Westcon-Comstor bereidt partnerkanaal voor op de GDPR
Bij de voorbereiding op ons gesprek heeft Wim Lespoix, verantwoordelijk voor Westcon-Comstors securitydivisie in de Benelux, het nog even uitgerekend. Op 28 april 2017 (de dag waarop dit interview werd afgenomen) zijn we nog precies 391 dagen verwijderd van het nieuwe uur U op gebied van dataprivacywetgeving in Europa: de start van de GDPR (General Data Protection Regulation) op 25 mei 2018. Een datum die – als het aan Lespoix ligt – ieder bedrijf moet voorzien van een groot uitroepteken in zijn agenda.
Uit het feit dat Lespoix dat rekensommetje heeft gemaakt, spreekt een zekere urgentie. En die urgentie is er ook, beaamt hij. “Alom wordt ervanuit gegaan dat bedrijven die zich goed willen voorbereiden op die GDPR, moeten rekenen op een implementatieduur van ongeveer een jaar. Bedrijven moeten dus nu de knoop doorhakken over welke oplossingen ze daadwerkelijk gaan implementeren. Het is nog niet te laat, maar dan moet er wel met enige spoed gehandeld worden.”
Westcon-Comstor-events rond de GDPR
“Van onze kant komen er twee nieuwe events aan, puur rondom GDPR”, kondigt Lespoix aan. “Een in België en een in Nederland. Die in Nederland vindt plaats op 7 september.” Als value added IT-distributeur organiseert het bedrijf de events voor zijn partnerkanaal omdat er daar, zo merkt Lespoix telkens weer, nog heel veel vragen leven rondom die nieuwe wetgeving. “Tot voor kort ging het bij security voornamelijk over ransomware, sinds een maand of drie staat de GDPR meer in de belangstelling. Er wordt nu heel veel over gepraat, dus ik denk dat de meeste bedrijven ondertussen wel weten wat de consequenties kunnen zijn indien ze in het kader van de GDPR in gebreke blijven. De boetes kunnen oplopen tot 20 miljoen, óf 4 procent van de jaarlijkse omzet, al naar gelang welk bedrag het grootst is.”
Data is key!
Wat we vandaag zien, zegt Lespoix, is dat door de GDPR ineens de data de sleutelrol opeisen. Het gaat niet meer primair om de beveiliging van het netwerk, de infrastructuur, maar om de beveiliging van de data. Die evolutie van netwerksecurity naar databeveiliging leidt bij vendoren tot de ontwikkeling van een platformbenadering, die in de plaats komt van de vroegere aanpak met ‘point solutions’. Zo’n platform vormt een totaaloplossing, die is opgebouwd uit een hele reeks deelfacetten. “Dat is een weg die door vendoren al enige tijd geleden is ingeslagen”, aldus Lespoix. “Dat zie je ook terugkomen in de overnames en de consolidatie in de markt die daar het gevolg van is.”
Meerwaarde
Als je kijkt naar de stappen die je moet nemen op gebied van de GDPR, zegt Lespoix, dan gaat het in eerste instantie altijd over het in kaart brengen van je data, van je kwetsbare punten, van je processen, zorgen dat je de mensen juist inlicht over hoe je met de data omspringt, en meer van dat soort zaken. Pas veel later in het proces gaat het echt over de oplossing. En in de oplossing huist de meerwaarde van Westcon-Comstor als value added IT-distributeur. “Want iedere vendor redeneert nu eenmaal vanuit de eigen oplossing, waarna ze van daaruit de security er tegenaan plakken. Wat wij op de GDPR-events gaan doen, is precies het omgekeerde. Wij zeggen: hoe ga je om met datasecurity en welke oplossingen heb je daar allemaal voor, om pas daarna te kijken naar welke vendoren daaraan gelinkt zijn. Als distributeur zijn wij dusdanig onafhankelijk dat wij met onze klanten het totaalplaatje in kaart kunnen brengen, los van een vendor. Waarbij we de niche-spelers ook nog in beeld kunnen brengen, want er duiken toch altijd weer gaten in de platformen van de grotere spelers op, zo leert de ervaring.”
Verdere ondersteuning
Gevraagd naar de ondersteuning die Westcon-Comstor zijn partners verder nog te bieden heeft in het kader van de aankomende GDPR-wetgeving, zegt Lespoix: “Wij gaan echt het gesprek aan met onze resellers, om ervoor te zorgen dat ze alle verschillende deeldomeinen goed afdekken. Dat doen we op twee manieren. Enerzijds geven we advies. Daarvoor gaan we langs om met onze klanten in kaart te brengen hoe ze het aanpakken en of ze eventueel nog gaten hebben in hun portfolio die wij kunnen dichten. Verder kijken we naar hoe wordt omgegaan met het vulnerability assessment, en met de impact-analyse mocht zich echt een datalek voordoen. Bij een ernstig datalek hebben bedrijven 72 uur de tijd om dat te melden. Als ze daartoe niet in staat zijn, hebben ze een groot probleem. Daarvoor heb je weer specifieke oplossingen nodig. Wij checken of die aanwezig zijn of niet. Daarom beleggen we sessies met onze klanten, en bekijken we wat er eventueel verder nog mist waarmee we kunnen helpen.”
Westcon-Comstor richt zijn focus ook op trainingen. Iedereen kent ondertussen de technische trainingen van de distributeur, maar die geeft tegenwoordig ook algemene securitytrainingen. Zo verzorgt Westcon-Comstor bijvoorbeeld nu de CIPP/E-training. Dat staat voor Certified Information Privacy Professional, waarbij de E achter de slash staat voor Europa. Dat is een algemene training rond security (een certificatie) die nu ook is aangepast aan de GDPR. Hij wordt met name gevolgd door CISO’s (Chief Information Security Officers) en DPO’s (Data Protection Officers), een nieuwe rol die onder de GDPR bij veel bedrijven verplicht wordt.
De tijd dringt
Ter afronding van het interview wil Lespoix nóg een keer de urgentie onderstrepen om met de GDPR aan de slag te gaan. “De tijd dringt echt. Tegen de tijd dat dit verhaal de lezer bereikt, zitten we al op minder dan een jaar van de GDPR. Wij kunnen onze partners daarbij de nodige ondersteuning bieden via onze eerder genoemde events, maar ook via een afspraak bij de partner. En onze trainingen zijn zowel voor resellers als voor eindklanten toegankelijk. Wij gaan nooit direct naar eindklanten, dat is niet onze rol, maar de enige uitzondering daarop zijn de trainingen aan end users die we voor onze resellers kunnen verzorgen.”
Door: Dick Schievels
