Een bestandsserver die op een maandagochtend uitvalt, drie medewerkers die vastzitten op verouderde bedrijfssoftware, een cloudfactuur die zonder uitleg verdubbelt: deze situaties komen voor in de meeste KMO’s die hun IT-omgeving niet hebben gestructureerd. Voordat we het hebben over digitale transformatie of innovatie, moeten we deze concrete irritaties aanpakken. De IT-oplossingen die geschikt zijn voor een bedrijf beginnen niet met een catalogus van technologieën, maar met een diagnose van operationele blokkades.
Cryptografische inventaris: een technisch project dat niemand plant
De meeste inhoud over IT-oplossingen voor bedrijven gaat over cloud, cyberbeveiliging of IT-beheer. Geen enkele behandelt een onderwerp dat steeds zwaarder weegt in architectuurbeslissingen: de voorbereiding op post-kwantumrisico’s.
Aanrader : Veiligheid en voorzorgsmaatregelen tijdens uw reis naar Jordanië
Het NIST en het BSI raden bedrijven aan om een inventaris van hun cryptografische systemen op te stellen. Het doel is om de gegevens te identificeren die langdurige bescherming vereisen (contracten, patenten, medische gegevens) en om de algoritmen te identificeren die kwetsbaar zullen worden wanneer kwantumcomputers voldoende kracht bereiken.
Concreet gaat het om het in kaart brengen van elk SSL-certificaat, elke VPN-tunnel, elk mechanisme voor elektronische handtekeningen dat in het bedrijf wordt gebruikt. De migratie naar post-kwantumcryptografische schema’s zal meerdere jaren duren. Dit inventaris nu beginnen, zelfs op kleine schaal, voorkomt dat men later in een noodsituatie terechtkomt.
Zie ook : Ontdek hoe u het IT-beheer van uw bedrijf met een gerust hart kunt uitbesteden
Dit soort technische projecten maakt deel uit van een bredere reflectie over de infrastructuur. Door gebruik te maken van de IT-oplossingen van Digitale Naïve, kan een bedrijf deze aanpak structureren zonder een intern beveiligingsteam fulltime in te schakelen.
Privacy by design: de AVG integreren vanaf de ontwerpfase van het informatiesysteem
Vaak worden de tools eerst geïnstalleerd, en daarna vraagt men zich af of ze voldoen aan de AVG. Deze aanpak is kostbaar in correcties. De meest recente AVG-richtlijnen benadrukken een eenvoudig principe: integreer de gegevensbescherming vanaf de ontwerpfase, niet pas na de productie.
Impactanalyse vóór de implementatie
De impactanalyse met betrekking tot gegevensbescherming (AIPD) moet plaatsvinden voordat een nieuwe bedrijfssoftware, een CRM of een documentbeheersysteem wordt geïmplementeerd. Het identificeert de risico’s voor de betrokken personen en verplicht tot documentatie van de mitigerende maatregelen.
Voor een KMO betekent dit dat er drie vragen moeten worden gesteld vóór elk IT-project:
- Welke persoonsgegevens zal dit systeem verzamelen, en kan het volume tot het strikt noodzakelijke worden beperkt (minimalisatie)?
- Waar zullen deze gegevens worden opgeslagen, en zijn de overdrachten buiten de EU geregeld door conforme contractuele clausules?
- Wie heeft toegang tot de gegevens, en zijn de toegangsrechten standaard ingesteld op het meest restrictieve niveau?
Wat dit verandert in de keuze van een leverancier
Een IT-leverancier die deze vragen niet vooraf stelt, integreert geen privacy by design. Het criterium voor AVG-conformiteit moet in het bestek worden opgenomen, net als de technische prestaties of de kosten van de licentie.
De meningen hierover verschillen: sommige bedrijven denken dat hun leverancier automatisch de conformiteit beheert, terwijl de juridische verantwoordelijkheid altijd bij de verwerkingsverantwoordelijke blijft.
Confidential computing: gevoelige gegevens verwerken zonder ze bloot te stellen
Regelgevende bedrijven (gezondheidszorg, financiën, publieke sector) delen een gemeenschappelijke beperking: ze verwerken gevoelige gegevens die nooit in platte tekst toegankelijk mogen zijn, zelfs niet tijdens de verwerking. De infrastructuur aanbiedingen integreren steeds vaker beveiligde hardware-enclaves, samengevoegd onder de term “confidential computing”.
Het principe: de gegevens zijn niet alleen in rust en tijdens verzending versleuteld, maar ook tijdens hun gebruik in het geheugen. De processor creëert een geïsoleerd gebied waartoe noch de systeembeheerder, noch de cloudprovider toegang heeft.
Voor een bedrijf dat patiëntendossiers of financiële transacties host, elimineert deze technologie een belangrijke aanvalsvector. Men vertrouwt de leverancier niet meer op zijn woord, maar steunt op een verifieerbare hardware-isolatie.
Wanneer confidential computing relevant wordt
Niet alle bedrijven hebben het nodig. Het wordt relevant wanneer men ten minste twee van deze criteria afvinkt:
- Het informatiesysteem verwerkt gezondheidsgegevens, financiële gegevens of gegevens die zijn geclassificeerd door een sectorale regelgeving
- Het bedrijf gebruikt een publieke cloud en heeft geen fysieke controle over de servers waar zijn gegevens doorheen gaan
- Buitenlandse partners hebben toegang tot gedeelde datasets voor analyse of rapportage, zonder dat men hun omgevingen kan controleren
De instapkosten zijn hoger dan die van een klassieke cloudinfrastructuur, maar de vermindering van het juridische risico rechtvaardigt de investering voor de betrokken sectoren.
Beheer van het informatiesysteem: kiezen tussen standaardsoftware en maatwerk
Vaak worden “kant-en-klare” softwareoplossingen tegenover maatwerkontwikkeling gesteld, alsof de keuze binair is. In de praktijk combineren de meeste bedrijven beide.
Een commercieel ERP dekt de boekhouding, voorraadbeheer, facturatie. Het dekt niet noodzakelijkerwijs een specifiek bedrijfsproces, zoals de traceerbaarheid van een ambachtelijk product of het beheer van complexe planningen in de medisch-sociale sector. In deze gevallen is een maatwerkmodule die is verbonden met de standaard ERP goedkoper dan een volledige ontwikkeling, terwijl het toch aan de werkelijke behoefte voldoet.
De klassieke valkuil: een volledige maatwerksoftware bestellen terwijl een uitgebreide configuratie van de standaardsoftware voldoende zou zijn geweest. Voordat men een ontwikkeling lanceert, is het nuttig om het werkelijke functionele bereik door een onafhankelijke leverancier van de toekomstige ontwikkelaar te laten auditen.
De keuze tussen standaard en maatwerk hangt ook af van het vermogen van het bedrijf om de oplossing op lange termijn te onderhouden. Maatwerksoftware zonder documentatie of onderhoudscontract wordt een operationeel risico zodra de persoon die het heeft ontworpen vertrekt. De vraag naar duurzaamheid weegt even zwaar als die naar functionaliteit.