IT-Realiteit

Hybrid Join is vaak geen strategie. Het is een workaround. Veel organisaties willen naar volledig Entra Joined Windows 11-devices, Intune en passwordless. Maar één hardnekkige blokkade hield ze tegen: legacy on-prem resources die nog steeds Kerberos verwachten. Dus bleef Hybrid Join in leven. Niet omdat het mooi is. Maar omdat fileshares, printers en legacy apps nog niet mee waren. Microsoft Entra Kerberos verandert daar iets fundamenteels in. Cloud-native devices kunnen Kerberos-tickets krijgen voor on-prem resources, zonder dat je devices in twee identity-werelden hoeft te blijven hangen. Dat betekent minder architectuur-compromissen, minder Hybrid Join-afhankelijkheid en eindelijk een realistischer pad naar modern endpointbeheer. De echte vraag is dus niet meer: hebben we Hybrid Join nodig? Maar: houden we het nog in stand omdat legacy dat écht vereist… of omdat we gewend zijn geraakt aan de workaround? #MicrosoftEntra #Kerberos #Windows11 #Identity #ModernWorkplace

Iedereen wil ineens “iets met AI”. Niemand wil de businesscase maken. Want dan komen de ongemakkelijke vragen: Hoeveel extra beheer krijg je erbij? Wie controleert hallucinerende output? Wat kost compliance? Welke processen zijn eigenlijk al kapot vóór je AI toevoegt? En levert het onderaan de streep écht iets op? Veel AI-projecten draaien momenteel op een mix van boardroomdruk, FOMO en LinkedIn-paniek. Alsof je een strategie bouwt op basis van applaus en keynote-slides. De pijnlijke realiteit: een slecht proces wordt niet slim door er AI bovenop te plakken. Het wordt sneller slecht. De organisaties die straks echt winnen met AI zijn waarschijnlijk niet degene die het hardst “AI-first” roepen, maar degene die saai genoeg zijn om eerst de rekensom te maken. Dat leest een stuk minder futuristisch. Wel opvallend goedkoper.

Nederland draait op Amerikaanse tech. Dit is de rekening. Het nieuws dat Microsoft gegevens van Nederlandse ambtenaren heeft gedeeld met Amerikaanse autoriteiten wordt nu behandeld alsof het een incident is. Dat is het niet. Dit is gewoon de realiteit van een overheid die haar digitale fundament grotendeels op buitenlandse technologie heeft gebouwd. We doen in Europa graag alsof data in Europese datacenters automatisch betekent dat we controle hebben. Maar als de juridische sleutel ergens anders ligt, is dat vooral een geruststellende illusie. En daar zit de pijn. Onze overheid, onze werkplekken, onze identiteiten, onze data, onze processen… draaien massaal op Amerikaanse ecosystemen. Niet omdat bestuurders dom zijn, maar omdat die technologie jarenlang beter, sneller en schaalbaarder was dan Europese alternatieven. Dat is de ongemakkelijke waarheid.

AI vindt sneller. Organisaties blijven trager. En dáár zit het echte beveiligingsprobleem. AI vindt kwetsbaarheden sneller dan ooit, maar daar zit niet automatisch de winst. Want een lek dat in minuten wordt ontdekt en pas weken later wordt opgelost, blijft gewoon een open risico. We praten in cybersecurity graag over detectie, slimme tooling en AI, maar het echte probleem zit vaak in de tijd daarna. Niet het vinden van de kwetsbaarheid, maar het dichten ervan blijkt de zwakste schakel. En misschien is dat wel de ongemakkelijke waarheid: we worden steeds beter in zien wat er mis is, terwijl de organisatie erachter nog niet altijd sneller handelt. In mijn nieuwste artikel kijk ik naar het gat tussen ontdekking en remediatie, waarom dat risico groter wordt in een AI-tijdperk en welke oplossingen dat gat kunnen verkleinen zonder nieuwe problemen te creëren. Want security draait uiteindelijk niet om wat je weet, maar om hoe lang je ermee blijft zitten.

Als je haast hebt, ga dan even zitten, misschien is dat het beste AI-advies van dit moment. Iedereen wil agents bouwen. Agents op workflows. Agents op rapportages. Agents die weer andere agents aansturen alsof we collectief hebben besloten om managementlagen opnieuw uit te vinden, maar dan duurder en met tokenkosten. Maar de echte vraag is: Heb je hier überhaupt AI voor nodig? Veel processen zijn niet “te dom”. Ze zijn gewoon slecht georganiseerd. Die Excel-rapportage die elke week stukloopt? Dat los je vaak beter op met normale automation dan met een AI-agent die drie API’s, een vector database en existentiële onzekerheid nodig heeft om een CSV te lezen. Niet elk probleem vraagt om AI. Soms vraagt het om structuur, discipline en een keer eerlijk kijken naar je proces zonder eerst “agentic framework” te roepen op LinkedIn. Minder AI blijkt verrassend vaak beter werk.

