Kavitha Mariappan, Zscaler: ‘Elk bedrijf zal security disruptief moeten aanpassen’
De vele en diverse digitale uitdagingen waarmee het C-level te maken krijgt, stonden eind maart centraal tijdens de Amsterdamse CxO Exchange van cloud-security aanbieder Zscaler. CIO’s, CISO’s en CTO’s wisselden kennis en ervaringen uit over deze uitdagingen en hoe ze op te pakken. Eén van de sprekers op het evenement was Kavitha Mariappan, Executive VP Customer Experience & Transformation en lid van het executive leadership-team. Haar viel op dat Europese organisaties vaak volwassener zijn op het gebied van cybersecurity dan hun Noord-Amerikaanse branchegenoten. “Europa loopt ver voor op het gebied van IT en security. Maar ook zij zullen hun beveiliging disruptief moeten aanpassen om veilig te blijven in een evoluerend dreigingslandschap.”
Kavitha Mariappan, Zscaler, tijdens de CxO Exchange.
Wat voor vreselijke zaken corona ook met zich meebracht: de pandemie bracht ook een revolutie teweeg in hoe mensen werken en waarop ze met elkaar verbonden zijn. Thuis, of in ieder geval niet op kantoor werken, is doodnormaal geworden. “Dat heeft gezorgd voor een mondiale cultuurverandering in het bedrijfsleven”, stelt Mariappan. “Eerst moest iedereen zo snel mogelijk thuis kunnen werken en met elkaar verbonden worden. Inmiddels staat beveiliging hoog op de agenda.”
Een belangrijke basis voor deze veiligheid is het fenomeen zero trust: vertrouw nooit, verifieer altijd. Dat is waar Zscaler haar zero trust-platform en andere diensten omheen gebouwd heeft. Het was ook een belangrijk onderwerp tijdens de CxO Exchange. Bijvoorbeeld de benodigde architectuur waarop zero trust op gebouwd moet worden, en de impact daarvan op de business – maar ook andersom.
“Zero trust is niet iets dat je in een winkel koopt, het is een nieuwe beveiligingsaanpak waarbij je geen enkele verbinding vertrouwt voordat deze is geverifieerd”, benadrukt Mariappan. “Het is een raamwerk waarin Zscaler en ons ecosysteem van partners een belangrijke rol spelen. De Zero Trust Exchange kan naadloos worden geïntegreerd via API’s om alle datastromen van gebruikers, apparaten en workloads te verifiëren. Reden ook waarom we onze roadmap delen met belangrijke channel- en technische partners: op gebieden als cyber- en databescherming, risicomitigatie, connectiviteit, maar ook de logistieke keten en de zich ontwikkelende rollen van de CIO en CISO.”
Dezelfde uitdagingen, ambities
Tijdens het CxO-evenement bleek eens te meer dat, waar men zich ook in de wereld bevindt, iedereen in de basis dezelfde uitdagingen en ambities heeft. Iedereen is op een digitale transformatie-reis, in dit geval de modernisatie van hun IT. Wat gaat er naar de cloud, welke applicaties worden SaaS-diensten en in welk tempo gebeurt dit? Wat betekent het voor vernieuwing van je netwerkinfrastructuur als je applicaties on prem, in de public cloud, als SaaS-dienst hebt?
Mariappan: “Een nieuwe netwerkinfrastructuur betekent ook anders omgaan met je security. Als mensen veel minder op kantoor zitten, wat moet je dan beschermen? Mensen werken vanaf boorplatforms, luchthavens, onderweg, thuis én op kantoor, met mobieltjes, laptops, tablets, desktops, thin clients. Het aantal IoT-devices en sensors groeit explosief. En dan moet je er ook nog rekening mee houden dat de cybercrimineel steeds slimmer wordt en steeds verder innoveert.”
Dezelfde overeenkomsten zie je volgens de EVP Customer Experience & Transformation terugkomen als het gaat om (de omgang met) data. “Data is koning. Als je medewerkers overal werken, heb je ook overal via allerlei devices gegenereerde data rondstromen en opgeslagen. Dat levert weer vragen op zoals: hoe bescherm je die data het meest effectief? Wie heeft er toegang tot? Hoe kun je hun identiteit verifiëren?”
Meer volwassenheid
Er waren echter ook duidelijke verschillen, zo bleek tijdens de CxO Exchange. Mariappan stelt bijvoorbeeld dat Europese organisaties vaak blijk geven van meer volwassenheid op het gebied van cybersecurity dan hun Noord-Amerikaanse branchegenoten. Deels heeft dat mogelijk te maken met het feit dat er al veel lang bestaande, goed gereguleerde sectoren zijn. Dat zorgt ervoor dat ook regulering vaak verder is. Denk aan DORA voor de financiële sector, of NIS2 voor een grote groep organisaties in nationale kritieke infrastructuur.
“Het is niet alsof we dit niet hebben in de VS, maar het geeft Europa een duidelijke voorsprong in zaken zoals privacy of governance. Zscaler heeft hier goed op ingespeeld. Vaak investeren bedrijven eerst in de VS en kijken dan naar Europa. Maar onze CEO stelde vanaf het begin: voor elke dollar die we in de VS investeren, investeren we een gelijk bedrag in onze Europese activiteiten. Daarom behoren veel Europese multinationals tot onze eerste klanten. Hun voorsprong maakt dat wij extra stappen moesten én moeten zetten om te innoveren in zero trust security.”
