Hybrid IT – Maximum continuity and performance

februari 2021

The same principle applies to every business in every market: continuity is essential. Production may never grind to a halt. A postal company must be able to deliver its mail and parcels every day. A hospital must always be able to provide care. When you purchase part of your functionality as a digital service, continuity is often guaranteed in a Service Level Agreement (SLA). Does this guarantee uninterrupted production? No, because the chain is as strong as the weakest link. This is why, after opting for a Hybrid IT concept, you will have to map out your weakest links with regard to continuity. Where are your dependencies?

Mapping continuity risks

Let’s assume that you purchase workplace packages as a service. Office 365 has high-quality SLAs, both in continuity and in security and functionality. The service is provided via the internet and linked to your internal systems. This service from Microsoft, the internet connection and the internal link to your systems all form a chain. To fully map out the risks for your primary processes, you will have to analyse the entire chain for continuity risks.

There are a number of questions you have to ask here:

  1. 1. If this functionality fails, what is the threat to my primary process?
  2. 2. How are the SLAs interrelated? If 100% uptime is guaranteed, but the internet line has an uptime of 99%, the service may have a certain level of downtime. Do I want this and, if not, how can I resolve it?
  3. 3. Are the internal systems scaled for the continuity this service should provide? For example: which internal disruptions can prevent the entire organisation from sending emails? Examples are Firewall environments, Active Directory environments, power cuts, back-up and restore environments and procedures, etc.
  4. 4. How can I manage these environments, who is responsible for them and who coordinates this? Is this management strategy compatible with the SLAs from the service provider and the most important aspect for you as a business: how do I remain in control?
  5. 5. What is my continuity risk if my service provider goes bankrupt?

Responding to emergencies

When setting up their business continuity management, organisations often focus on the operational aspect, e.g. the presence of an alternative location in case of a calamity. However, these kinds of measures will only become effective once the critical business processes are disrupted. Simply responding to calamities is not sufficient. It is also about preventing calamities. Apart from operational measures, this requires forward thinking and a proactive approach. Business continuity is a strategic topic and must be discussed on a managerial level.

In conclusion: a proper risk analysis at all business levels is an absolute must when analysing the continuity of your IT environment. This will reveal all the risks and allows you to assign the right priorities to the various subjects. You can then map out all the mitigating measures. After all, you don’t just want to prevent risks; you also want to know what to do to minimise the consequences of these risks, should they become reality after all.

Outsourcing Hybrid IT environments

A growing number of organisations are currently opting for outsourcing constructions. For the vast majority, it is comforting to place the entire responsibility for IT as a service in the hands of a single party. This is obvious, as a hybrid IT environment has a higher risk in terms of assigning responsibilities if the service is disrupted. Choosing a single supplier generally makes the outsourcing process clearer and improves its quality, as such a party is specialised in this kind of service. Whatever client-specific wishes or processes they may face, it’s basically just more of the same to them. And this in turn benefits the continuity of the client organisation.
And its performance.

In this blog we discussed the first two core values pitfalls and recommendations in Hybrid IT management. This blog is part of a series. These blogs give information for everyone who has plans to change to a Hybrid-IT concept, or who already has a Hybrid-IT concept, but wonders if this still fits. In the next blog the core values safety and complience will be discussed.

 

Hybrid IT-beheer: maximale continuïteit en performance

februari 2021

Voor elke onderneming in elke markt geldt: continuïteit is essentieel. De productie mag nooit stilvallen. Een postbedrijf moet elke dag zijn post en pakketten kunnen bezorgen. Een ziekenhuis moet altijd zorg kunnen leveren. Wanneer je een deel van je functionaliteit als een digitale dienst afneemt, is de continuïteit veelal geborgd in een Service Level Agreement (SLA). Ben je daarmee verzekerd van een ononderbroken productie? Nee, want een ketting is zo sterk als de zwakste schakel. Daarom zul je, als je gekozen hebt voor een Hybrid IT-concept, ten aanzien van de continuïteit je zwakste schakels in kaart moeten brengen. Waar liggen je afhankelijkheden?

