Opinie: Intranet moet uit de gouden kooi
De manier waarop interne netwerken en intranetten worden ingericht, is achterhaald, net als het intern hosten van onze servers.
Een VPN-toegang beveiligen met een smartcard reader is meestal ‘overkill’. Maar dit is wel de huidige stand van zaken. Het wordt hoog tijd dat we onder de tirannie van de eigen ICT-afdeling uitkomen! Het is tijd voor nieuwe architecturen voor ‘interne’ ICT.
Op Wikipedia wordt een intranet als volgt omschreven: "Een intranet is een privaat netwerk binnen een organisatie. Het kan bestaan uit verschillende aan elkaar gekoppelde LAN‘s. Voor de gebruiker is het net een private versie van internet.
Wat mij betreft is deze definitie wat karig en kan hier het volgende aan worden toegevoegd: “Het intranet bestaat uit een privaat netwerk waar geauthenticeerde gebruikers toegang krijgen tot mappen (directories) en applicaties.”
Je kan je inmiddels afvragen, waarom is het intranet een netwerk van netwerken? Waarom hebben we dat afgeschermde fysieke netwerk? Het komt voor ICT-afdelingen allemaal neer op beveiliging.
Maar als wij een man op de maan kunnen krijgen, deeltjesversnellers kunnen bouwen en met onbemande vliegtuigen Taliban-leiders weten uit te schakelen, is het dan zo moeilijk om onze applicaties voldoende te beveiligen en ze uit de gouden kooi te trekken? Nee, dat is het niet. Sterker nog, de middelen hiervoor liggen binnen handbereik.
Wat we nodig hebben is een netwerk, authenticatiemechanismen en toepassingen voor intranet. Het netwerk hebben we gelukkig al – internet.
Authenticatie
Wat authenticatiemechanismen betreft, hebben we een centrale bron nodig voor authenticatie. “Wie ben jij?” is de vraag die wordt gesteld. In het traditionele intranet gebruiken we daarvoor meestal een LDAP-server of Active Directory-server (ADS). Een gebruiker die zich aanmeldt op het netwerk en bij bepaalde bronnen (applicaties, bestanden & mappen) wil, moet een gebruikersnaam en wachtwoord opgeven die worden geverifieerd bij de LDAP server of in het ADS.
Op het internet is OpenID een van de belangrijkste authenticatiemechanismen. OpenID is een gedecentraliseerd Single-Sign-On (SSO) authenticatiemechanisme. Er zijn veel aanbieders van OpenID, waaronder grote namen als Google (Apps), BBC, Microsoft en AOL. Het is ook mogelijk om als bedrijf zelf voor je medewerkers een OpenID-server in te richten, net als je intern zou doen met een LDAP/ADS.
Toepassingen
Dan is er nog het punt van welke toepassingen je op intranet gebruik wil kunnen maken.
Op een intranet vinden we standaard de volgende webapplicaties:
- Smoelenboek
- Mededelingen / Nieuws
- Agenda
- Kennisbank / Knowledge base
- Urenregistratie applicatie
- Projectmanagement software
- En specialistische (maatwerk) applicaties
Internet
Op het internet zijn er voor de meeste van deze webapplicaties prima vervangers beschikbaar.
- Voor het smoelenboek zou men een sociaal netwerk kunnen inzetten – gebruikmakend van OpenID.
- De intranetportal zelf kan vervangen worden door een portal die ergens op het internet aangeboden wordt – misschien SocialText, Confluence, Google Apps of een andere.
- Voor de mededelingen kan men het sociaal netwerk gebruiken, of de geïntegreerde chatfunctie in het sociaal netwerk of de portal.
- De agenda en mailfunctionaliteit kan in zijn geheel worden uitbesteed aan Google Apps, Zoho. Zoho kan zelfs veel meer bedrijfsfuncties overnemen.
- Voor de kennisbank/knowlegdebase zijn er verschillende Wiki-opties. We weten inmiddels dat een Wiki een uitstekend platform is voor kennisdeling.
- Online zijn ook verschillende urenregistratie- en projectmanagementtools te vinden.
