemaakt waar verbeteringen mogelijk zijn. In veel organisaties wordt dit helemaal niet gemeten Dan is iets meten beter dan niets, er kunnen in de loop van de tijd verbeteringen worden aangebracht in wat en hoe er gemeten wordt.

Van IT manager naar CIO-plus

Voor CIOs en IT managers kan het boek een leidraad zijn om te groeien van IT manager naar CIO-plus.

Het interessante aan het boek is dat het is gebaseerd op onderzoek van een groot aantal CIOs. De auteurs zijn hierbij tot de conclusie gekomen dat de meest succesvolle CIOs een soortgelijk pad volgen.

Ze noemen dit “The path to IT value” en ziet er als volgt uit:

1. Change your thinking to avoid the value traps - IT manager

2. Show that IT provides value for money - Cheap Information Officer

3. Show how IT improves business performance - Chief Improvement Officer

4. Show how you have value beyond IT - CIO-plus

Met andere woorden: Wanneer je niet in staat bent aan te tonen wat de waarde van IT is voor de organisatie is de kans klein dat je succesvol zult zijn als IT-manager/CIO.

Tot slot

De webinar en het boek zijn voor iedere IT professional de moeite waard, maar vooral een must voor CIOs en IT managers. We hebben niet allemaal de ambitie om CIO te worden, maar dit boek helpt IT-professionals waarschijnlijk wel om eens vanuit een ander perspectief naar IT te kijken. Voor CIOs kan het een prima leidraad zijn om een stap te kunnen maken in “The path to IT value”.

(Natuurlijk) weet iedereen dat IT niet waardeloos is. Toch zijn we er nog steeds niet heel goed in om de daadwerkelijke waarde aan te tonen.

Hoe zit het in jouw organisatie? Zijn jullie in staat om aan te tonen wat de echte waarde van IT is?

Meer weten? Bekijk de webinar of bestel het boek. Tijdens het schrijven van dit artikel kwam ik een aantal blogposts tegen van David Williams waarin hij uitgebreider ingaat op de inhoud van het boek. Al staat er nergens een referentie naar het boek.

2001 was een bewogen jaar. George W. Bush werd na veel gedoe uitgeroepen tot winnaar van de Amerikaanse presidentsverkiezing na een nek-aan-nek race met Al Gore, terwijl Wikipedia het levenslicht ziet is het einde gekomen voor ruimtestation MIR. In Nederland wordt het eerste officiële homohuwelijk voltrokken, Intel lanceert de Pentium 4 en Apple de iPod. De aanslagen van 11 september schokken de wereld en de oorlog in Afghanistan barst enkele weken later los. De eerste Harry Potter film gaat in première en ENRON gaat met veel geraas ten onder. En Microsoft bracht Windows XP op de markt.

Windows XP 10 jaar oud

Het is nu 10 jaar geleden dat Windows XP werd gelanceerd. 10 jaar klinkt als een eeuwigheid in een tijd waar nieuwe ontwikkelingen elkaar steeds sneller opvolgen. Windows XP was eigenlijk de opvolger van Windows ME (opvolger van Windows 98 en gemaakt voor de consumenten markt) maar ook van Windows 2000 (opvolger van NT4 en bedoeld voor de zakelijke markt). Windows XP was bedoeld voor zowel de consument als de zakelijke gebruiker en was vooral voor laptop gebruikers een forse verbetering. Met de release van Service Pack 2 werd de beveiliging van Windows flink verbeterd, onder andere door de vernieuwde Windows Firewall en Data Execution Prevention (DEP).

Zoals iedereen wel weet liet de opvolger van Windows XP even op zich wachten en had Windows Vista in het begin te maken met serieuze aanloop problemen. In 2009 werd Windows 7 gelanceerd. Een groot succes, inmiddels zijn er ruim 450 miljoen licenties over de toonbank gegaan. Windows XP wordt door Microsoft nog ondersteund tot april 2014. Toch is het de hoogste tijd om nu vaarwel te zeggen tegen Windows XP.

Gat

Windows 7 is een groot succes, zeker als je kijkt naar de consumenten markt. In de zakelijke markt wordt nog relatief veel Windows XP gebruikt, vooral bij grote organisaties en vaak in combinatie met een oude versie van Office (Office 2007, Office 2003 en soms nog Office XP). Ik wil deze blogpost niet gebruiken om in detail uit de doeken te doen waarom het voor organisaties grote voordelen heeft wanneer ze naar Windows 7 en Office 2010 overgaan. Veel klanten hebben die conclusie zelf ook al getrokken maar worstelen met de uitvoering. Werkplek migratie projecten zijn taai en slepen soms maanden voort. Wat maakt een migratie naar een nieuwe versie van Windows en Office zo lastig? En hoe kan dat anders en beter?

Hondenvoer

Als Microsoft-medewerker klinkt Windows XP als iets uit een ver verleden. Veel klanten vragen hoe Microsoft omgaat met werkplek migraties. Het antwoord is eigenlijk dat er niet echt sprake is van een migratie. Microsoft hecht veel waarde aan het intern testen van nieuwe producten (eat your own dogfood zoals dat zo mooi heet) en een migratie naar een nieuwe versie van Windows gebeurt bijna automagisch. Enkele maanden na de release van Windows Vista was zo’n beetje het hele bedrijf gemigreerd. Met de release van Windows 7 ging die migratie nog sneller. Nu ben ik me er van bewust dat Microsoft niet representatief is. Microsoft medewerkers zijn over het algemeen gek op technologie en willen graag de laatste spullen gebruiken. Een migratie wordt grotendeels door de medewerkers zelf uitgevoerd. Dat gaat echter niet vanzelf en vereist een up-to-date infrastructuur en dito applicatie landschap.

Plannen

Een tijdje geleden was ik bij een klant die hard begon te zuchten toen we het kort hadden over de release van de developer preview van Windows 8. Begrijpelijk gezien het feit dat hij nog druk bezig was met de migratie van Windows XP en Office 2003 naar Windows 7 en Office 2010. Toch is het goed om naar de toekomst te blijven kijken. Bij een succesvolle werkplek migratie draait het om voorbereiding en planning. Als je weet wat er komt kun je werkzaamheden plannen en geleidelijk uitvoeren. Voorbereiden en plannen kun je niet als je je kop in het zand steekt en niet wilt weten wat er op je af komt.

Life cycle management

Ik zie een werkplek migratie als het moment waarop duidelijk wordt hoe het is gesteld met life cycle management binnen een organisatie. En dan gaat het niet zozeer voor LCM voor de werkplek op zich. Een Windows 7 image maken en dit geautomatiseerd uitrollen op een client is niet moeilijk. Veel belangrijker is de staat van het applicatie landschap. De interne IT afdeling van Microsoft voert een strak life cycle management beleid. Er wordt continue gewerkt aan het rationaliseren en optimaliseren van het applicatie landschap. Dat vergt veel energie en tijd maar levert ook behoorlijk wat besparingen op. En een up-to-date applicatie landschap maakt een migratie naar een nieuwe versie van Windows ook vele malen eenvoudiger.

Applicaties

Helaas zijn er niet zo heel veel organisaties die strak life cycle management voeren voor applicaties. Dat is verassend aangezien een groot deel van het IT budget opgemaakt wordt aan het in de lucht houden van al die (legacy) toepassingen. Het gevolg is dat compatibiliteit van toepassingen nog steeds het #1 struikelblok is bij migraties. Als het gaat over applicaties moeten we voor de volledigheid onderscheidt maken tussen compatibiliteit van applicaties, web sites en Office documenten. Toch is het niet allemaal kommer en kwel. Bij de introductie van Windows Vista was application compatibility een serieus probleem. Ondertussen zijn we 5 jaar verder en zijn er voor bijna alle Common off the Shelf (COTS) applicaties (meerdere) versie(s) die volledig compatibel zijn met Windows 7. Voor bedrijven die hun applicatie portfolio wel op orde hebben en de migratie naar Vista niet eindeloos hebben uitgesteld is een migratie naar Windows 7 een eenvoudige stap.

Ecosysteem

Een werkplek migratie is bij uitstek ook het moment om eens goed na te denken over in het verleden gemaakte keuzes. Hoe kan het anders en beter? Welke technologie kiezen we? Een werkplek kun je zien als een centraal onderdeel in een breed ecosysteem. Vanuit eindgebruikers perspectief komt alle functionaliteit samen op de werkplek. Dat is ook de kracht van een products als Windows. Je kunt een werkplek dus niet los zien van de rest van het IT landschap binnen (maar ook buiten) een organisatie. En dat ecosysteem is fundamenteel aan het veranderen is als gevolg van trends als toegenomen mobiliteit, consumerization of IT (CoIT), cloud computing maar ook het sterk toegenomen dreiging van cyber crime. Over al deze zaken heb ik al eerder geschreven op deze blog. Heel kort samengevat is het belangrijk om een degelijke strategie te definiëren voor de werkplek waarin al deze zaken geadresseerd worden.

Hoe nu verder?

Zorg dat je als organisatie niet achter de feiten aan blijft lopen! Weet wat er op je af komt, bepaal je strategie en bereidt je voor.