Continuïteitsrisico’s in kaart brengen

Stel, je neemt je werkplekpakketten af als een dienst. Office 365 heeft hoogwaardige SLA’s, zowel in continuïteit als in security en functionaliteit. De dienst wordt via internet aangeboden en gekoppeld aan je interne systemen. Deze dienst van Microsoft, de internetverbinding en de interne koppeling naar je systemen vormen samen een keten. Om het risico voor je primaire processen goed in kaart te brengen, zul je de gehele keten moeten analyseren op continuïteitsrisico’s.

Daar hoort een aantal vragen bij die je moet stellen:

  1. Als deze functionaliteit wegvalt, hoe groot is dan de bedreiging voor mijn primaire proces?
  2. Hoe verhouden de SLA’s zich ten opzichte van elkaar? Als 100% uptime wordt gegarandeerd, maar de internetlijn heeft bijvoorbeeld een uptime van 99%, dan kan het zo zijn dat de dienst een bepaalde mate van uitval heeft. Wil ik dit, en zo nee, hoe los ik het op?
  3. Zijn de interne systemen geschaald op de continuïteit die deze dienst moet bieden? Bijvoorbeeld: welke interne verstoringen kunnen ervoor zorgen dat de gehele organisatie niet meer kan e-mailen? Denk hierbij aan Firewallomgevingen, Active Directory-omgevingen, stroomstoringen, back-up- en restore-omgevingen en -procedures, enzovoorts.
  4. Hoe beheer ik deze omgevingen, bij wie liggen de verantwoordelijkheden en wie coördineert dit? Past deze beheerstrategie in de SLA’s van de dienstverlener en het allerbelangrijkste voor jou als onderneming: hoe blijf ik in control?
  5. Wat is mijn continuïteitsrisico als mijn dienstverlener failliet gaat?

Reageren op calamiteiten

Bij de inrichting van hun business continuity management focussen organisaties veelal op het operationele aspect, bijvoorbeeld de aanwezigheid van een uitwijklocatie bij calamiteiten. Dit soort maatregelen treedt echter pas in werking wanneer de kritieke bedrijfsprocessen zijn verstoord. Maar alleen reageren op calamiteiten volstaat niet. Het gaat er óók om calamiteiten te voorkomen. Behalve operationele maatregelen vraagt dit een vooruitziende blik en een proactieve houding. Business continuity is een strategisch onderwerp en moet op bestuursniveau worden besproken.

Concluderend: een goede risicoanalyse op alle bedrijfsniveaus is een absolute must als je je IT-omgeving analyseert op continuïteit. Op deze manier komen alle risico’s aan het licht en kun je de juiste prioriteit geven aan de onderwerpen. Vervolgens breng je alle mitigerende maatregelen in kaart. Je wilt immers niet alleen risico’s voorkomen; je wilt ook weten wat je moet doen om de gevolgen van deze risico’s, mochten ze toch waarheid worden, zoveel mogelijk te beperken.

Outsourcing Hybride IT-omgeving

Een groeiend aantal organisaties kiest tegenwoordig voor outsourcingsconstructies. Verreweg de meeste vinden het prettig om de gehele verantwoordelijkheid voor de IT als dienst te beleggen bij één partij. Dit ligt voor de hand, want bij een verstoring van de dienst kent een hybride IT-omgeving een hoger risico ten aanzien van verantwoordelijkheidsbelegging. De keuze voor één leverancier maakt de uitbesteding veelal overzichtelijker en kwalitatief hoogwaardiger, omdat zo’n partij gespecialiseerd is in deze dienstverlening. Met welke klantspecifieke wensen of processen hij ook wordt geconfronteerd, voor hem is het meer van hetzelfde. En dat komt weer ten goede aan de continuïteit van de klantorganisatie.
En diens performance.

In deze blog kwamen de eerste twee kernwaarden aan bod van deze blogsserie met als insteek: valkuilen en aanbevelingen bij Hybride IT-beheer. Deze blogs zijn bedoeld voor iedereen die voornemens is om over te stappen naar een Hybrid IT-concept, of al een Hybrid IT-concept heeft maar zich afvraagt of het (nog) goed past. In de volgende blog staan de kernwaarden veiligheid en compliance centraal.

 

Hybrid IT management: pitfalls and recommendations

december 2020

Everything hinges on information technology. Well OK, a lot in any case. Organisations are largely dependent on their IT environment for both administrative processes and production processes. These operations are often largely digitally linked. This means that if IT breaks down, this is a direct threat to your primary business processes – and the continuity of your business as a result.