Digitale soevereiniteit is ineens hét onderwerp. Minder afhankelijk van Microsoft. Meer controle over onze data. Strategisch volwassen worden. Klinkt goed. Tot je het serieus neemt. Want echte onafhankelijkheid betekent dat je afscheid neemt van wat vandaag gewoon werkt. Dat je accepteert dat productiviteit daalt. Dat je jarenlang bezig bent met iets waarvan je niet zeker weet of het beter wordt. En precies daar haakt iedereen af. De meeste organisaties willen namelijk geen onafhankelijkheid. Ze willen stabiliteit. Voorspelbaarheid. Systemen die het gewoon doen zonder gedoe. Dus blijven we waar we zitten. En noemen we dat “strategie”. In mijn nieuwste artikel trek ik dat verhaal verder uit elkaar. Niet hoe het zou moeten, maar hoe het daadwerkelijk zit.

Cyberrisico’s zitten al in de boardroom. De CISO vaak nog niet. In veel organisaties wordt de CISO nog steeds ergens onder IT geplaatst. Logisch misschien, want security komt uit de techniek. Maar de risico’s waar de CISO voor waarschuwt zijn allang geen IT-problemen meer. Ransomware legt productie stil. Datalekken raken reputatie en juridische aansprakelijkheid. Manipulatie van data kan direct impact hebben op besluitvorming. Dat zijn geen technische incidenten. Dat zijn bedrijfsrisico’s. Toch verwachten we van de CISO dat hij of zij die risico’s bewaakt, terwijl de strategische keuzes vaak elders worden gemaakt. Dan ontstaat een vreemd model: de persoon die het cyberrisico moet duiden zit niet aan de tafel waar het risico wordt geaccepteerd. De echte vraag is daarom niet of de CISO formeel in de board moet zitten. De echte vraag is deze: als cyberrisico’s een strategisch risico zijn, waarom behandelen we de functie die dat risico bewaakt dan nog zo vaak als een IT-rol? #cybersecurity #ciso #governance

Mensen willen altijd iets “slims” zeggen over security. Zero trust. AI. XDR. Buzzword bingo waar je een halve consultancy op kunt laten draaien. Ondertussen ligt de basis nog steeds te rotten. Signing keys die jaren blijven bestaan. Private keys die ergens op een server staan “voor het gemak”. Geen idee wie er toegang toe heeft. Geen rotatie. Geen monitoring. Maar wel doen alsof je security volwassen is omdat je een mooi dashboard hebt. Realiteit: als je je signing keys niet onder controle hebt, is alles wat je daarna bouwt cosmetisch. Dan vertrouwt je hele omgeving op aannames die je niet kunt waarmaken. En het pijnlijke is, dit is geen complex probleem. Het is geen innovatievraagstuk. Het is discipline. Structuur. Gewoon doen wat al twintig jaar bekend is. Maar dat verkoopt niet lekker. Dus schuiven we het voor ons uit en investeren we liever in iets wat wél indruk maakt in een boardroom. Tot het een keer misgaat. En dan blijkt ineens dat je geen securityprobleem had, maar een fundamentprobleem.

Iedereen wilde Kubernetes. Niemand wilde de complexiteit die erbij kwam. Dus bouwden we massaal platformen die alleen nog te begrijpen zijn door specialisten die je óf niet kunt vinden, óf niet kunt betalen. En nu, jaren later, komt het inzicht: misschien hadden we helemaal geen Kubernetes nodig. Misschien wilden we vooral niet achterblijven. De meeste organisaties hebben geen hyperscale-probleem. Ze hebben een focusprobleem. Te veel tijd naar infrastructuur. Te weinig naar waarde leveren. Kubernetes is niet het probleem. De reflex om het overal op te plakken wel. De echte volwassen stap in IT? Niet kiezen wat het krachtigst is. Maar wat het simpelst werkt. Alles daarboven is vaak gewoon technisch ego.