• Laat je niet verrassen – Regeren is vooruitzien! iPad’s, cloud, Twitter, Facebook, mobiliteit, digital natives, het nieuwe werken, informatie beveiliging, kosten, keuze vrijheid, snelheid, self service, etc. etc. Het zijn stuk voor stuk onderwerpen waar je in het licht van een gedegen werkplek strategie over na moet denken. Zonder duidelijke visie en strategie is het lastig om de juiste beslissingen te nemen.
• Haal de bezem door het applicatielandschap - Zorg dat het applicatie landschap op orde is en blijft. En dan gaat het om de traditionele applicaties maar ook de web applicaties. De browser wordt steeds belangrijker als je nu nog Internet Explorer 6 gebruikt is het tijd voor actie. Life cycle management is geen ad hoc activiteit maar vergt continue aandacht. Veel bedrijven worstelen met hoge kosten voor de werkplek. Deze kosten zitten niet in de werkplek zelf maar vooral in de (wildgroei) aan applicaties. Ook om succesvol te zijn met cloud, het nieuwe werken, bring your own device om er maar een paar te noemen vormen applicaties een kritische factor.
• Ga aan de slag – Agility is tegenwoordig het toverwoord. Denk eerst na voordat je aan de slag gaat maar ga niet maanden zitten broeden op een plan. Probeer uit en maak het mee. Download bijvoorbeeld de developer build van Windows 8 en ga er mee aan de slag. Werken de belangrijkste applicaties? Wat gaat dit betekenen voor de eindgebruikers?

Vaarwel Windows XP

Eindgebruikers zijn veeleisend en er is een continue druk om meer te leveren tegen lagere kosten. En dat liefst vandaag nog. Windows XP is tien jaar oud en dat is een mooie mijlpaal. Het is tevens een mooi moment om voorgoed afscheid te nemen van Windows XP. Haal de bezem door de applicaties en migreer naar Windows 7. Een moderne werkplek zorgt voor een verhoging van de productiviteit, een hoger niveau van beveiliging en (misschien wel het belangrijkste) een meer tevreden eindgebruiker. Vaarwel Windows XP! Snif…

Iedereen die wel eens heeft deelgenomen aan IT-projecten weet hoe frustrerend het kan zijn dat het project wordt uitgesteld, uitloopt, het project aan het eind van de rit toch niet helemaal heeft op kunnen leveren wat de organisatie er van verwacht had of dat het lijkt dat iedereen in de organisatie tegen lijkt te werken. Over het algemeen hebben IT-projecten een slechte reputatie.

De Chaos Manifesto

De de facto standaard voor de verhouding succesvolle IT-project versus mislukkingen is de “Chaos Manifesto” van “The Standisch Group”. In hun laatste rapport geeft dit gerenommeerde bureau weer een schokkend beeld van de werkelijkheid:

“… over 20% of these projects will fail; and another 42% of these projects will face significant challenges, such as delays, budget overruns, and/or with end products with less than the required features and functions …“

– Chaos Manifesto 2011, The Standish Group

Dit zijn geen cijfers om over naar huis te schrijven en zo zijn er meer onderzoeken die laten zien IT-projecten “beperkt succesvol” zijn.

Waarom Projecten Mislukken

Er zijn verschillende redenen waarom projecten mislukken Een aantal van deze redenen zullen u ongetwijfeld bekend in de oren klinken:

• De wereld proberen te verbeteren binnen één project. Projecten zijn vaak groot en te complex. Vaak moet er jarenlang van achterstallig onderhoud als onderdeel van één project worden weggepoetst;
• Onduidelijkheid over wat er nu precies opgeleverd moet worden. Wat het project moet opleveren aan functionaliteit blijft vaag of verandert continue;
  Hier zijn verschillende voorbeelden te noemen zie bijv:
  Computable: 'Overheid negeert gebruiker bij ICT-project'
• Hogere investering dan vooraf gedacht. Projecten starten en missen een goede analyse. Laat in het project komt men erachter dat er veel hogere investeringen gedaan moeten worden dan vooraf gedacht. Waarbij infrastructuur- en softwarekosten vaak hoger zijn dan gepland;
  Een voorbeeld: Automatiserings gids: Overheid en IT-project
• Software proberen aan te passen aan de specifieke wensen van de organisatie. Veel organisaties hebben de drang software te veranderen aan hun wensen met alle risico’s van dien, zoals onderhoudbaarheid, stabiliteit, uitloop van het project door de vele aanpassingen, hogere kosten door inhuur van externe experts etc.

Maatwerk of toch standaard?

Een sprekend voorbeeld dat ik vaak gebruik is ERP. Dit zijn vaak miljoenenprojecten. Organisatie komen vaak in de verleiding het pakket aan te passen aan de eigen organisatie. Met als gevolg langdurige en kostbare projecten, waarvan het succes vaak beperkt genoemd kan worden. EN waarom eigenlijk? Wanneer een gerenommeerd ERP pakket een logistieke module bevat die is ontwikkeld in samenwerking met een aantal grote organisaties, en dus bijna een standaard genoemd kan worden, moet je jezelf afvragen of jouw organisatie dan zo bijzonder is dat hiervoor maatwerk nodig is. Het succes wordt bepaald door de balans tussen organisatorische veranderingen en de passende implementatie van het pakket.

Bron: Dilbert.com

Minder aanpassingen die de doorlooptijd van het project bevorderen, maar door het behouden van de standaard ook beter te onderhouden is en beter te ondersteunen is door de leverancier. Dus in plaats van maatwerk bepaalt de software eigenlijk al een aantal kaders voor het project.

Natuurlijk moet er nog steeds een infrastructuur gebouwd worden. Dit vereist investeringen in datacenterruimte, servers, software, het maken van bijbehorende ontwerpen, bouwen, het doen van schaalbaarheidstesten etc. Met andere woorden veel manuren, van vaak kostbare externe experts.

Risico’s beperken met behulp van de Cloud

Het ERP voorbeeld gaat mijns inziens ook op voor cloud-diensten. Door gebruik te maken van cloud diensten worden een aantal risico’s die vaak al vroeg in een project leiden tot problemen weggenomen. SaaS is hierin het meest extreme voorbeeld.

Onderstaande figuur hebben we vaker gebruikt om de verschillen aan te geven tussen de service modellen, maar deze figuur kan ook gebruikt worden om aan te geven in hoeverre de kaders voor een project worden bepaald bij gebruik van een dergelijke dienst:

Bron: Microsoft

“You manage” kan bijna één-op-één  vervangen worden door “You buy, design, build and test”

Een SaaS oplossing heeft vaak een vaste service beschrijving die voor iedere klant gelijk is. De software is configureerbaar, maar niet aanpasbaar. De infrastructuur staat al, is schaalbaar en hoog beschikbaar, hiervoor hoeft de organisatie geen grote investering vooraf te doen met alle interne politiek die hierbij komt kijken. Want investering == risico, maar weinig managers/bestuurders staan te springen om risico te nemen. Er worden dus al kaders geschetst voor het project en een belangrijk obstakel waardoor veel projecten al vroeg in het traject uitlopen wordt (deels) weggenomen.

Ook PaaS oplossingen kunnen de kans op succes van een project aanzienlijk verhogen. Net als bij SaaS wordt een groot deel van de oplossing als dienst afgenomen en worden kaders geschetst.

Gartner zegt hierover:

“While PaaS offerings tend to be proprietary, they also abstract some percentage of cloud-optimized application design decisions away from developers, enabling less-skilled programmers to build scalable, reliable cloud solutions. We see here a trade-off: less control, flexibility and portability in exchange for less-challenging development and shorter time to market, compared with IaaS-based solutions.”

– Hype Cycle for Cloud Computing, 2011, G00214915, Gartner

De keuze voor succes is aan u

Natuurlijk zijn clouddiensten niet zaligmakend. Ook aan het afnemen van clouddiensten zitten haken en ogen. En natuurlijk is het inpassen van cloud diensten in een project geen garantie voor succes, maar cloud diensten moeten onderdeel zijn van uw strategie. En zo moet het evalueren van clouddiensten dus een onderdeel zijn van uw projecten.

Bij veel organisaties hanteert IT nog steeds een alles-of-niets-strategie en vaak staat standaardisatie nog bovenaan de prioriteitenlijst. Maar is dit nog wel in het belang van de organisatie?

Vaak kan een heel groot deel van de gebruikers prima af met standaardfunctionaliteit en heeft slechts een klein deel behoefte aan meer. Toch zien we dat veel organisaties vast blijven houden aan de oude strategie. Hybride is hier vaak een prima oplossing!

Het gebruik van clouddiensten kan ervoor zorgen dat veel meer IT-projecten succesvol(ler) zijn.

Facebook is misschien wel het snelst groeiende Internet bedrijf ooit. Het aantal gebruikers van Facebook is in een aantal jaren letterlijk geëxplodeerd: van enkele duizenden gebruikers begin 2004 tot meer dan 800 miljoen in 2011! Dat zijn onvoorstelbare groeicijfers. Wat heeft Facebook wat andere social media bedrijven niet hebben? Een gedegen analyse over het ontstaan en de groei van Facebook is te lezen in het boek “The Facebook Effect” van David Kirkpatrick. David Kirkpatrick is een gekende journalist die al eerder heeft gepubliceerd over bedrijven als Microsoft en Apple.

Het boek is lekker geschreven en is een aanrader voor iedereen die geïnteresseerd is in social media en Internet. Het vertelt niet alleen over de eerste stappen van een toekomstige Internet gigant maar geeft ook een interessante blik in de keuken van de ‘hebzuchtmachine’ van Sillicon Valley met in de hoofdrol bekende durfkapitalisten en de vele concurrenten. Het boek bevat ook een groot aantal anekdotes over de begindagen van Facebook die soms hilarisch zijn. Facebook is geen doorsnee bedrijf en dat komt niet in de laatste plaats door de visie en gedrevenheid van zijn oprichter.

Als je het nieuws rondom Facebook een tijdje gevolgd hebt en misschien ook de film “The Social Network” hebt gezien dan is sommige informatie in het boek van Kirkpatrick niet nieuw. Facebook is in 2007 opgericht door Harvard student Mark Zuckerberg. Wat begon als een smoelenboek applicatie voor Harvard en later andere universiteiten uit de Ivy League groeide in een paar jaar tijd uit tot een netwerk met honderden miljoenen gebruikers wereldwijd.