Al deze applicaties maken gebruik van OpenID voor authenticatie en op basis van OAuth kan verdere informatie-uitwisseling worden geregeld. Alle communicatie kan plaatsvinden over beveiligde verbindingen (SSL). De specialistische maatwerkapplicaties moeten geschikt worden gemaakt voor OpenID en idealiter gehost worden op basis van Cloud computing.
Minder controle
Het nadeel van deze aanpak is dat we geen complete controle meer hebben over elke applicatielaag, elke interface en elke server. Ook kunnen we niet iedere toepassing honderd procent aanpassen aan de wensen die we hebben bedacht.
?Wat ook als een nadeel ervaren kan worden, is dat gebruikers van vijf verschillende sites gebruik moeten maken om toegang te krijgen tot de toepassingen die ze nodig hebben, waar het in een traditioneel intranet allemaal op dezelfde omgeving staat. Wat mensen zich dan niet realiseren, is dat het traditionele intranet ook bestaat uit verschillende bedrijfsapplicaties die vaak via diverse links op de hoofdportaal worden ontsloten. Hetzelfde kan men realiseren buiten de gesloten hekken van het traditionele intranet.
Voordelen
De voordelen van deze ‘Enterprise 2.0’-aanpak (of is dit al 3.0?) wegen zwaarder wat mij betreft.
De kosten zijn lager en de besparingen hoger, terwijl tegelijkertijd een hogere efficiency wordt behaald. Er is minder stroomverbruik en de licentiekosten gaan omlaag. Daarnaast besteedt de ICT-afdeling minder tijd aan het oplossen van problemen in verouderde software op trage hardware. De down time wordt aanzienlijk lager.
Ook het milieuaspect is een belangrijke factor. Doordat de toepassingen worden gehost op omgevingen waar veel bedrijven gebruik van maken, worden de omgevingen veel beter en efficiënter gebruikt dan de servers die in je eigen serverruimte staan. Dit leidt zelfs tot een CO2-reductie.
Het positieve effect op de tevredenheid van de werknemers wordt bereikt doordat ze werken met hedendaagse technologieën. Alleen al het gebruik van ‘social networking’ voegt veel toe aan de sociale cohesie binnen de organisatie. De meeste grote publieke webapplicaties bieden daarnaast uitstekende mobiele ondersteuning, zodat medewerkers vanaf bijna elke telefoon toegang kunnen krijgen tot de bedrijfsapplicaties. Ze zijn gemaakt op basis van open standaarden en protocollen en werken over het algemeen goed samen.
Nieuwe benadering
Wat we nodig hebben zijn goede architecturen om deze intranetten te ondersteunen, securityprotocollen die geschikt zijn voor deze architectuur en vooral de wíl om oude barrières anders te benaderen.
Organisaties missen op dit moment de efficiency van internetapplicaties. Ze kunnen veel voordeel behalen door de briljante online oplossingen, die voor globale uitdagingen worden bedacht, aan te grijpen voor gebruik door (en niet binnen) hun eigen organisatie. Denk aan technologieën als wiki’s, ‘instant messaging’ en sociale netwerken. Of complete producten als Zoho en Google Apps. En we moeten hier nog veel meer oplossingen voor krijgen. Mijns inziens een logische volgende stap.
De grootste barrière voor organisaties blijft beveiliging. In sommige gevallen ook terecht, maar in het merendeel van de organisaties zijn de maatregelen van de ICT-afdeling te ver doorgeschoten. Laten we de risico’s opnieuw afwegen en komen tot betere, mooiere, goedkopere en vooral milieuvriendelijker oplossingen.