Identity provisioning wordt opnieuw “simpel” genoemd met SCIM 2.0 in Microsoft Entra. Maar in veel organisaties verandert er minder dan de aankondiging doet vermoeden. SCIM 2.0 in Microsoft Entra ID is technisch gezien een nette stap vooruit. Standaard API’s, JSON, betere foutafhandeling, en eindelijk minder afhankelijkheid van maatwerk connectors richting SaaS-platformen zoals Salesforce en ServiceNow. Alleen… dat is de buitenkant. In de praktijk draait identity in veel omgevingen nog steeds om een lokale Active Directory die leidend is, met synchronisatie via Entra Connect richting de cloud. En precies daar ontstaat de spanning die geen enkele SCIM-update oplost. Want SCIM optimaliseert distributie, niet eigenaarschap. Het maakt provisioning consistenter, maar het verandert niets aan de fundamentele vraag: waar ligt de bron van waarheid? HR, AD, of Entra? Zolang dat niet helder is, automatiseer je vooral de verspreiding van inconsistentie. Dat is ook de ongemakkelijke realiteit achter veel “modern IAM”-trajecten. Nieuwe standaarden worden toegevoegd bovenop bestaande structuren, zonder dat de onderliggende architectuur opnieuw wordt bekeken. Het resultaat is vaak geen eenvoud, maar gestandaardiseerde complexiteit. SCIM 2.0 is daarmee geen eindpunt, maar een spiegel. Het laat vooral zien hoe volwassen of hoe versnipperd je identity-landschap eigenlijk is. Wie dit goed wil inzetten, moet minder kijken naar wat de technologie kan, en meer naar wat de architectuur toelaat.

Een coquille is het perfecte bewijs dat mensen graag doen alsof eenvoud simpel is. Even bakken, beetje saus, klaar. Tot je het zelf probeert en je ineens begrijpt dat je met seconden speelt, niet met minuten. Te nat, te koud, te lang, en het hele idee van “even snel” verandert in iets dat beter niet op tafel had kunnen komen. IT-beheer werkt precies zo. Alleen doen we daar alsof complexiteit verdwijnt zodra je het netjes opschrijft in een document of in een tool stopt. In werkelijkheid verschuif je alleen de foutmarges. Je maakt ze niet kleiner. Een stabiele omgeving is geen toeval en ook geen mooie demo. Het is het resultaat van controle over details die niemand ziet, en discipline op momenten waarop niemand kijkt. Niet omdat het ingewikkeld moet zijn, maar omdat realiteit zich niet laat imponeren door goede bedoelingen. De coquille liegt niet. IT ook niet. Alleen in IT doen we soms alsof het anders is, tot het systeem dat even corrigeert.

Van harde schil naar paranoïde systeem. Mensen zijn gek op het idee dat hun datacenter “goed beveiligd” is. Totdat je één vraag stelt: Vertrouw jij alles wat al binnen is? De meeste organisaties doen dat namelijk nog steeds. Sterke firewalls, nette perimeter, en daarachter… impliciet vertrouwen. Systemen die met elkaar praten omdat ze “op hetzelfde netwerk zitten”. Dat model werkt prima. Tot het moment dat iemand binnenkomt. En dat moment komt er altijd. Niet omdat je slecht bent, maar omdat het speelveld veranderd is. Cloud, remote work, koppelingen met alles en iedereen. De grens tussen binnen en buiten bestaat praktisch niet meer. Zero Trust probeert dat probleem op te lossen door iets ongemakkelijks te zeggen: vertrouwen is geen uitgangspunt meer, maar iets wat je continu moet afdwingen. Klinkt logisch. Is het ook. Tot je het probeert te implementeren. Want dan loop je tegen de realiteit aan: legacy systemen, onduidelijke datastromen, te brede rechten, en teams die langs elkaar heen werken. Ineens wordt zichtbaar hoe “netjes” je omgeving echt is ingericht. In mijn artikel ga ik hier dieper op in: waar het traditionele model faalt, wat Zero Trust wél oplost, waar het stukloopt in de praktijk en waar je echt scherp op moet zijn als je hier serieus mee aan de slag gaat. Geen hype. Geen tool-praat. Gewoon hoe het zit.

VMware is geen standaard meer. En dat is misschien wel het beste wat ons kon overkomen. VMware was jarenlang geen keuze. Het was de standaard. Tot Broadcom langskwam en de rekening veranderde. En ineens gebeurde er iets wat in IT zelden gebeurt: We moesten weer nadenken. Niet over features. Niet over performance. Maar over de simpele vraag die we jarenlang vermeden: Waarom eigenlijk VMware? Microsoft Hyper-V was er al. Proxmox VE ook. Alleen keken we niet. Want standaard is comfortabel. Tot het dat niet meer is. Wat ik nu zie: Organisaties die ontdekken dat hun “strategie” vooral bestond uit herhalen wat ze al deden. En dat schuurt. Misschien is dat wel het echte effect van deze verandering: Niet dat VMware slechter is geworden, maar dat gedachteloos kiezen moeilijker is geworden. En eerlijk? Dat werd tijd. De vraag is dus niet meer: “Welke hypervisor kiezen we?” Maar: “Snappen we onze eigen architectuur eigenlijk wel?” Dat gesprek is een stuk interessanter. En een stuk ongemakkelijker.