Van laptop tot datacenter

De voorloper van Facebook werd gedraaid op het interne Harvard netwerk vanaf de laptop van Mark Zuckerberg. Die kreeg het zwaar te verduren toen deze applicatie populairder bleek te zijn dan Zuckerberg ooit had durven dromen. Ook de groei van Facebook (of Thefacebook zoals de website tot 2007 heette) levert ook behoorlijk wat technische uitdagingen op. Een stabiele en snelle web applicatie bouwen en verder door ontwikkelen voor zoveel gebruikers vereist veel vernuft. In de begindagen van Facebook was het een continue uitdaging om de server capaciteit in het datacenter snel genoeg uit te breiden. Gebruikers verwachten dat Facebook altijd werkt, downtime is niet acceptabel. Toen Facebook in september 2010 een aantal uren uit de lucht was, was dat meteen voorpagina nieuws.

Het eerste grote datacenter van Facebook in Prineville, Oregon, US

Anno 2011 zou het voor een succesvolle Internet start-up overigens een stuk minder lastig zijn om snel te groeien door gebruik te maken van een cloud dienst als Windows Azure. Meer capaciteit is dan ineens te regelen met een paar muisklikken!

Wat maakt Facebook nu zo succesvol?

Toen Zuckerberg startte met Facebook was hij niet uniek. Friendster, MySpace en in Nederland Hyves zijn een paar van de social media bedrijven die in dezelfde vijver vissen. Friendster en MySpace waren al succesvol toen Facebook van start ging. Inmiddels kun je op Friendster en MySpace inloggen met je Facebook account … Wat maakt Facebook dat zo uniek?

Online identiteit

Facebook is één van de eerste social media applicaties die vereisen dat een gebruiker zich aanmeld met zijn eigen identiteit. In de begindagen van Facebook kon je je alleen maar aanmelden met een geldig e-mail adres van de universiteit waar je studeerde. Ik vind dit één van de belangrijkste veranderingen sinds het ontstaan van het Internet. Geen anonieme gebruikers met wazige aliassen, maar echte mensen. Wat zou het een verademing zijn als meer mensen hun ware identiteit zouden gebruiken in plaats van een nickname. Niet dat anonimiteit op het Internet helemaal uit den boze is maar ik ben wel een beetje klaar met al die gebruikers die anoniem hun mening overal op het net ventileren.

Een transparante wereld

Mark Zuckerberg gaat daar nog een stap verder in. Hij gelooft heilig in transparantie. Je online identiteit is een onderdeel van je identiteit. Je bent wie je bent en dit wordt transparant doordat je persoonlijke informatie, berichten, foto’s etc. deelt met je vrienden. Facebook levert in die zin niets nieuws, online berichten en foto’s delen kan al jaren, maar het gemak waarmee informatie gedeeld kan worden maakt wel een heel groot verschil. Transparantie vormt de kern van Facebook maar is misschien ook wel tegelijkertijd de achilleshiel. Want hoewel Zuckerberg er van overtuigd is dat de wereld met of zonder Facebook door het gebruik van Internet transparanter zal worden maken velen zich ernstig zorgen over de hoeveelheid informatie die Facebook verzameld.

Privacy

Het succes van Facebook roept ook veel vragen op rondom privacy. Op de servers van Facebook staat persoonlijke informatie van bijna een miljard mensen van over de hele wereld. Facebook heeft in de afgelopen jaren al diverse aanpassingen gedaan die ervoor zorgen dat de gebruikers meer controle krijgen over wie hun gegevens kan zien en wie niet. Maar wie garandeert ons dat Facebook op een integere manier met onze gegevens omgaat? Wat als Facebook over een paar jaar verkocht wordt aan bijvoorbeeld een Chinees bedrijf?

Simpel en snel

Zuckerberg had en heeft een duidelijke visie op de functionaliteit die Facebook moet bieden. Belangrijk uitgangspunt bij alles wat Facebook doet is dat het duidelijk en simpel moet zijn. En die formule werkt. Daar waar gebruikers van MySpace veel vrijheid kregen om hun eigen pagina te verbouwen is de layout van Facebook altijd heel strak en functioneel gebleven. Geen overbodige toeters en bellen. Een ander essentieel uitgangspunt was en is de snelheid van de site. Friendster is letterlijk bezweken onder het eigen succes. De snelle groei van het aantal gebruikers leidde tot allerlei technische problemen met de site en gebruikers haakten af. Zuckerberg was zich er heel goed van bewust dat de site altijd snel en stabiel moest zijn.

De grens tussen Online en het Echte Leven vervaagd (en dat is goed)

De opkomst van Facebook geeft aan dat het onderscheidt tussen het echte leven en wat we online doen vervaagd. Vroeger gebruikten we een aparte identiteit voor de dingen die we online deden (iets als joepie66@hotmail.com). Een verdienste van Facebook is dat we dit alter ego hebben ingeruild voor onze echte identiteit. Dat heeft het Internet veel meer waarde en diepgang gegeven in ons dagelijks leven. Hopelijk zet deze trend door.

Veel concurrenten (waaronder Yahoo, Google, Microsoft, Washington Post ) hebben geprobeerd om Facebook over te nemen of om in ieder geval een aandeel te verwerven. Zuckerberg heeft de verleiding tot op de dag van vandaag kunnen weerstaan en heeft nog steeds de uiteindelijke controle over Facebook. Een bedrijf waarvan de waarde wordt geschat op 80 miljard dollar!

Facebook heeft op een aantal essentiële punten een duidelijke eigen koers gekozen. En dat is grotendeels de verdienste van Mark Zuckerberg. Een ongelooflijk gedreven ondernemer met een missie.

De Gevolgen van Facebook

Als bedrijf is Facebook een absoluut succesverhaal. Maar wat zijn de gevolgen van deze nieuwe manier van communiceren? Facebook en andere social media toepassingen zoals Twitter hebben in zeer korte tijd een plaats gevonden in ons dagelijks leven. En dat is vaak positief, maar leidt ook tot discussies. Er is veel geschreven over de invloed van social media bij belangrijke gebeurtenissen zoals de revoluties in het Midden Oosten maar ook de rellen in London. En wat is de invloed op nieuwe generaties? Ik heb zelf 3 kinderen die opgroeien in een wereld van Facebook, Twitter, smartphones, tablets, games en apps. Wat de exacte gevolgen zijn zal pas over vele jaren duidelijk worden. Zorgt technologie voor een meer sociale wereld of worden we juist minder sociaal? Wat het succes van een bedrijf als Facebook wel heeft bewezen is dat technologie zo krachtig kan zijn dat het ons leven ingrijpend en voorgoed kan veranderen.

Vroeger, toen de wereld nog niet zo verbonden was en nagenoeg alles zich afspeelde binnen de ‘veilige’ muren van het kantoor was IT eenvoudig en overzichtelijk. De IT afdeling (IT) zat in een ivoren toren en waande zich in ‘control’.
De aanschaf van nieuwe software en diensten ging vaak gepaard met hoge kosten die lastig te verbergen waren en in de regel snel opgemerkt werden. Gebruikers waren voor ondersteuning afhankelijk van IT. Het kwam wel voor dat software via de achterdeur in gebruik werd genomen, maar IT kwam daar vaak snel achter en kon er een stokje voor steken of juist zorgen dat de software op de juiste manier in beheer werd genomen.
Het fenomeen dat de business zonder tussenkomst van IT nieuwe software en diensten inkoopt wordt ‘Schaduw IT’¹ genoemd.

Dit waren duidelijke tekenen dat IT en de business niet altijd op één lijn zaten. Bij IT zaten de specialisten die ‘wisten’ wat een gebruiker nodig had en wel even bepaalde wat de gebruikers wel en vooral niet moesten kunnen. Regelmatig ontstonden er conflicten tussen de business en IT. De gebruikers vonden IT star en tegenwerken.

Dit klinkt bekend hoor ik je denken, waarom begin ik hier dan weer over?

In de dagelijkse praktijk kom ik dit nog altijd tegen. Iedere organisatie, groot of klein, loopt het risico op ‘schaduw IT’. Sterker nog, het risico dat er allerlei zaken onder de radar van IT gebeuren wordt steeds groter. Waar er voorheen verschillende drempels waren, zoals grote investeringen vooraf (CAPEX²) en ondersteuning (die uiteindelijk toch bij de eigen IT vandaan moest komen), wordt de uitdaging groter door de mogelijkheid om software en diensten af te nemen via cloud computing. Via cloud computing zijn software en diensten direct beschikbaar zonder hoge investeringen vooraf en deze worden meestal geleverd inclusief een vorm van ondersteuning. Zo zijn er al vele SaaS³ applicaties voor financiële administratie, samenwerken, maar ook diensten als VoIP, social media etc. beschikbaar. Het enige wat een gebruiker nodig heeft is een creditcard.

Een eenvoudig voorbeeld van ‘Schaduw IT’ is het delen van bestanden tussen organisaties of organisatieonderdelen. Wanneer de organisatie vraagt om deze functionaliteit hadden ze het eigenlijk gister al tot hun beschikking willen hebben. IT wil een weloverwogen beslissing nemen en dit kost tijd. In de tussentijd beginnen gebruikers met het delen van bestanden op Skydrive⁴ of Dropbox⁵, want zo doen ze dat thuis ook. Dit is de dagelijkse praktijk.

Een recent praktijkvoorbeeld: Collega’s zijn in gesprek met een financiële instelling over onze cloud diensten. Blijkt uit gesprekken met verschillende business units dat deze al een hele tijd gebruikmaken van Salesforce.com, zonder dat IT hier vanaf weet.

