Impressie ronde tafel bijeenkomst Arrow ECS
Arrow ECS heeft begin april een ronde tafel bijeenkomst gehouden met vertegenwoordigers van security-vendors. De bijeenkomst werd gefaciliteerd door ChannelConnect. Aan tafel zaten Carbon Black (Jan Leeflang), Check Point (Peter Sandkuijl), F5 Networks (Jack Niesen), Gemalto (Maurice Stolzenbach), HPE (Ewout van Opstal) en uiteraard de organisator Arrow ECS (Mark Louis Heijman en Hans Maatman).
Als eerste hoofdthema is gekozen voor de GDPR. Dat bleek een schot in de roos. Elk van de aanwezigen had daar een uitgesproken mening over en heeft duidelijk deze Europese Richtlijn, die per mei 2018 van kracht wordt, al langer in het vizier. “Voor Gemalto is het een echte kapstok, waaraan we onze diensten kunnen ophangen”, stelt Maurice Stolzenbach. “We zien dat het nu pas begint te spelen, terwijl al geruime tijd bekend is dat het eraan zit te komen. Tot zover wij kunnen zien, loopt Nederland in de EU hier voorop. België en de noordelijke lidstaten volgen op enig afstand.” Deze mening wordt door de aanwezigen gedeeld, net als het punt van Peter Sandkuijl dat de GDPR niet een vraagstuk is dat kan worden afgevangen door specifieke hardware aan te schaffen. “Omdat er zoveel meer bij komt kijken, zoals kennis van data, de locatie ervan en wie er toegang toe heeft en de dreiging van forse sancties, is de GDPR wel het onderwerp waarmee de deur voor leveranciers naar het boardroom open gaat”, vervolgt Sandkuijl, die dat nadrukkelijk als een positieve ontwikkeling ziet. Ewout van Opstal haakt daarop in door in te zoomen op het begrip data: “Wat wij toch ook veel zien is dat door de GDPR nu eindelijk de waarde van data wordt ingezien en daardoor toch anders naar de processen en de keten wordt gekeken. Ik durf zelfs te stellen dat data veilig – lees: encrypted – op te slaan en te vervoeren is dankzij toenemende belangstelling voor de GDPR en de daarin opgenomen voorschriften. De discussie over big data wordt zo eindelijk op de juiste manier gevoerd.”
Jack Niesen duidt de ontwikkeling op een andere wijze. “Waar tot voor kort de meeste aandacht naar de applicaties en het beschermen ervan uitging, komt nu data in de schijnwerpers te staan.” Achter die constatering zit wel een heel verhaal en dat is een van de punten die Mark Louis Heijman ook aanstipt. De ontwikkelingen betekenen wel het nodige voor de partners. Zij krijgen nu andere vragen en waarschijnlijk te maken met andere afdelingen– lees: risk, compliance en zelfs de boardroom – dan ze gewend zijn. Dit heeft ook een impact op de distributeurs die tussen de fabrikanten en de partners zitten.
‘Samenwerken is een vereiste en dat vergt flexibiliteit’
Nieuwe samenwerking
Alle deelnemers geven aan dat de GDPR geen vervelende ontwikkeling is. Los van de commerciële mogelijkheden die er zijn, vindt iedereen dat het in de regel positieve gesprekken zijn die over het onderwerp worden gevoerd. De manier waarop de gesprekken tot stand komen, is daarbij bijzonder. Er is namelijk sprake van nieuwe vormen van samenwerking. “Om bij enterprises over de GDPR te kunnen praten kan in de regel pas nadat het door consultants op de agenda is gezet”, geeft Van Opstal aan. “Wij zijn dus niet de eersten die er de GDPR ter sprake brengen. Verder zie je bij enterprises dat de noodzaak tot het aanstellen van een DPO een rol speelt. Daar zijn er vooralsnog veel te weinig van en de kennis is nog pril.” Voor HPE is dat een reden samenwerking te zoeken met opleidingsinstituten. Heijman herkent dat beeld en spreekt van een nieuw type ecosysteem dat wordt opgebouwd en waarvoor Arrow bijvoorbeeld contact zoekt met advocatenkantoren.
De GDPR raakt iedereen
Een Data Protection Officer (DPO) is vereist bij bedrijven met meer dan 250 werknemers en dat leidt tot de vraag of de aandacht niet te veel naar grootzakelijk is uitgegaan, ten koste van het MKB. De gespreksdeelnemers denken daar anders over. Die aandacht is er wel, maar voor een groot deel van het MKB is het een lastige afweging. “De GDPR dwingt organisaties heel kritisch naar de gehele business te kijken. Grootzakelijke ondernemingen kunnen daar externe expertise voor inhuren, dat is voor het MKB onmogelijk”, stelt Stolzenbach. Heijman gaat zelfs nog een stap verder met de stelling dat de GDPR ook eindgebruikers raakt door te wijzen naar de opkomst van het IoT in huishoudens. Zijn terechte punt is dan ook dat de GDPR letterlijk iedereen raakt. “We staan pas aan het begin van een heel boeiend traject.”
Met die constatering zou het eerste thema moeten zijn afgerond. Later in het gesprek blijkt toch meermaals dat de GDPR eigenlijk de rode draad is. Bij elke ontwikkeling lijkt er wel een link te zijn met deze regelgeving waar iedereen vanaf volgend jaar, als het goed is al eerder, mee te maken krijgt.