The computerisation of processes continues relentlessly: the future is digital. It forces companies to view their own organisation in a different light. Where can I gain efficiency, what are the risks and how can I keep my primary process under control? These issues are nothing new as such, but they have gradually become IT-related issues. The question is: is your business set up for this? Is your IT infrastructure ready for the future?

Six core values

Every company pursues the following six core values: maximum continuit and performance, maximum security and compliance, and last but not least ahoge high level of scalability with minimum management constraints. These core values are as old as the business community itself. But because IT is increasingly becoming a determining factor for business processes, these processes are more and more approached from an IT perspective.

In practice, this has resulted in a greater demand for technology that can share resources. Examples are hard- and software virtualisation, shared back-up resources, shared internet connectivity and shared email environments. Today’s IT environments are built to comply with these six core values.

Cloud

Cloud technology has accelerated this enormously. The cloud is popular, because it adds value in both the short and the long term. SaaS services are scalable, do not require investment of capital and give you easy access to “enterprise-grade” systems. All of this is at a fraction of the costs (you only pay what you purchase) and without any worries for system management and maintenance. You can adapt to changing business needs and market conditions at lightning speed. The functionalities can be set up and provided in-house or purchased as a service via the internet. “IT ready-made”: easy, effective and affordable.

Despite this, a cloud-based model is not always automatically the best solution for your business. Perhaps one size fits all does not apply to you; you may have application environments that cannot be migrated to the cloud (yet) for whatever reason. You may, for example, want to maintain control over certain data. Data that is unique to your organisation. Data that is essential to your business processes and mission, and that you want to keep in your own IaaS environment. You would like to keep part of it on-premise.

The best of both worlds: Hybrid IT

This gives birth to the concept of Hybrid IT: a mix of in-house and cloud-based services that offers the best of both worlds: the ease, the flexibility and the cost and collaboration benefits of a cloud platform, and the control and easy accessibility of having your own server. Choose the most suitable application for each workload and put your data in the best location in terms of security or regulations. Use the cloud for the rapid development and testing of prototypes before storing them in the private environment and using them. For many organisations, Hybrid IT is the best way to keep up with the rapid digital transformation.

This does not change the questions you need to ask yourself. Where can I gain efficiency, what are the risks and how can I keep my primary process under control? What is your Hybrid IT solution’s score for the six core values mentioned: continuity, performance, security, compliance, scalability and management constraints? This will decide your company’s success.

In the coming period I will be writing a blog for each core value with the following approach: pitfalls and recommendations for Hybrid IT management. They are meant for anyone who is planning to switch to a Hybrid IT concept, or who already has a Hybrid IT concept but is wondering whether it is (still) a good match.

I hope you find them enjoyable to read!

 

Hybride IT-beheer: valkuilen en aanbevelingen

december 2020

Alles staat of valt met informatietechnologie. Nou ja, veel in ieder geval. Organisaties zijn grotendeels afhankelijk van hun IT-omgeving, zowel voor de administratieve processen als de productieprocessen. Vaak zijn deze operaties in hoge mate digitaal gekoppeld. Dit betekent dat uitval van IT een directe bedreiging vormt voor primaire bedrijfsprocessen – en daarmee voor de continuïteit van jouw bedrijf.

De automatisering van processen gaat gestaag door, de toekomst is digitaal. Het dwingt ondernemingen om op een andere manier naar de eigen organisatie te kijken. Waar zit mijn efficiencywinst, waar zitten de risico’s en hoe houd ik mijn primaire proces onder controle? Dit zijn op zich geen nieuwe vraagstukken, maar het zijn meer en meer IT-vraagstukken geworden. De vraag is: is jouw bedrijf hier wel op ingericht? Is de IT-infrastructuur klaar voor de toekomst?

Zes kernwaarden

Elke onderneming streeft naar de volgende zes kernwaarden: maximale continuïteit en performance, maximale veiligheid en compliance, en last but not least een hoge mate van schaalbaarheid bij een minimale beheerslast. Deze kernwaarden zijn zo oud als het bedrijfsleven zelf. Maar doordat IT steeds bepalender wordt voor de bedrijfsvoering, worden ze meer en meer vanuit IT-perspectief ingevuld.