Van CAPEX naar OPEX

De kosten veranderen van investeringskosten naar operationele kosten (OPEX⁶). Een abonnement dat per maand betaald wordt en dus verborgen kan blijven voor de rest van de organisatie omdat het maandelijks om relatief kleine bedragen gaat.
In 2009 schreef Gartner⁷ al dat vooral ‘Line of Business Managers’ geneigd zijn diensten af te nemen die leiden tot ‘schaduw IT’. Vooral in organisaties waar competitie heerst tussen business units zien we dit gebeuren. Ik geloof zelf dat het voor eindgebruikers al heel vanzelfsprekend is om diensten via Internet te gebruiken. Gebruikers zijn goed op de hoogte van de mogelijkheden. Als IT het niet doet, doen we het zelf!
Met andere woorden, waar we als IT afdeling misschien dachten in ‘control’ te zijn zorgt cloud computing ervoor dat IT zijn strategie moet heroverwegen voordat ze als ‘overbodig’ worden gezien door de business.

‘Schaduw IT’ is niet zonder risico’s

Er zijn een aantal voor de hand liggende uitdagingen en risico’s die verbonden zijn met ‘Schaduw IT”. De belangrijkste zijn:

• Informatiebeveiliging en compliance. Denk hierbij aan het lekken van vertrouwelijke of geheime informatie, het niet kunnen aantonen dat wordt voldaan aan compliance regels e.d. Dit kan in branches zoals de medische sector en het bankwezen direct leiden tot schade
• Mogelijke juridische conflicten door onjuiste afspraken met leveranciers. Cloud diensten zijn vaak standaard diensten met een standaard overeenkomst. Een overeenkomst die misschien wel niet past bij iedere sector of onderneming
• Misalignment met de organisatiestrategie waardoor dit op de langere termijn de organisatie zou kunnen schaden, omdat het kan zorgen voor hoge kosten wanneer data moet worden gemigreerd of het ‘organisch’ ontstane proces moet worden getransformeerd
• ….

Een positieve kant?

De positieve kant van ‘Schaduw IT’ is denk ik dat dit aangeeft wat de echte vraag van de business is. De business is op zoek naar een partner met expertise om ze te leiden door de wirwar van diensten en dienstverleners en om ze te helpen deze diensten op een snelle en juiste manier in te bedden in de operatie. Op een manier die past in de strategie van de organisatie.

Wat kan IT doen om deze partner te worden?

1. De belangrijkste in misschien wel het ombuigen van de ‘IT – gebruiker’-verhouding naar een ‘dienstverlener – klant’-relatie met heldere afspraken zodat iedereen weet wat er verwacht mag worden en ook laten zien hoe er wordt gepresteerd ten opzichte van de afspraken. Service management speelt hier een belangrijke rol
2. IT Strategie bepalen en zorgen dat cloud computing een integraal onderdeel wordt. Bijvoorbeeld het werken onder architectuur die het mogelijk maakt flexibel te zijn
3. Ontwikkelen van een ‘cloud capability’. IT zal zich bewust moeten maken van de ontwikkelingen in de markt, de mogelijkheden en onmogelijkheden etc., zodat ze de business kunnen adviseren
4. Zorgen voor IT beleid dat kan worden afgedwongen. Duidelijke afspraken maken zodat gebruikers begrijpen wat wel en niet is toegestaan. Iedere gebruiker tekent een verklaring dat ze het beleid begrijpen en zich zullen houden aan het beleid
5. Betrokken raken en blijven bij de business. Begrijpen wat de business wil en de business helpen begrijpen hoe IT het verschil kan maken
6. Nadruk leggen op mogelijk maken in plaats van beperken. Innovatie en vernieuwing zijn de sleutelwoorden, veranderingen zullen elkaar in een steeds hoger tempo opvolgen. Te lang afhouden kan de organisatie schaden op de langere termijn

Dit zijn voor veel organisaties grote veranderingen die niet van vandaag op morgen geïmplementeerd zijn, maar nu is wel het moment ermee te beginnen!

Neem de regie in eigen hand

De beloften van cloud computing, zoals lagere kosten en directe beschikbaarheid, klinken geweldig en zal menig organisatie en gebruiker verleiden tot misschien wel overhaaste beslissingen. De vraag naar IT veranderd in een razend tempo. De IT organisatie zal snel volwassen moeten worden om op deze veranderende vraag in te spelen anders nemen gebruikers het heft in eigen hand en wordt IT echt buiten spel gezet, met alle gevolgen van dien. Cloud computing is nog sterk in ontwikkeling, het ontbreekt aan standaarden en keurmerken. Om de juiste keuze te kunnen maken heeft de business IT nodig. Nu is het moment om de IT organisatie te transformeren. De business wacht niet af, zoveel is zeker!

¹ http://en.wikipedia.org/wiki/Shadow_IT
² http://en.wikipedia.org/wiki/Capex
³ http://en.wikipedia.org/wiki/SaaS 
⁴ http://www.skydrive.com
⁵ http://www.dropbox.com
⁶ http://en.wikipedia.org/wiki/Operating_expense
⁷ Cloud Computing Constituencies and Inconsistent Perspectives, Gartner, April 2009, ID G00166134

Het Microsoft Security Response Center (MSRC) onderzoekt jaarlijks duizenden beveiligingsincidenten. Op basis van al deze ervaringen hebben ze een lijst opgesteld met wat ze noemen de “Ten Immutable Laws Of Security”, of in het Nederlands de “Tien  Onveranderlijke Wetten van Beveiliging”. Deze lijst bestaat al wat langer maar is recent bijgewerkt:

1
Als een slechterik je kan overhalen om zijn programma uit te voeren op je computer, dan is het je eigen computer niet meer.

2
Als een slechterik het besturingssysteem kan aanpassen op je computer, dan is het je computer niet meer.

3
Als een slechterik onbeperkte fysieke toegang heeft tot je computer dan is het je computer niet meer.

4
Als je een slechterik actieve content laat draaien op je website, dan is het je website niet meer.

5
Zwakke wachtwoorden winnen het altijd van goede beveiliging.

6
De beveiliging van een computer valt of staat met de betrouwbaarheid van de beheerder.

7
Versleutelde gegevens zijn zo veilig als de sleutel die nodig is om de gegevens te ontcijferen.

8
Verouderde anti-malware scanner is slechts marginaal beter als helemaal geen scanner.

9
Absolute anonimiteit, zowel online als offline, is in de praktijk niet haalbaar.

10
Technologie is geen wondermiddel.

Het interessante aan het lijstje is dat de nadruk niet ligt op technologie maar op de menselijke factor. Het is een mega-open deur maar toch: beveiliging begint bij de gebruiker. Nu weten we uit de praktijk dat veel gebruikers zich nauwelijks bewust zijn van de risico’s en bijna letterlijk klikken op alle meldingen die op hun scherm verschijnen. Meldingen zijn vaak ook zo cryptisch dat je het een gebruiker nauwelijks kwalijk kunt nemen. Maar ook doorgewinterde IT-ers worden regelmaig het slachtoffer van “social engineering”.

Een steeds groter deel van ons zakelijke en privé leven speelt zich digitaal af. Van e-mail, winkelen, Facebook, Internet bankieren tot foto’s opslaan en delen, een level zonder computer en Internet is nauwelijks nog voor te stellen. Beveiliging wordt steeds meer een probleem van ons allemaal.

Voor de IT industrie ligt er een zware verantwoordelijkheid om veilige producten en diensten te leveren die ook voor gewone zielen makkelijk te gebruiken zijn. Maar zonder bewuste gebruikers met een gezonde dosis argwaan is beveiliging een mission impossible.  

Het hele artikel is te vinden op Microsoft TechNet.

Bij discussie over cloud wordt het steeds lastiger om het kaf van het koren te scheiden. Alles lijkt tegenwoordig wel cloudified te zijn. De termen IaaS, PaaS en SaaS raken steeds meer ingeburgerd maar er de termen worden nogal is door elkaar gehaald. Het wordt dus hoog tijd om even stil te staan bij wat definities om zo de zin en onzin te uit elkaar te houden, voornamelijk als het gaat om private cloud. Ook is het goed om helder op het netvlies te hebben wat cloud computing nu extra levert, bijvoorbeeld ten opzichte van server virtualisatie. Cloud is tenslotte geen doel op zich maar een middel om bepaalde voordelen te realiseren. Niet dat er een absolute waarheid is overigens. Zo worden er verschillende definities gebruikt die van elkaar verschillen maar ook veel overeenkomsten vertonen. Maar het vaststellen van een gezamenlijk definitie kader is wel nodig om iedere discussie over cloud goed te kunnen voeren.

De Cloud volgens het NIST

Binnen Microsoft hanteren we de definitie zoals die door het Amerikaanse National Institute of Standards and Technology (NIST) is opgesteld. Zij definiëren cloud aan de hand van een aantal essentiële characteristics, het service model en als laatste het deployment model.

Bron: National Institute of Standards and Technology (NIST)

Ik vind zelf de eigenschappen het meest interessant omdat deze meteen vrij duidelijk laten zien waar waarom cloud computing niet hetzelfde is als hosting of server virtualisatie. NIST definieert vijf essentiële eigenschappen voor iedere cloud oplossing:

1. Resource Pooling – de computer resources worden gedeeld door meerdere klanten.
2. On-Demand Self-Service – een klant kan zelf, zonder tussenkomst van een service provider, resources beschikbaar stellen en gebruiken.
3. Measured Service – het resource gebruik wordt automatisch geoptimaliseerd en over het exacte gebruik wordt gerapporteerd.
4. Rapid Elasticity – capaciteit kan eenvoudig worden bijgeschakeld of afgebouwd. Voor de eindgebruiker lijkt de beschikbare capaciteit oneindig.
5. Broad Network Access – de aangeboden diensten zijn via standaard mechanismen beschikbaar over het netwerk.