Cloud
Als tweede hoofdthema was het begrip cloud gekozen. De makkelijke vraag ‘Waaraan denk je bij het begrip cloud’ blijkt niet geheel onverwachts ruimte te bieden voor sterk uiteenlopende reacties. Stolzenbach wijst naar de onjuiste perceptie van cloudgebruikers die verwachten dat de cloud provider verantwoordelijk is voor de veiligheid en integriteit van de data die zij daar onderbrengen. Daarmee is ook direct alweer een link gelegd met de GDPR dat daar strikte regels voor stelt.
‘Het hoofdthema GDPR bleek een schot in de roos’
Heijman associeert cloud met een totale verschuiving van bestaande business en mogelijk ook partners. “Om daar goed mee om te gaan, moet je dus op zoek gaan naar andere vormen van samenwerking en je openstellen om meer gezamenlijk op te treden. Allianties vormen, mogelijk op ad hoc basis, lijkt zeker in deze marktfase mogelijk en vooral wenselijk.” Niesen noemt bij cloud ook de druk op de markt en gaf daarbij als voorbeeld Software Defined Networking (SDN). De mogelijkheden en voordelen die deze technologie biedt, zijn zo aantrekkelijk dat security onderbelicht blijft. “Om daar goed mee om te gaan, werken bedrijven die normaal elkaars concurrent zijn nu samen. Dat kan formeel, maar ook in de vorm van fora waar kennis wordt gedeeld.” SDN wordt door de deelnemers als voorbeeld aangegrepen om nog andere eigenschappen van cloud op te sommen. Zo werd er door meerdere sprekers op gewezen dat bij SDN niet meer de traditionele netwerkarchitecten, maar veel vaker DevOpsspecialisten aan het werk zijn. Dat is in het security-landschap een betrekkelijk nieuwe groep IT-medewerkers en hun werkwijze is per definitie anders dan menigeen gewend is. De consensus is dat met hen samenwerken geen optie is maar een vereiste en dat vergt de nodige flexibiliteit.
Cloud is disruptive
Het andere punt dat meermaals wordt genoemd als het over cloud gaat, is CAPEX versus OPEX. Cloud is in alle opzichten disruptive en dat geldt ook voor de omzet. Leveranciers van cloudtoepassingen, hetzij in direct sales, hetzij in indirecte modellen, moeten mee met de trend dat gebruikers afnemen wat zij op dat moment nodig hebben en bij voorkeur niet langer dan strikt noodzakelijk. Hoe kan de sector op deze wens naar maximale flexibiliteit inspelen zonder daarbij te veel risico’s te nemen? Een boeiende reactie komt van Heijman die stelt dat door de vercloudisering ook de vraag is ontstaan naar een nieuwe vorm van dienstverlening. “Wat wij heel duidelijk merken, is dat de verschuiving van CAPEX naar OPEX leidt tot de vraag naar nieuwe financieringsvormen. Wij vinden dat we daar als distributeur in mee moeten gaan en daarom is een model van hybride financiering een nieuwe dienst bij ons om resellers, partners aan ons te kunnen blijven binden.” De vertegenwoordigers van de security vendors herkennen het achterliggende probleem. Resellers hebben de business nog steeds vaak ingericht op basis van sales of renewal-transacties. Een abonnementsstructuur is in dat opzicht compleet disruptive, waarbij ook nog eens speelt dat niet alle klanten al zijn overgestapt naar een cloudgebaseerd model. Jan Leeflang plaatst bij die opmerking over de huidige markt nog de volgende kritische kanttekening. “Er is natuurlijk sprake van een transitiefase voor leveranciers, resellers en afnemers van diensten. Maar gaat echt alles en iedereen volledig naar de cloud?”
Lifecycle
Voor de diensten die wel op basis van het cloudmodel (pay for use) kunnen worden afgenomen, komt er overigens ook iets heel anders om de hoek kijken. Het wordt door een aantal sprekers vanuit verschillende invalshoeken aangestipt. Wat is de impact van cloud op de lifecycle van producten en diensten? Heijman wijst erop dat alleen daarom al een helikopterview nodig is om periodiek de markt met alle schakels in de keten te kunnen overzien. Dat vertaalt zich, wat hem betreft, ook in een andere manier van met elkaar communiceren en, voortbordurend op de eerder genoemde tendens naar meer en andere vormen van samenwerking, een andere benadering van de markt. Leeflang noemt het ‘een puzzel die we met z’n allen moeten oplossen’.
Constructief
Dat de markt voor een uitdaging staat, is na een lang gesprek, dat in een bijzonder goede sfeer verliep, duidelijk. Dat de aanwezigen inzien dat een andere kijk op communicatie en samenwerking cruciaal is om zowel de impact van de GDPR als van cloud in goede banen te leiden, is een van de uitkomsten van deze ronde tafel. Dat de genoemde partijen zonder voorbehoud, open en constructief aan het gesprek deelnemen, geeft aan dat ze ook bereid zijn uit de eigen comfortzone te komen en intensief van gedachten te wisselen over de echt belangrijke issues die de markt aangaan.
[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2017]