* auteur: Hans Eilers, Senior Consultant bij theFactor.e
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
6 Reacties
Jef Martens
Het idee is mooi. Maar op het moment dat je het grote web op gaat moet je personeel daar ook letterlijk klaar voor zijn. Voor de gemiddelde zakelijke gebruiker is de informatie die gezocht wordt niet belangrijk genoeg om eenmalig af te tappen. Dit kan dan ook zeker gebruikt worden in een, zoals jij noemt, web 2.0 omgeving. Qua veiligheid noem je slechts een paar zaken, en voornamelijk protocollen. Vooral bij veiligheid is het belangrijk om de bron van het meeste kwaad te noemen bij het naampje: de gebruiker zelf. Niet voor niets heeft de overheid met Postbus 51 een duit in het zakje gedaan om Nederlanders te proberen op te leiden over het gebruik van het internet.Is er binnen uw organisatie een duidelijke policy over: – Gebruik en delen van wachtwoorden, inclusief opschrijven op een post-it geplakt onder het beeldscherm- USB sticks, of andere verwijderbare, tijdelijke media- Installeren van programma's op de bedrijfscomputersEn zo kan ik nog wel even doorgaan. Het idee van het niet meer (willen) beheren intern is aardig, maar daarmee gaat ook de focus van expertise de deur uit. Mijn advies: hou een bedrijfsnetwerk gesloten. Sterker nog: haal de netwerkstekker uit de computers die ECHT belangrijke data bevatten. Maak een kopie van deze computers, maar hou de data vrij recent, zodat niet de gehele geschiedenis op straat ligt als het mis gaat. Backup vanaf de offline computer met fysieke media (DVD's / CD's) en geen usb sticks. Bewaar de media in een kluis.
Bert Beukema
Mooie 2009 strategie voor de definitie van een intranet uit 1999.
Mark Karsch
Na 5 jaar voor verschillende hosting provider's te hebben gewerkt en fanatiek aan cold calling te hebben gedaan heb ik geleerd dat de discussie minder om techniek draait en meer om gevoel. Als je kijkt naar de voornaamste argumenten wanneer je praat met directeur eigenaren dan blijkt IT nog steeds een ver van zijn bed show gecombineert met het blinde vertrouwen in zijn IT mensen. De IT mensen willen vaak uit de buurt blijven van websites, maar wanneer het om de interne automatisering gaat wordt er sterk geleunt op traditie en bescherming van de eigen FTE's . De enige juiste manier om binnen een dergelijke keten succesvol te zijn is jezelf aanvullend / ondersteunend te maken en op die manier de relatie te laten groeien. Dienstverlening zoals cloud computing (resources any time, any where, any how ) biedt hiervoor een ideaal proces mits de hosting providers ook hun aanbiedingsproces en hun support proces (ISO, BS7799, etc. etc. ) en dergelijke hierop inrichten. Vaak maken IT bedrijven de vergissing door primair naar techniek te kijken bij externe leveranciers, maar belangrijker dan dat zijn de support processen, klant ervaringen en de technici. Vaak vertelt 1 gesprek met de techneut op de vloer meer dan een met 100 verkopers.
HisKindomComes
Active Directory Server is LDAP, maar dan van MicroSoft. Dus waarom dit dan apart vermeld wordt weet ik niet. Als consultant hoor je dit te weten, dus haalt het eigenlijk de autoriteit van het artikel naar beneden.
lex Slaghuis
Goed artikel. Enkele punten:Naast security gaat het ook om compliancy. Leg maar eens uit aan je baas dat de Amerikaanse overheid toegang tot bedrijfsgevoelige content heeft middels de patriot act en de toegang die ze hebben tot alle informatie opgeslagen op 'US'-soil. SAAS oplossingen zijn prima, maar dan zullen ze wel vanuit Europa aangeboden dienen te worden. Amazon voelt dit trouwens prima aan met de keuze om de EC2 en S3 vanuit Europa te hosten. Of de oplossing in-house of extern draait is vervolgens niet meer relevant. Security, authenticatie, backups, monitoring en beheer kunnen in beiden varianten net zo goed ondersteund worden middels VPN, LDAP, IPsec, enz. Een kwestie van de firewall precies aanpassen voor de verschillende infrastructurele componenten die nodig zijn. Dit kost extra tijd, maar heeft dan geen business implicaties. Bij wikiwise worden hierdoor de meeste oplossingen on-site geleverd. Het bespaart simpelweg een hoop werk voor de systeembeheers. Als laatste: Wiki's en portals worden nog wel eens door elkaar gehaald. Confluence is een wiki , net zoals Mindtouch Enterprise (voormalig Dekiwiki). Beide kunnen ingezet worden als portals, maar ook als collaboratieve systemen en knowledge bases. Om de verwarring nog groter te maken: in deze kringen wordt ook nog eens corporate social networking genoemd als term.
Hans Eilers
@HisKindomComes Ik ga er van uit dat niet iedereen die dit artikel leest dat weet, dus breng ik die onderscheid aan om de boodschap van dit artikel over te brengen 😉 Wat vind je van die boodschap?