Naast deze karakteristieken kunnen we een onderscheid maken tussen de verschillende service modellen: Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) en Infrastructure-as-a-Service (IaaS). IaaS en SaaS verschillen duidelijk van elkaar. De meeste verwarring ontstaat als we praten over PaaS. Waar stopt een IaaS oplossing en waar begint PaaS? Ook hier bestaan verschillende interpretaties en is er geen absolute waarheid. Zelf gebruik ik onderstaande plaat als referentie.

Bron: Microsoft

Als laatste is er een verschil in het deployment model. Het belangrijkste verschil zit hem tussen een public en een private cloud. Waar een public cloud gedeeld wordt door een (zeer) groot aantal klanten is een private cloud bedoeld voor een enkele organisatie.

Als we de NIST definities als uitgangspunt nemen dan moet een cloud oplossing in ieder geval alle essentiële karakteristieken bevatten. Dat geldt ook voor een private cloud. Een private cloud is immers een cloud volgens een specifiek deployment model. Ook wordt uit de NIST definitie helder dat een private cloud geen synoniem is voor IaaS. IaaS is meestal wel de eerste stap die organisaties zetten als het gaat om private cloud. Maar ook PaaS zou je in een private cloud kunnen aanbieden. Ik zal me in de rest van deze post vooral richten op private cloud.

Geen zwarte magie

Tot zover de theorie. Wat betekent dit nu in de praktijk? Private cloud is geen zwarte magie. Het gaat nog steeds over servers en software die ergens in een datacenter draaien. Verschilt het dan wel zoveel van server virtualisatie zoals we dat al kennen? Jazeker! En daar komen de cloud karakteristieken om de hoek. Want om die te realiseren moeten er eigenschappen toegevoegd worden aan de server virtualisatie oplossingen zoals we die al kennen. De belangrijkste daarbij zijn het verregaand standaardiseren van de gebruikte componenten (zoals servers) en het automatiseren van processen.

Het is belangrijk om te benadrukken dat een heleboel zaken waar we al jaren mee bekend zijn nog steeds actueel en belangrijk zijn. De belangrijkste zijn service management, applicaties en de organisatie.

Service management: absolute noodzaak

Een (private) cloud oplossing is vaak een grotere omgeving die gebruikt wordt door meerdere klanten. Om de stabiliteit, beveiliging en beschikbaarheid op het juiste niveau te houden is een professionele operatie essentieel. Neem als voorbeeld patch management. In een cloud oplossing moet dit uitgevoerd worden volgens duidelijk procedures en bij voorkeur verregaand geautomatiseerd. Service management is geen nice to have maar een keiharde randvoorwaarde.

Would you get on a supersonic jet if you knew the pilot didn’t know how to fly it or the mechanics didn’t know how to maintain it?

Raamwerken als ITIL of Microsoft Operations Framework (MOF) zijn zeer bruikbaar om service management in te richten.

Applicaties: maak applicaties geschikt voor de cloud

De echte waarde van een IT oplossing wordt geleverd door applicaties. Om een bestaande applicatie in een cloud oplossing aan te bieden zal de applicatie veelal aangepast moet worden om bijvoorbeeld concepten als self-service, high automation, multi-tenancy, metering en elasticiteit te kunnen ondersteunen. Als je vandaag start met het bouwen van een applicatie dan is het aan te bevelen om de applicatie te ontwikkelen voor de cloud, ook al gaat de applicatie in eerste instantie draaien op een ‘traditionele’ applicatie hosting omgeving. Microsoft heeft ondertussen al aardig wat informatie gepubliceerd over het ontwikkelen van applicaties voor Windows Azure. Windows Azure is een PaaS oplossing die als public cloud wordt aangeboden.

Organisatie: het blijft tenslotte mensenwerk

Ook IT blijft voor een belangrijk deel mensenwerk. Organisaties zullen moeten veranderen om succesvol te zijn met cloud oplossingen. Dan gaat het over volwassenheid, strategie, de samenwerking tussen IT en de business maar ook over politiek en cultuur. Het toepassen van cloud concepten kan een forse verandering betekenen. En zoals we weten gaan veranderingen vaak gepaard met weerstand.

Show me the money!

Nu we wat duidelijker op het vizier hebben wat een cloud is en wat niet, is het goed om even stil te staan bij de voordelen van cloud computing. Wat levert het nu op? Zeker als het gaat over een private cloud oplossing kunnen de investeringen die nodig zijn significant zijn. Dus moeten daar duidelijke voordelen tegenover staan.

• Flexibiliteit en snelheid – in het Engels met een mooi woord vaak aangeduid als “agility”. Resources (bijvoorbeeld virtuele machines) kunnen on demand door de klant zelf aangevraagd en geactiveerd worden. Dit wordt mogelijk door concepten als resource pooling (er is een voorraad ‘compute power’ beschikbaar), automation en self-service.
• Focus op applicaties – organisaties besteden relatief veel geld aan infrastructuur. Infrastructuur is belangrijk maar vooral randvoorwaardelijk. De echte waarde wordt geleverd door applicaties. In een private cloud oplossing wordt alles wat te maken heeft met infrastructuur verregaand geoptimaliseerd en geabstraheerd van de uiteindelijk gebruiker (zoals een applicaties beheerder). In een public cloud oplossing gaat dat nog een stap verder, daar wordt de infrastructuurdienst geleverd door een 3^e partij en is deze voor de klant geheel onzichtbaar.
• Transparantie in de kosten – een cloud oplossing kan (maar hoeft niet per definitie) leiden tot een verlaging van kosten. Kosten worden in ieder geval beter inzichtelijker omdat precies helder wordt welke systemen en welke klanten de kosten genereren.

Snelle evolutie

Is cloud oude wijn in nieuwe zakken? Voor een deel is dit zeker het geval. Zo is server virtualisatie een onmisbaar element in iedere cloud oplossing. En cloud oplossingen hebben zeker overeenkomsten met ‘klassieke’ oplossingen als hosting of ASP oplossingen. Cloud moeten we niet beschouwen als een revolutie maar meer een logische evolutie. Overigens wel een evolutie die zich razendsnel voltrekt! Dit betekent dat er veel nieuwe mogelijkheden ontstaan maar ook dat veel zaken die we in de IT al jaren doen nog steeds relevant blijven. Cloud is tenslotte geen zwarte magie.

Bron: sys-con.com

Eerst denken, dan doen

Voor organisaties is het belangrijk om een duidelijke cloud strategie te formuleren waarin ook het ambitie niveau wordt vastgesteld. Of zoals Gartner het formuleert: “Customers will build good enough clouds¹”. Waar de inzet van server virtualisatie een no-brainer was voor veel bedrijven, is het bij cloud weer belangrijk om eerst de ambities en doelstellingen te bepalen en dan pas met de technologie aan de slag te gaan. Dus eerst denken, dan doen!

Deze post is gebaseerd op een presentatie die ik samen met mijn collega Edie van den Berge heb gegeven op een intern Microsoft evenement.

¹ Gartner - Private Cloud Computing: An Essential Overview , 23 November 2010, ID: G00209000

Al eerder heb ik geschreven over de toegenomen dreiging van cybercrime in mijn post over Advanced Persistent Thread (APT). Criminele organisaties, maar ook organisaties die aan overheden kunnen worden gelieerd, houden zich op uiterst professionele manier bezig met het zeer gericht ontfutselen van waardevolle informatie. Ondertussen verschijnen er steeds meer berichten in de media over cyberaanvallen in allerlei soorten en maten. Sommige aanvallen worden breed uitgemeten, zoals de succesvolle aanval op het Playstation netwerk van Sony, de inbraak bij security bedrijf RSA en de afgeslagen poging om een groot aantal Gmail accounts te kraken. Ook de aanval met het Stuxnet virus heeft voor de nodige beroering gezorgd. En terecht, want Stuxnet wordt door deskundigen gezien als één van de gevaarlijkste computervirussen tot nu toe. Stuxnet is het eerste virus dat op grote schaal is ingezet voor aanvallen op industriële systemen. Deze systemen worden bijvoorbeeld gebruikt in energiecentrales en bij de communicatie met satellieten. Het is niet moeilijk om voor te stellen dat de mogelijke consequenties enorm zijn. En dan is er nog een hele rij met incidenten die minder aandacht hebben gekregen maar die ook voor een slechte nachtrust zouden moeten zorgen. Enkele voorbeelden zijn de aanval op het Canadese Ministerie van Financiën, de aanval op de Franse overheid in aanloop naar de G20 vergadering, de poging tot inbraak bij de Europese Unie en de recente poging om het netwerk van defensie gigant Lockheed-Martin te kraken. En dan is dit nog maar het topje van de ijsberg. De meeste aanvallen, waarbij organisaties soms jarenlang ongemerkt leeggezogen zijn, halen bijna nooit de publiciteit.

Nationale veiligheid

Cybercrime is allang niet meer een grote zorg voor alleen IT afdelingen. Het is een kwestie van nationale veiligheid. In Nederland heeft de AIVD recent opnieuw gewaarschuwd voor de toename in cybercriminaliteit en de mogelijke gevolgen. De ernst van de situatie wordt ook geïllustreerd door de reactie van het Amerikaanse Pentagon op de aanval op Lockheed-Martin. Een cyberattack kan worden opgevat als een oorlogsverklaring: “If you shut down our power grid, maybe we will put a missile down one of your smokestacks," aldus een woordvoerder van het Pentagon. Niet bepaald een geruststellende gedachte.