In de praktijk betekent dit een toegenomen vraag naar techniek die resources kan delen. Denk bijvoorbeeld aan hard- en softwarevirtualisatie, gedeelde back-up resources, gedeelde internetconnectiviteit en gedeelde e-mailomgevingen. De IT-omgevingen van vandaag zijn gebouwd om te voldoen aan deze zes kernwaarden.

Cloud

Cloudtechnologie heeft hier voor een enorme versnelling gezorgd. De cloud is populair omdat hij waarde toevoegt, zowel op de korte als lange termijn. SaaS-diensten zijn schaalbaar, vragen geen kapitaalsinvestering en je krijgt eenvoudig toegang tot ‘enterprise-grade’ systemen. Dit voor een fractie van de kosten (je betaalt alleen voor wat je afneemt) en zonder zorgen voor systeemmanagement en onderhoud. Je kunt supersnel aanpassen aan veranderende bedrijfsbehoeften en marktomstandigheden. De functionaliteiten kunnen in eigen huis worden ingericht en aangeboden, en via internet als dienst worden afgenomen. ‘IT uit de muur’: eenvoudig, effectief en betaalbaar.

Toch hoeft een cloud-based model niet automatisch de beste oplossing te zijn voor je business. Misschien geldt one size fits all niet voor jou, en heb je applicatieomgevingen die om welke reden dan ook (nog) niet naar de cloud kunnen. Bijvoorbeeld omdat je zelf controle wilt houden over bepaalde data. Data die uniek zijn voor jouw organisatie. Data die essentieel zijn voor jouw bedrijfsvoering en missie, en die je in een eigen IaaS-omgeving wilt onderbrengen. Je wilt een gedeelte on-premise behouden.

Het beste van twee werelden: Hybride IT-beheer

Hiermee is het concept van Hybrid IT geboren: een mix van in-house en cloud-based diensten die het beste van twee werelden biedt: het gemak, de flexibiliteit en de kosten- en samenwerkingsvoordelen van een cloudplatform, én de controle en eenvoudige toegankelijkheid van een eigen server. Kies voor elke workload de meest geschikte applicatie en plaats je data daar waar dat vanuit security of regelgeving het beste is. Gebruik de cloud voor het snel ontwikkelen en testen van prototypes voordat je ze in de private omgeving opslaat en gaat gebruiken. Voor veel organisaties is Hybrid IT dé manier om de snelle digitale transformatie te kunnen bijbenen.

De vragen die je jezelf dient te stellen, zijn daarmee niet veranderd. Waar zit mijn efficiencywinst, waar zitten de risico’s en hoe houd ik mijn primaire proces onder controle? Hoe scoort de Hybrid IT-oplossing op de genoemde zes kernwaarden: continuïteit, performance, veiligheid, compliance, schaalbaarheid en beheerslast? Het zal doorslaggevend zijn voor jouw bedrijfssucces.

Per set kernwaardes ga ik de komende tijd een blog schrijven met als insteek: valkuilen en aanbevelingen bij Hybride IT-beheer. Bedoeld voor iedereen die voornemens is om over te stappen naar een Hybrid IT-concept, of al een Hybrid IT-concept heeft maar zich afvraagt of het (nog) goed past. Eerstvolgend staan maximale continuïteit en perfomance centraal.

Ik wens je alvast veel leesplezier!

 

Vulnerabilities in onze IT, hoe vind ik ze en hoe houd ik ze onder controle?

juni 2020

Wat is een vulnerability (kwetsbaarheid)?

Een steeds belangrijker onderwerp in IT security is het onder controle brengen van onze IT omgeving als het gaat om de vulnerabilities die er leven. Wij brengen je graag op de hoogte op welke manier.

Een kwetsbaarheid in onze IT omgeving is een technische mogelijkheid waar cybercriminelen gebruik van kunnen maken om toegang te krijgen tot de IT omgeving. Dit kunnen veel verschillende kwetsbaarheden zijn. Van een opening in de beveiliging van IP camerasoftware tot een bug in de softwareversie van een server. Je kan je voorstellen dat vandaag de dag er zoveel kwetsbaarheden zijn dat je het eigenlijk niet meer zelf onder controle kan houden. Omgevingen begeven zich op zeer veel plaatsen, denk aan in de cloud, op het eigen IT platform, maar ook “Bring your own device” apparatuur. Een virus, malware of simpelweg een inbreker binnenbrengen op onveilige apparatuur die niet door de organisatie worden gemanaged is aan de orde van de dag.

