Stor intervju med Veeams field CTO för EMEA

Det är ett stort uppdrag, både i organisatoriskt och geografiskt. Veeams field CTO, Edwin Weijdema, berättar för Techtidningen om uppdraget.

Rollen som field CTO är en kundnära och strategisk sådan. Edwin Weijdema rör sig mellan företag, partnernätverk och produktteam som en översättare mellan teknik och affär, en sorts spindel i nätet för att låna ett klassiskt svenskt uttryck.

– När jag började hade vi tre produkter. Nu har vi över arton, och det växer. Någon måste ut i fältet för att lyssna och förstå vad kunderna verkligen behöver och översätta det till utveckling. Det är ett väldigt spännande arbete, berättar Edwin Weijdema för Techtidningen.

“Människor – process – teknik”

Ett genomgående mantra som Veeam jobbar utefter är den om ordningen människor – process – teknik.

– Människor använder processer som stöttas av teknik och inte tvärtom. Problemen uppstår när man börjar bakifrån. Många köper teknik innan de vet vilket problem de försöker lösa. Det gäller särskilt AI. Jag möter företag varje vecka som säger: ”Styrelsen har bestämt att vi ska ha generativ AI.” Och när jag frågar varför blir det tyst.

Som med så mycket annat handlar framgång inom AI om förberedelse. De företag som lyckas är de som har en plan, en struktur och tydliga sandlådor där experiment får ske utan att riskera verksamheten.

Följden av det blir, enligt Edwin, att pengar försvinner ut ur företaget utan just det man önskar – resultat.

– Runt 90 procent av alla AI-projekt misslyckas i dagsläget. De drivs av hajp, inte av strategi. Vi började tidigt hjälpa kunder att backa upp sina AI-pipelines, från datakälla till algoritm och resultat. Det ger spårbarhet, vilket kommer att bli avgörande när EU:s cybersäkerhetsregler kräver att man kan visa hur ett AI-beslut uppstått.

Så märks förskjutningen i Europa

Det är inte bara AI som förändrar spelplanen. De digitala hoten har även vuxit, både i omfattning och syfte.

– För tio år sedan pratade vi om virus. Sedan kom ransomware. Nu ser vi attacker som handlar om att slå ut verksamheter helt. De vill inte längre bli ditt företag, de vill ta bort det.

I Europa märks förskjutningen tydligt där bland annat kriget i Ukraina har gjort cyberangrepp till ett geopolitiskt vapen. I Afrika, som är en del av Edwin Weijdemas ansvarsområden som field CTO för EMEA, är attackerna oftast mer finansiellt drivna.

– Gemensamt är att organisationer reagerar men ofta för sent. De är reaktiva. För att klara framtiden måste de börja tänka proaktivt och designa för återställning, inte bara för backup. Förr räckte det att kunna ta en backup inom ett dygns med fem procents ändringsgrad. Det fungerar inte längre. När hundra procent av systemen måste kunna återställas samtidigt går allt i baklås och infrastrukturen klarar inte av det trycket.

Nyckeln ligger i dataportabilitet

Edwin kallar det för design for recovery. Det handlar helt enkelt om att bygga för återställning och resiliens redan från början. Oavsett om det handlar om moln, on-prem eller hybridmiljöer.

– Incidentrespons börjar alltid med att förstå vad som hänt, vem som låg bakom och vilket syfte de hade. Först därefter kommer sanering och återställning. Det är en process, inte en panikåtgärd.

En nyckel i det tänket är något som kallas för dataportabilitet. Möjligheten att flytta verksamhetens data och applikationer mellan miljöer när något händer.

– Det är friheten att kunna plocka upp verksamheten och sätta den någon annanstans oavsett om du gör det av kostnadsskäl, geopolitik eller ren krishantering. Vi ser till och med stora företag som flyttar hem drift igen, inte för att de misstror molnet, utan för att de vill ha valfriheten kvar.

Men där många fokuserar på var datan lagras lyfter Edwin en annan fråga. Vem får åtkomst?

– Datasuveränitet handlar inte bara om platsen, utan om strategin. Vem ska ha tillgång och vem ska inte ha det? Det är du som äger datan som är ansvarig, även om den ligger i molnet.

“En av anledningarna till att vi ser ett uppvaknande”

De stora EU-regelverken – GDPR, DORA och snart NIS2– har gjort dessa frågor rentav affärskritiska. Kraven på resiliens och spårbarhet når nu styrelsenivå och ledningen kan hållas personligen ansvarig vid eventuella brister.

– Det är en av anledningarna till att vi ser ett uppvaknande. Böterna är höga och det är inte bara bolaget son kan straffas utan även ledningen.

Hur ser det då ut för företagen där ute med regelefterlevnaden? Skillnaden, säger Edwin, är stor. Organisationer som banker har länge levt med hård tillsyn och de ligger före många andra. Tillverkning och industri är i processen att börja resan mot en starkare regelefterlevnad.

– För att följa detta har vi skapat Veeam Data Resilience Maturity Model (DRMM) i samarbete med McKinsey. Modellen har dessutom vidareutvecklats med insikter från experter på MIT, Palo Alto Networks och Splunk, och bygger på feedback från över 500 företagsledare. Den visar var en organisation befinner sig och vilka steg som ger störst effekt först. Du måste veta var du står för att veta vart du ska.

Om du skulle ge ett tips till organisationer där ute som är i stadiet att jobba mot att bli mer resilienta, vad skulle det vara?

– Många vill ha snabba lösningar men teknik utan strategi är som att bygga hus utan en ritning. Börja med planen, översätt den till processer och välj först därefter rätt teknik för er.

– Om du designar för resiliens, inte för bekvämlighet, då spelar det mindre roll vad som händer. Du kommer resa dig snabbare än alla andra.