Onomkeerbaar

Binnen ons team infra consultants hebben we regelmatig discussies over dit onderwerp. Wij komen dagelijks bij grote bedrijven over de vloer en weten hoe lastig het is voor grote, internationaal opererende organisaties om zich goed te beschermen tegen dit soort geavanceerde bedreigingen. De schaal en complexiteit van de IT infrastructuur, de aanwezigheid van vele legacy systemen en het feit dat bijna alle grote organisaties (delen van) IT aan externe partijen hebben uitbesteedt maken de uitdaging immens. Een collega sloeg de spijker wat mij betreft precies op de kop door te concluderen dat IT voorgoed is veranderd. Alsof IT zijn onschuld definitief verloren is. IT ontwikkelt zich razendsnel en dat geldt helaas ook voor cybercrime. Slechts 10 jaar zit er tussen CodeRed en Stuxnet, maar het is een fundamentele en onomkeerbare verandering.

Fact of life

Cybercrime is waarschijnlijk net als “gewone” criminaliteit iets waar we maar aan moeten wennen en mee moeten leren leven. Dat betekent natuurlijk niet dat we niets kunnen en moeten doen. Er valt ook veel te doen. Bij veel van de genoemde voorbeelden werd er gebruikt gemaakt van relatief eenvoudige middelen. Vaak wordt een combinatie van bekende beveiligingsgaten en ouderwets “social engineering’ gebruikt om binnen te komen.

3 stappen

Basis beveiligingsmaatregelen zijn een absolute must. Maar 100% beveiliging tegen cybercrime is een utopie. Het is daarom zaak om een goede afweging van de risico’s te maken. De eerste stap is het identificeren van de meest belangrijke data en applicaties en daar een risico plan voor opstellen. Als tweede is het essentieel dat de basis infrastructuur veilig is. Dus zaken als patch management, monitoring, ‘system hardening’, eindgebruikers training en data classificatie om er maar een paar te noemen zijn absoluut randvoorwaardelijk. Beveiliging is zo goed als de zwakste schakel. En als laatste is het goed om te weten hoe je organisatie er voor staat zodat je van daaruit bewust kunt werken aan een hoger niveau van volwassenheid. Microsoft hanteert een Cybersecurity Maturity Model, gelijk aan de aanpak in het Microsoft Infrastucture Optimization (IO) model. Ook voor beveiliging is het goed om duidelijk doelstellingen vast te stellen.

De gevolgen

Ik denk wel dat de toename van cybercriminaliteit gevolgen zal hebben voor de manier waarop organisaties omgaan met IT en met het Internet. Het Internet speelt een steeds grotere rol in de IT strategie van veel organisaties, vaak versterkt door de trend die wordt aangeduid als Consumerization. Toch is het in de huidige tijd geen raar idee om de echte kritische systemen volledig los te koppelen van het Internet. Naarmate de cybercriminaliteit toeneemt, zal ook de roep om meer controle en toezicht op het Internet toenemen en zal de discussie over netneutraliteit verder oplaaien. 

Wat denk jij? Bangmakerij of een potentiele bedreiging voor het open Internet zoals we dat vandaag kennen?

Microsoft bestaat ruim 35 jaar en in al die jaren is Microsoft uitgegroeid tot één van de grootste software bedrijven ter wereld. Een groot deel van die groei is autonoom maar voor een deel het gevolg van acquisities. Vanaf de jaren 90 steeg het aantal overnames sterk. De laatste jaren is dat een stuk minder. Zo is het aantal acquisities in 2009 en 2010 op één hand te tellen.

Een aantal van de bekendste acquisities zijn Hotmail (1997), Navision (2002), Groove (2005), Softricity (2006), Winternals (2006) en Opalis (2009). Daar is een paar weken geleden als kers op de appelmoes Skype bij gekomen. Wat er met die overgenomen bedrijven gebeurt verschilt nogal. Van een aantal acquisities zijn de producten makkelijk terug te vinden in de Microsoft portfolio, meestal na een grondige revisie en onder een nieuwe naam. Zo heet SoftGrid tegenwoordig App-V en gaat de software van Navision tegenwoordig door het leven als Microsoft Dynamics NAV. Bij andere overnames is het wat lastiger om te bepalen wat er precies met de aangekochte producten en technologie gebeurd. Zo kan het zijn dat aangekochte technologie zijn weg vindt in al bestaande producten. Een voorbeeld is de technologie van Calista voor het virtualiseren van een Grafische Processor Unit (GPU) die is terug te vinden als RemoteFX in Windows Server.     

Microsoft koopt niet alleen bedrijven maar investeert ook in bedrijven zonder dat er sprake is van een overname. Het meest saillante voorbeeld is het (kleine) aandeel in Apple dat Microsoft aan het einde van de vorige eeuw heeft verworven. Een minder fortuinlijke deelname was de aankoop van ruim 25% van de aandelen van Telewest, een aanbieder van breedband Internet in het Verenigd Koninkrijk in 2000. Twee jaar later werd dit aandeel met een aanzienlijk verlies weer van de hand gedaan. Hopelijk pakt het recent aangekochte aandeel in Facebook beter uit.

Als je alle overnames en deelnemingen op een rijtje zet krijg je een indrukwekkende lijst, zoals ook is te lezen op Wikipedia. Grafisch ontwerper Robin Richards zag er een mooie uitdaging in om deze informatie op een innovatie visuele wijze te presenteren. In zijn vrije uurtjes heeft hij op een wel heel creatieve manier alle acquisities en deelnemingen in kaart gebracht. Het resultaat is een indrukwekkende “Subway Map”. Het overzicht is online te bekijken of te downloaden als PDF. De online versie kun je het beste via Zoom.it bekijken, je kunt dan makkelijker in zoomen en alle details bekijken. Voor Google en eBay heeft hij soortgelijk overzichten gemaakt, al zijn die ondertussen wat gedateerd.

Naast Cloud Computing is Consumerization of IT misschien wel het meest besproken onderwerp in de IT van dit moment. Er wordt niet alleen veel over gesproken, de trend is ook al duidelijk zichtbaar bij veel organisaties waar ik kom. Steeds meer smartphones die privé eigendom zijn worden gekoppeld aan de e-mail omgeving van het bedrijf. En daar is vorig jaar de iPad bijgekomen. De iPad heeft consumerization of IT pas goed op de agenda van de IT manager gezet.

Gebruikers krijgen niet altijd wat ze willen en wat ze nodig hebben
Bij consumerization gaat het verder dan alleen e-mail op je telefoon of het gebruik van een iPad. De essentie is dat gebruikers steeds hogere eisen stellen aan de IT middelen die ze nodig hebben. Het gaat over functionaliteit, gebruikersgemak en prestaties maar ook over keuzevrijheid. Producten en diensten die gericht zijn op consumenten vinden hun weg naar de bedrijfsomgeving. Medewerkers van vandaag kunnen prima overweg met computers en hebben thuis vaak betere spullen dan op het werk. Ze zijn gewend om te werken met nieuwe, snelle hardware en software en met allerhande cloud diensten, zoals Hotmail, Facebook en Twitter. De diensten die door de werkgever worden geboden staan hiermee in schril contrast. Waarom heb ik op het werk een mailbox van maar 100MB terwijl ik bij Hotmail gratis een mailbox van 25GB kan krijgen? Als je samen moet werken met een externe partij aan de andere kant van de wereld en de IT afdeling is niet in staat om dit op een goede wijze te ondersteunen dan is het een kleine stap om gratis diensten als Dropbox, Office Web Apps of Google Apps te gaan gebruiken. Een ander heikel punt is de werkplek. Veel organisaties zijn bezig of moeten nog starten met de migratie naar Windows 7 en zitten nog op Windows XP. Windows XP is ondertussen 10 jaar oud en dat is toch een groot verschil met een modern besturingssysteem als Windows 7 of de laatste versie van MacOS. Ook hier geldt dat de medewerkers thuis beter af is dan op het werk. Medewerkers willen gewoon hun werk doen en accepteren het niet meer wanneer ze beperkt worden door de middelen die door de IT afdeling geleverd worden.

Maak van de nood een deugd
Consumerization wordt dus vooral gedreven door de eindgebruikers maar wordt de laatste jaren ook opgepakt door de IT afdeling. Er zijn al bedrijven die nadenken of al experimenteren met het gebruik van verschillende devices. De gebruiker kan kiezen uit verschillende devices. Zo kan ik als medewerker bij Microsoft kiezen uit verschillende laptops, variërend van een tablet tot een high performance notebook. Een stap verder gaat het wanneer bedrijven devices op hun netwerk toestaan die geen eigendom zijn van het bedrijf. Het is helder dat het toestaan van verschillende typen devices voordelen oplevert ten aanzien van flexibiliteit en productiviteit. Eerste ervaringen wijzen overigens uit dat consumerization niet per definitie leidt tot lagere kosten, maar vooral tot een verschuiving van de kosten.

Er zijn geen shortcuts
Gebruikers willen betere diensten en meer kunnen kiezen. Dat is goed en daar is geen speld tussen te krijgen. Dat betekent niet dat zaken waar we ons de afgelopen jaren in de IT zo druk over hebben gemaakt, niet meer valide zijn.
Of het nu gaat om beveiliging, compliancy of controle, al deze zaken zijn nog steeds belangrijk. Wat mij betreft is beveiliging het grootste punt van aandacht en zorg. De gebruiker zomaar meer vrijheid en meer verantwoordelijk geven zal leiden tot een lagere beveiliging. Het valt me op dat in veel discussies over consumerization beveiliging een vervelend onderwerp lijkt. De bedreigingen zijn echter zeer reëel. Dagelijks zijn er berichten te vinden in de media over kwijtgeraakte vertrouwelijke (klant-)informatie. Ook de bedreiging van digitale spionage is de laatste jaren fors toegenomen, zie ook mijn eerder blogpost over Advanced Persistent Thread (APT).
Toch hoeft consumerization niet automatisch te leiden tot een verslechtering van de beveiliging. Het is dan wel zaak om goed na te denken over de randvoorwaarden die nodig zijn om consumerization op een verantwoorde manier te omarmen. Er zijn in die zin geen shortcuts.