Dat betekent niet dat Europese organisaties er al zijn, haast Mariappan zich te zeggen. Ook zij zullen continu hun security moeten aanpassen aan nieuwe werkprocessen, nieuwe manieren van werken, meer en striktere regulering en innovatie cybercriminelen. “Traditioneel werd security bovenop IT ‘getimmerd’, met beperking van de IT-ervaring als gevolg. Daarom hebben wij vanaf het begin onze platform en de diensten eromheen ontworpen en doorontwikkeld met de grondgedachte dat goede security nooit een slechte gebruikerservaring mag betekenen.”
Mooie use cases
De Amsterdamse CxO Exchange kende volgens Mariappan mooie use cases uit onder meer de automotive sector. Hoe zij bijvoorbeeld op basis van grote IoT-datasets en steeds specifieker kunnen bepalen wat de belasting is voor banden in een specifieke geografische regio of een specifieke ondergrond; hoe zij het gedrag van automobilisten gebruiken om hun voertuigen te verbeteren en om zelfrijdende en bestuurderloze voertuigen te ontwikkelen; hoe zij voorkomen dat ze hiervoor enorme datacenters moeten bouwen die een negatieve impact hebben op het milieu.
AI maakt deze disruptie extra spannend, bleek ook uit diverse use cases. Om het gebruik van AI door cybercriminelen tegen te gaan, moeten IT- en beveiligingsleiders de technologie benutten om het vermogen van een organisatie om aanvallen te detecteren en te beperken te vergroten. Een grote gemene deler is volgens Mariappan het belang om technische en gedragsmatige vangrails te installeren: laat mensen creatief experimenteren met ChatGPT, maar niet op zo’n manier dat er informatie uitlekt die het bedrijf niet mag verlaten.
“Zelf zetten we AI-technologie al heel lang in om onze Zero Trust Exchange door te ontwikkelen. Daarmee kunnen we proactief risico’s vinden en mitigeren, bij een onverhoopte data-inbreuk voorkomen dat malware zich lateraal door een netwerk verspreid. Of proberen met voorspellende modellen zo’n potentiële inbreuk vroegtijdig te herkennen en zo misschien voorkomen. Er lopen zo’n 400 miljard transacties per dag via ons Zero Trust Exchange-platform. Vergelijk dat met zo’n 10 miljard per dag via Google Search. Dat is een grote hoeveelheid data, telemetrie die we kunnen inzetten op allerlei manieren. Voor preventie, maar ook detectie.”
Datasoevereiniteit
Datasoevereiniteit is ook een belangrijke ontwikkeling. Zscaler heeft zo’n 150 datacentra wereldwijd. Dat maakt het mogelijk om voor elke regio lokale en regionale datastromen mogelijk te maken voor data die via haar Zero Trust Exchange loopt.
“Want als je in Amsterdam werkt en gegevens opvraagt in Frankfurt, waarom moet dat via een datacentrum in Londen lopen? Zo kunnen wij datasoevereiniteit én data residency bieden en kunnen wij onze klanten helpen om grip te houden op waar hun data heen gaat. We hadden de footprint al, nu gebruiken we die om lokale data residency en soevereiniteit te bevorderen.”
Samenwerking
Natuurlijk kan ook Zscaler niet alles alleen. Reden om steeds vaker te kiezen voor een ‘close design-partnership’. “Daarbij gaat het erom dat niet alleen Zscaler, of partners uit ons ecosysteem, bij een klant langskomen en zeggen: ‘dit is wat je nodig hebt en dit is wat wij hiervoor hebben’. Nee, dit gaat steeds meer en in een steeds vroeger stadium in samenspraak met klanten. En daarbij zijn evenementen zoals ons CxO-event in Amsterdam ook heel belangrijk. We hebben hier heel veel nieuwe use cases uit veel verticals meegekregen: lokaal, regionaal. Op basis daarvan kunnen we samen met eindklanten architectuur ontwerpen en samen innoveren.”
Tot slot is het belangrijk om security te zien als een integraal onderdeel van de hele organisatie, niet als een groepje IT’ers dat ergens op een kantoor hun werk doet, stelt Marriapan. De hele business moet betrokken zijn.
“Dat is ook een must omdat we te maken krijgen met een groeiend tekort aan IT- en security-talent. Bedrijfsleven, overheid en samenleving moeten hierin investeren voor de lange termijn. Mondiaal, maar ook lokaal. Los daarvan is het nodig voor organisaties om te investeren in meer van dat talent, om non-IT medewerkers die affiniteit voor security hebben, hiervoor in te zetten. En daar moet je ook diversiteit in promoten, wil je de talentpool groot genoeg maken voor de groeiende vraag. Want de cybercriminelen gaan echt niet achterover leunen. Ik zie dit niet alleen als een uitdaging, maar ook als een kans.”
De volgende gelegenheid om de kracht van Zero Trust en AI te ervaren, is de jaarlijkse cloudconferentie Zenith Live, gehouden in Den Haag van 17 tot 20 juni.