De factuur die niemand ziet: hoe uitstelgedrag rond legacy software geld verbrandt Bedrijven die “kosten besparen” door upgrades uit te stellen, hebben niet gekozen voor efficiency. Ze hebben gekozen voor een openstaande rekening zonder einddatum. Geen roadmap, geen risicobeheersing, alleen gewenning aan frictie en technische schuld die elke maand duurder wordt. Als je binnen de organisatie moet bidden dat niemand een update installeert omdat het kaartenhuis anders omvalt, ben je niet lean bezig. Je bestuurt op hoop. En hoop is geen strategie.

Een phishingmail per jaar? Dan ben je nog steeds kwetsbaar Je weet hoe organisaties met phishing omgaan? Ongeveer zoals mensen met goede voornemens in januari. Eén keer serieus doen en daarna weer terug naar het oude gedrag. Hier komt de realiteit. Veel organisaties sturen één keer per jaar een phishingmail rond. Daarna verschijnt er een rapportje: 8% klikte op de link. Iedereen knikt ernstig. Er komt een awareness-training van twintig minuten. Audit tevreden. Management tevreden. Security “geregeld”. Alleen werkt de echte wereld niet zo. Aanvallers sturen geen phishingmail één keer per jaar. Ze doen het elke dag. Phishing is geen compliance-oefening. Het is een gedragsprobleem. En gedrag verander je niet met een jaarlijkse test. Net zoals je geen betere chauffeur wordt door één rijles per jaar te nemen. Wat wél werkt? Continue phishingcampagnes. Regelmatig testen. Direct feedback. Medewerkers laten leren van echte situaties. Niet één moment van controle, maar een doorlopend leerproces. En dan gebeurt er iets interessants. Medewerkers stoppen met “de test halen” en beginnen daadwerkelijk verdachte mails te herkennen en te melden. Security verschuift van een PowerPoint naar gedrag. De ironie is bijna pijnlijk. Organisaties investeren miljoenen in securitytools, maar verwachten dat de menselijke laag beter wordt van één phishingmail per jaar. Dat is geen securitystrategie. Dat is een vinkje voor de audit.

De cloud heeft security niet eenvoudiger gemaakt. We zijn alleen collectief gaan doen alsof dat zo is. “Secure by default.” “Fully managed.” “Zero trust ready.” Klinkt geruststellend. Totdat je een datalek analyseert en ontdekt dat het geen hack was, maar gewoon een configuratiefout. Of een permissie die nét iets te ruim stond. Of een verantwoordelijkheid die ergens tussen teams is verdampt. De waarheid? We hebben complexiteit niet opgelost. We hebben het verstopt achter abstracties en dashboards. En ondertussen verwachten we dat securityteams sneller, beter en met minder mensen controle houden over een omgeving die elke dag verandert. De cloud is geen shortcut naar betere security. Het is een versneller van alles wat je al (niet) onder controle had. Dus de echte vraag is niet: “Hoe veilig is onze cloud?” Maar: begrijpen we eigenlijk nog wel hoe onze omgeving in elkaar zit?

Compliance is geen beveiliging. Het is administratie. We zijn in security een industrie geworden die vooral zichzelf geruststelt. We meten of processen gevolgd worden, of controls zijn vastgelegd, of het risicoregister netjes is bijgewerkt. En als de audit goed gaat, ademen we opgelucht uit. Maar een organisatie kan volledig compliant zijn en tegelijk fundamenteel kwetsbaar. Een jaarlijkse pentest, een ISO-certificaat, een dikke governance-structuur: het zegt weinig als de onderliggende architectuur te complex is om nog echt te begrijpen. Elke nieuwe koppeling, elke uitzondering, elke snelle workaround vergroot het risico. En dat lossen we niet op met nóg een control. De ongemakkelijke vraag is niet: “Zijn we compliant?” De echte vraag is: “Begrijpen we ons eigen IT-landschap nog?” Zolang security vooral achteraf controleert in plaats van vooraf ontwerpt, blijven we pleisters plakken op structurele keuzes. Dat is geen weerbaarheid. Dat is schijnzekerheid. Misschien moeten we stoppen met het vieren van vinkjes. En beginnen met het reduceren van complexiteit.