Denk in scenario’s
Ik denk dat consumerization bij uitstek geschikt is om met behulp van gebruiker scenario’s aan te vliegen. Door te werken met scenario’s krijg je snel inzichtelijk waar je allemaal rekening mee moet houden. Begin daarbij met het laaghangende fruit. Een scenario wat bij veel klanten actueel is het gebruik van de eigen laptop door externe medewerkers. Veelal worden externe medewerkers voorzien van een laptop of desktop van de klant waar ze op dat moment voor werken. Dit terwijl ze vaak al een laptop van hun werkgever hebben. Het ligt dus voor de hand om te bekijken of deze externe medewerkers niet hun eigen laptop kunnen gebruiken. Dat kan een interessante besparing oplevering voor de klant. Om dit op een gecontroleerde en veilige manier te doen kunnen deze ‘vreemde’ laptops via een apart netwerk (Internet) via een portal toegang krijgen tot applicaties of een volledige (virtuele) werkplek. De besparingen zijn evident, maar het optuigen van een dergelijk infrastructuur brengt natuurlijk wel kosten met zich mee.

Consumerization is voor gevorderden
Nou is het voorbeeld wat ik hierboven noem nog redelijk eenvoudig te implementeren. Het wordt wat lastiger wanneer eigen apparatuur op het interne netwerk wordt toegelaten. De techniek is hier veelal nog niet geschikt voor. Organisaties die hun IT niet op orde hebben lopen het risico dat ze achter de feiten aan gaan lopen. Om dit soort geavanceerde scenario’s te kunnen faciliteren moeten zaken, zoals solide beveiliging van data en systemen, een state-of-the art applicatie landschap, waterdicht identity en access management en een gedegen segmentering van het netwerk op orde zijn. En dan hebben we het alleen nog maar over de techniek. Naast de techniek zul je als organisatie ook afspraken moeten maken over zaken als verantwoordelijkheid, gebruik van licenties, ondersteuning, kosten. Kan de IT afdeling een privé smartphone of afstand wissen wanneer deze is besmet door malware? Of mag dat alleen na toestemming van de gebruiker zelf?

Embrace and extend
Consumerization of IT is een trend die je wat mij betreft moet omarmen, het biedt een aantal belangrijke voordelen voor de organisatie maar deze voordelen kunnen omdraaien in serieuze risico’s als er onzorgvuldig gehandeld wordt. Zorgt dat consumerization je niet overkomt maar formuleer een strategie en voer deze in gecontroleerde stappen uit.

Wat zijn jouw ervaringen met consumerization? Wordt het tijd dat de IT afdeling de teugels weer aantrekt om zo te voorkomen dat binnen de kortste keren vertrouwelijke data op straat ligt? Of is het tij niet meer te keren en laat de gebruiker zich niet meer beperken en controleren door de IT afdeling?

Binnen Microsoft is het weer tijd voor de Mid Year Review (MYR). Het fiscale jaar loopt bij Microsoft van juli tot en met juni en tijdens de MYR wordt teruggekeken op het eerste half jaar en vooruit gekeken naar het komende half jaar. Voor de individuele Microsoft medewerker is de MYR ook een belangrijk ijkpunt. Microsoft is een resultaatgericht bedrijf waar gewerkt wordt op basis van commitments, zeg maar resultaatgerichte afspraken. Het midden van het fiscale jaar is een mooi moment om te kijken hoe de vlag erbij hangt.

Zelf ben ik werkzaam bij Microsoft Services, de afdeling binnen Microsoft die zich bezighoudt met consultancy en support. Bij de MYR gaat het over wat je het afgelopen half jaar hebt gedaan maar veel belangrijker nog over je persoonlijke ambities en groei. Dat zijn interessante discussies. Zo is de opkomst van cloud computing ook binnen ons team een belangrijk onderwerp van gesprek. De cloud zal zeker invloed hebben op ons werk als consultant. Door open discussies proberen we voor de troepen uit te blijven lopen. Dat betekent dus vooruit denken en nadenken over je persoonlijke ontwikkeling.

Er zijn ook bureaus die onderzoeken wat er allemaal verandert in de IT. Er zijn diverse publicaties op het Internet te vinden die gaan over de skills die in de komende periode belangrijk en gewild gaan zijn. Zo heeft Global Knowledge een aardige lijst gepubliceerd met skills waarvan zij verwachten dat die in 2011 veel gevraagd worden. De top 3 is niet echt verassend:

• Cloud computing – met stip de meest besproken technologie van dit moment. Er zal behoefte zijn aan IT-ers die cloud begrijpen, die zien wat het voor de business kan betekenen en die het initiatief nemen om ook daadwerkelijk aan de slag gaan.
• Programmeren – fundament van de IT. Er is volgens Global Knowledge vooral behoefte aan programmeurs die kunnen programmeren voor de cloud en thuis zijn in Flash, HTML5 en Silverlight. Ik mis in dit rijtje eigenlijk .Net en Java.
• Virtualisatie – ook niet heel erg verassend. Virtualisatie is mainstream geworden en bijna alle klanten gebruiken een vorm van virtualisatie, of het nu gaat om desktop virtualisatie, server virtualisatie of applicatie virtualisatie.

In de top 10 (op plaats 7 om precies te zijn) staat beveiliging. Voor iedere IT-er verplichte kost wat mij betreft. De bedreigingen worden steeds venijniger. Bij beveiliging gaat het niet om een duidelijk afgebakende functie. De beveiliging van een organisatie, inclusief IT, wordt bepaald door het totaal, van de receptioniste tot aan de programmeur die veilige code schrijft.

Ik kan me wel vinden in dit lijstje maar ik vind de niet-technische skills wat onderbelicht. En dan gaat het om kennis die voor iedere IT-er eigenlijk verplicht zouden moeten zijn, namelijk kennis van de bedrijfsprocessen. Werk je als IT-er bij een verzekeraar dan moet je goed begrijpen op welke wijze IT waarde toevoegt voor jouw bedrijf. Dat is nu al  belangrijk maar wordt nog belangrijker denk ik. De rol van IT verandert, onder andere door de transitie naar de cloud, en de IT-er zal mee moeten veranderen.

Er wordt weleens gezegd dat er straks minder behoefte zal zijn aan IT-ers met technische rollen. Ik weet niet hoe de exacte cijfers eruit gaan zien maar ik denk dat er altijd behoefte zal blijven aan IT-ers met gedegen technische kennis, ook in een wereld met cloud oplossingen. Cloud is immers geen zwarte magie. IT-ers die hun diepe technische kennis aanvullen met kennis over de laatste ontwikkelingen, begrip van de bedrijfsprocessen en kennis van beveiliging hoeven niet bang te zijn dat ze werkloos thuis komen te zitten. Ook de komende jaren zal al er meer vraag dan aanbod zijn naar slimme IT-ers die zich blijven ontwikkelen. Want dat laatste is denk ik essentieel: je blijven ontwikkelen. Stilstand is achteruitgang, en dat geldt zeker in de komende jaren voor de kennis en kunde van de IT-er. 





 

Er zijn een aantal basis zaken die geregeld moeten zijn als het gaat over het beveiligen van een netwerk: installeer een goede firewall (niet alleen op de network edge maar ook op alle endpoints), installeer antivirus software op alle systemen en houdt deze up-to-date, en installeer de laatste updates. Dat geldt voor het besturingssysteem, maar ook voor alle applicaties. Om dit goed te borgen zijn goede procedures nodig.

Klinkt niet zo ingewikkeld zou je denken. Toch is de praktijk anders. Ik kom nog te vaak bij klanten die bijvoorbeeld niet of niet consequent patchen. De redenen lopen uiteen van geen tijd tot angst voor problemen met legacy applicaties. Ook zijn er nog steeds mensen die denken dat patchen niet nodig is want alle systemen staan toch veilig achter een firewall. Dit kan echt niet meer anno 2011!  Veel software wordt weliswaar steeds veiliger maar de bedreiging is zeker niet minder geworden. Integendeel, aanvallen op bedrijven en instellingen worden steeds geavanceerder en professioneler. Met weemoed kunnen we terugdenken aan de dagen van Code Red en Blaster. Deze virussen waren vervelend maar vrij onschuldig en met de nodige moeite onder controle te krijgen. Vergelijk het met een inbreker die je huis overhoop gooit en daarna weer verdwijnt. Tegenwoordig sluipt de inbreker ongezien naar binnen, houdt zich schuil en gaat ook niet meer weg. En vooral dat laatste maakt dit soort aanvallen zo gevaarlijk. Veel grote bedrijven en organisaties worden geconfronteerd met dit soort aanvallen. Vaak zonder dat ze het weten.

Dit soort aanvallen is dan ook niet het werk van puisterige script kiddies, maar van professionele organisaties (die ook steeds vaker in verband worden gebracht met overheden). Het bekendste voorbeeld van de laatste tijd is de aanval op Google vanuit China begin 2010. Het bijzondere aan dit verhaal is dat Google de publiciteit heeft gezocht, iets wat niet zo vaak gebeurt. De term die voor dit soort aanvallen wordt gebruikt is Advanced Persisitent Threat, ofwel APT.
De term APT komt uit de Amerikaanse defensie wereld. Het waren ook deze organisaties die als eerste te maken kregen met dit soort aanvallen. Ondertussen staan ook andere sectoren op de radar van de aanvallers, al zijn er geen harde statistieken die publiekelijk beschikbaar zijn. Het is niet verwonderlijk dat er heel weinig bedrijven de publiciteit zoeken wanneer ze te maken krijgen met een dergelijke aanval.