CVSS

Deze kwetsbaarheden kan je toetsen met het Common Vulnerability Scoring System (CVSS). Dit is een gratis en open industriestandaard voor het beoordelen van de ernst van kwetsbaarheden in de IT omgeving. CVSS kent scores toe aan kwetsbaarheden, zodat we prioriteit kunnen geven op basis van de volgende zaken:

  • Hoeveel inzet is er nodig om de kwetsbaarheid te gebruiken.
  • Hoeveel impact is er als de kwetsbaarheid wordt gebruikt.
  • Hoe groot is de kans dat men deze kwetsbaarheid zal gebruiken.

CVSS kent een score toe op basis van formules. De hoogte van deze score is afhankelijk van de impact op gebruikers en het mogelijke effect van misbruik Scores variëren van 0 tot 10, waarbij 10 de meest ernstige is. De CVSS scores veranderen mee met de markt, de standaard zit op dit moment op versie 3.1. Met CVSS is er een open standaard waarin bijna alle kwetsbaarheden worden onderzocht en in kaart gebracht. Dit is één van de handvatten die we kunnen gebruiken om een goed overzicht te verkrijgen van alle kwetsbaarheden waaraan de IT omgeving bloot is gesteld. Ook worden alle nieuwe kwetsbaarheden zo snel mogelijk opgenomen in de CVSS database, zodat de markt zich hier tegen kan wapenen.

Penetratie testen

Een traditionele manier om te controleren of er “lekken” in de beveiliging van de IT-omgeving zitten is het uitvoeren van een penetratietest (pentest). Dit is een vrij arbeidsintensief project en omvat ook veel meer invalshoeken omdat de IT omgevingen veel groter zijn geworden. Ook het feit dat men veelal met een cloud- of een hybride cloud omgeving werkt, in combinatie met een “Bring your own device” beleid maakt het complexer de omgeving te beveiligen en dus ook te pentesten. Wij zien een grotere behoefte om voorafgaande aan de pentest onderzoek te doen naar de kwetsbaarheden die aanwezig zijn. De pentest wordt vervolgens ingezet als validatie op dit onderzoek.

Je kan het zien als de beveiligingsspecialist die eerst een ronde over het te beveiligen terrein maakt om de risico’s in kaart te brengen. Vervolgens bepaalt hij waar hij camera’s en bewegingsmelders wil plaatsen en bij welke deuren een bewaker moet staan. Daarna kan een zogenaamde “mystery guest” testen of hij binnen kan komen.
Vulnerability management (kwetsbaarheden managen)

Steeds vaker hebben organisaties een actief kwetsbaarhedenbeleid. Dit doet men om meerdere redenen.

Op de hoogte blijven van de nieuwste kwetsbaarheden;
Een real-life check of/en welke kwetsbaarheden er daadwerkelijk in de IT omgeving aanwezig zijn;
Volledig inzicht in welke apparatuur er allemaal met het netwerk connecteert;
Projectmatig inzicht in het elimineren van kwetsbaarheden op basis van prioriteit;
Prima meetinstrument voor de security afdeling om te zien welke doelen gehaald worden en welke nog gehaald moeten worden.

Je kan je voorstellen dat het handmatig doornemen van de volledige omgeving en alle crosschecks tussen softwareversie, type apparatuur en de CVSS database een enorme klus is. Zelfs als de IT omgeving niet zo groot is. Het is dus zeer aan te raden om oplossingen te implementeren die dit geautomatiseerd kan doen. Dit zijn vulnerability-management oplossingen. Er zijn momenteel meerdere op de markt die daadwerkelijk veel waarde toevoegen met verkrijgbare inzichten het inzicht.

Inzicht krijgen?

Als onze klanten vragen hebben over welke oplossingen/maatregelen nu prioriteit dienen te krijgen en echt waarde toevoegen, voeren wij een vulnerability assessment uit. Hiermee genereren we het inzicht over de status quo van de omgeving als het gaat om kwetsbaarheden.

Deze feiten geven vervolgens een heel duidelijk beeld over de te nemen stappen en de investeringen in financiële en operationele zin die hiermee gemoeid zijn.