Maar wat maakt APT dan zo gevaarlijk? Het begint al bij de aanvallers. Dat zijn geen vage Internet criminelen, maar goed georganiseerde organisaties. Deze organisaties hebben de middelen om een zeer professionele aanval op te zetten. Ze werken ook volgens een plan.  In plaats van met hagel te schieten gaan ze zeer gericht te werk, waarbij allerlei middelen worden ingezet. Dit varieert van zeer geavanceerde malware, phising mails, monitoring technieken tot aan ouderwetse social engineering. De aanvallers zijn ook niet op zoek naar snel succes maar zijn geduldig. Ze zijn er op uit om de controle te krijgen over de IT infrastructuur van het slachtoffer om zo toegang te krijgen tot waardevolle informatie. Wat de aanvallers helpt is dat die IT infrastructuur bij vrijwel alle organisaties gekoppeld is aan het Internet, vaak op meerdere plaatsen. Informatie is bij veel organisaties sterk gedistribueerd. Het is dan ook niet eenvoudig voor organisaties om zich te verdedigen tegen een dergelijk gerichte aanval.

APT is een zeer agressieve vorm van hedendaagse spionage waarbij de spionnen weinig gevaar lopen. Uit de activiteiten van de aanvallers op het gecompromitteerde netwerk is ook af te leiden dat de aanvallers iets als vaste werktijden hebben en af en toe ook een dag vrij nemen (zoals met oud & nieuw). In die zin is bedrijfsspionage een normale bedrijfstak geworden met gewone kantoormedewerkers.

En wat als je bedrijfsnetwerk inderdaad geïnfiltreerd is? Dan wordt de discussie pas echt vervelend want er is geen makkelijke oplossing. Deze aanvallen zijn zo geavanceerd dat het eigenlijk onmogelijk is om een omgeving die eenmaal gecompromitteerd is weer te repareren en helemaal schoon te krijgen. Eigenlijk is er maar één oplossing: uithuilen en opnieuw beginnen. Vervelend voor een bedrijf met een paar honderd clients en een tiental servers maar bijna onmogelijk voor grote organisaties met tienduizenden servers en clients.

Wat kun je nu doen als organisatie om je voor te bereiden?

• Kennis en expertise –Zorg dat je weet wat er gebeurt. Begrijp wat APT is. Je kunt je niet beschermen tegen iets dat je niet begrijpt. 
• Bescherm al je endpoints en data - Het is verder essentieel dat alle endpoints en vooral ook alle data goed beveiligd is, daar is het de aanvallers uiteindelijk om te doen. Een goede virusscanner, firewall en consequent patch beleid is in deze een non-negotiable. Een IT-er die vandaag de dag nog beweert dan patchen onzin is kun je niet meer serieus te nemen.
• Gebruik veilige software – Dat klinkt als een open deur, maar zorg ervoor dat vooral de applicaties die verbonden zijn met het Internet waterdicht zijn. Zonder veilige software is het dweilen met de kraan open.
• Ken je omgeving – Zorg dat je precies weet hoe je infrastructuur in elkaar steekt. En dat klinkt eenvoudiger dan het is. In grote, multinationale organisaties kan dit nog een hele klus zijn, zeker wanneer IT niet gecentraliseerd is of wanneer een deel van de IT is uitbesteed aan een derde partij.
• Verzamel zoveel mogelijk data – Op allerlei plaatsen in de infrastructuur (routers, firewalls, intrusion detection systemen, applicaties, endpoints) worden activiteiten gelogd. Verzamel en analyseer deze informatie. 
• Monitor uitgaand netwerk verkeer - Let niet alleen op inkomend verkeer vanaf het Internet, maar ook vooral op het uitgaande verkeer.
• Investeer in goede processen – Techniek en goede mensen zijn belangrijk, maar gedegen processen en procedures mogen niet ontbreken in dit lijstje. 
• Train je eindgebruikers – Zorg dat alle medewerkers in je organisatie begrijpen wat ze wel en wat ze niet moeten doen. Definieer een duidelijk beveiligingsbeleid. Beveiliging begint bij de eindgebruiker. En dat is geen gemakkelijke opgave, zeker niet in een tijd waarin de eindgebruiker steeds meer vrijheid en flexibiliteit vereist.
  

De laatste maanden is er zoveel over APT geschreven dat het ook al een hype wordt genoemd. Een hype die vooral door de leveranciers van beveiligingsproducten wordt aangegrepen om meer producten en diensten te verkopen. Misschien is APT wel een hype. Maar dat wil niet zeggen dat er niets aan de hand is. Het beveiligingslandschap is voorgoed veranderend en goed georganiseerde, zeer agressieve aanvallen behoren tot de nieuwe realiteit. In die zin is een aparte term voor dit soort aanvallen misschien wel overbodig.

Ik heb zelf de grootste moeite om mijn Inbox op orde te houden. Het lijkt af en toe wel vechten tegen de bierkaai. En dan doe ik toch goed mijn best: wanneer ik een mail lees beslis ik meteen wat ik er mee doe. Ik probeer zoveel mogelijk e-mails meteen af te handelen en ben ook al lang geleden gestopt met het bewaren van al die berichten. Dat ik niet de enige ben die druk is met zijn mailbox blijkt uit het succes van de speciale trainingen die zijn ontwikkeld om deze overvloed aan informatie onder controle te houden. De meest bekende is de ‘Getting Things Done’ methode van David Allen waarin het onder controle houden van de mailbox een belangrijk onderdeel is.

De gigantische hoeveelheid e-mail die vooral binnen organisaties verstuurd wordt zorgen ervoor dat medewerkers per dag letterlijk uren bezig zijn met mailen. Ook privé mailboxen bezwijken onder de nieuwsbrieven en spam berichten. E-mail lijkt een beetje ten onder te gaan aan het eigen succes.
Toch lijkt dit probleem zich vanzelf op te lossen. Want wat blijkt: het gebruik van e-mail vertoont een dalende trend, en dan vooral onder de jongere generatie. Websites als Yahoo! Mail, Gmail en Hotmail zien voor al enige tijd het aantal bezoekers van hun websites dalen. Recent onderzoek van marketonderzoeksbureau ComScore in Groot-Brittannië toont aan dat vooral jongeren onder de 25 e-mail inruilen voor instant messaging en sociale media als Facebook en Twitter. Zij ervaren e-mail als te traag en te formeel ervaren.

Je kunt je echter afvragen of het niet logisch is dat het gebruik van e-mail onder jongeren daalt. SMS, Twitter en Facebook berichten sluiten misschien wel beter aan bij de manier van communiceren als je jong bent. De berichten zijn vaak kort en simpel, van samenwerking of discussies is vaak geen spraken. Ook is er geen noodzaak en behoefte om oude berichten te bewaren. Dat veranderd wanneer je binnen en tussen organisaties moet communiceren. Dan is SMS, Twitter en Facebook misschien niet meer zo handig en is e-mail weer een goede optie. Steeds meer mensen lezen hun e-mail vanaf een smartphone. Dan is het dus ook niet zo raar dat de websites van Yahoo! Mail, Gmail en Hotmail minder bezoekers trekken.

Ik verwacht niet dat e-mail gaat verdwijnen, net zoals er ook nog steeds papieren post verstuurd wordt. De voorspelling van Mark Zuckerberg (CEO van Facebook) dat e-mail dood is lijkt me dan ook iets te kort door de bocht. Er zullen meer vormen van communicatie komen waarvan e-mail er zeker één van zal zijn maar misschien wel niet de belangrijkste. E-mail is misschien niet zozeer voor oude mensen, maar vooral voor werkende mensen.

Weinig sectoren in onze economie die zo dynamisch zijn als de IT. Veranderingen gaan in een moordend tempo en het is niet altijd even makkelijk om zin en onzin uit elkaar te houden. Als je niet van veranderingen houdt dan ga je als IT professional niet zo snel gelukkig worden vrees ik. Aan de andere kant maakt dit de IT ook zo interessant en fascinerend. Never a dull moment….

IT veranderd niet alleen heel snel maar wordt ook steeds relevanter. Kun je je nog een bank zonder IT voorstellen? Of een olieraffinaderij? Ik vraag me wel eens af of we IT nog wel moeten zien als een aparte bedrijfstak. IT is in de laatste tien jaar ook een onmisbaar onderdeel geworden van ons persoonlijke leven. We kunnen ons bijna niet meer voorstellen dat 15 jaar geleden Internet en mobiele telefoons alleen gebruikt werden door de "happy fews". En de jonge generatie kan zich nauwelijks voorstellen dat er ooit een tijd was zonder Facebook en Hyves.

Als architect bij Microsoft Services praat ik met veel verschillende klanten over de laatste ontwikkelingen op het gebied van Microsoft technologie maar ook over de meer fundamentele veranderingen in de IT, zoals cloud computing, nieuwe vormen van client computing en veranderingen ten aanzien van IT beveiliging. Redelijk wat klanten hebben goed op het netvlies wat er allemaal gebeurd en hebben een visie en strategie. Maar dat geldt helaas niet voor alle klanten. Soms ontbreekt het eenvoudig aan de mankracht maar vaker lijkt men vooral bezig te zijn met het in de in de lucht houden van de operatie en neemt men onvoldoende tijd om eens vooruit te kijken. En dat is geen overbodige luxe want het wordt steeds belangrijker om de juiste keuzes te maken. De juiste keuzes kun je alleen maken als je weet wat er vandaag gebeurt maar ook wat er morgen en overmorgen staat te gebeuren.

Deze blog gaat niet over nieuwe features in producten en diensten maar probeert de veranderingen die zich afspelen in het vakgebied van de IT in een breder perspectief te plaatsen. Dan gaat het over de veranderingen in technologie, maar ook over de impact van deze veranderingen op het vakgebied van de IT, bedrijven en organisaties en de maatschappij als geheel. Onderwerpen die aan bod zullen komen zijn onder andere cloud computing, mobiliteit, consumerization, social media en beveiliging.