IT-thema's die hoog op de agenda van de CIO staan

04 februari 2020 Consultancy.nl

Ook in 2020 staat digitalisering weer volop in de schijnwerpers. Marnix Pilon, Kevin Hermes en Dennis Wustefeld – allen consultants bij Improven – vertellen over de IT-thema’s die dit jaar hoog op de agenda’s van CIO’s en IT-managers staan. Hét sleutelwoord voor 2020 is databeveiliging.

Welke onderwerpen stonden de afgelopen jaren hoog op de actielijstjes van IT-beslissers?

“Het merendeel van de Nederlandse organisaties ziet cybercriminaliteit en de bescherming van kritische bedrijfsinformatie al langere tijd als belangrijkste bedrijfsrisico’s”, zegt Wustefeld. “Daarna komen risico’s die samenhangen met veranderende wet- en regelgeving en met de groeiende economische onzekerheid. De veiligheid van informatie blijft ook in 2020 aandachtspunt nummer één.”

Hoe komt het dat de inspanningen van de afgelopen jaren niet hebben geleid tot een vermindering van digitale risico’s?

Pilon: “Dat komt onder andere door de snelheid waarmee het werken via de cloud afgelopen jaren is gegroeid. Dat het zo snel zou gaan, kon niemand voorzien. Jonge medewerkers versterken deze trend. Zij zijn, ook in hun privéleven, zo gewend aan locatieonafhankelijk werken. Het nieuwe digitaal werken is veelal onder grote tijdsdruk geïmplementeerd om vooral niet achter te raken. Terwijl veel organisaties hun IT-strategie en IT-beleid nog niet op deze ontwikkeling hebben geactualiseerd.”

Marnix Pilon, Kevin Hermes en Dennis Wustefeld

Hebben jullie een voorbeeld van deze groeiende onbalans tussen innovatie en IT-strategie en beleid?

Hermes: “De vlucht die Google Drive, Dropbox en Gmail hebben genomen, zijn daarvan een goed voorbeeld. Het is gemakkelijk om zakelijke accounts te koppelen aan deze apps en hiermee altijd en overal bij je documenten en mails te kunnen. Dat deze informatie dan veelal onder Amerikaans recht en buiten de Europese wetgeving (AVG) valt, beseffen organisaties nog onvoldoende.” 

“Een tweede voorbeeld is het bring-your-own-device-principe dat binnen steeds meer organisaties aan populariteit wint. Er is een wildgroei aan formeel niet goedgekeurde IT-middelen, ofwel ‘shadow-IT’. Zo wordt het niet-zakelijke Whatsapp gebruikt regelmatig gebruikt voor werkgerelateerde activiteiten. Terwijl deze app niet het gewenste beveiligingsniveau van de zakelijke omgeving kent. Helaas geldt bij snelle innovatie vaak: een groter gebruiksgemak, maar ook een groter beveiligingsrisico.” 

Maar waarom zijn dit soort kwetsbaarheden dan zo risicovol?

“Het gaat bij veel organisaties allang niet meer om een set klantgegevens die per abuis bij een printer blijven liggen of een memory stick die iemand in de auto of trein heeft laten liggen”, zegt Wustefeld. “Informatie kan tegenwoordig zo makkelijk en zo snel worden uitgewisseld dat ook de incidenten steeds omvangrijker en schadelijker voor de organisatie zelf worden. Het afpersen van organisaties met eigen gestolen informatie is voor criminelen een businessmodel geworden. Grote datalekken zijn helaas aan de orde van de dag en vaak ook groot nieuws. Het kan zelfs tot de ondergang van een organisatie leiden.” 

Wat betekent dit voor bedrijven?

Hermes: “Dit adequaat voorkomen vraagt echt veranderingen in de kern van organisaties. Organisatie hebben vaak wel een algemene bedrijfsstrategie, maar men verzuimt aansluitend een afgeleide IT-strategie en passend IT-beleid te formuleren. Terwijl innovatie sneller dan ooit verloopt en IT-beslissingen steeds vaker decentraal worden genomen. Zonder IT-strategie geen richting en zonder IT-beleid geen spelregels om elkaar aan te houden. Hoe kunnen we IT zo slim en efficiënt mogelijk inzetten om onze strategie te realiseren? En wat vinden wij eigenlijk van de belangrijkste IT-aspecten? De meeste organisaties zijn zich hier onvoldoende van bewust.” 

Waarom zijn deze risico’s groter bij middelgrote organisaties dan bij corporate organisaties en kleinere mkb-ondernemingen?

Pilon: “Kleine bedrijven beschikken simpelweg niet over grote volumes kwetsbare informatie. Terwijl de echt grote corporate organisaties vaak professionals in dienst hebben, of inhuren, om ongewenste situaties te voorkomen. Grotere mkb-bedrijven vallen een beetje tussen de wal en het schip en lopen relatief het grootste risico. Doordat zij wel grotere volumes kwetsbare informatie beschikken, maar vaak niet over de expertise en capaciteit beschikken om de risico’s te beperken.”

Wat kunnen mkb-bedrijven doen om zich beter te beschermen tegen de groeiende onbalans tussen continu vernieuwen en de kwetsbaarheid van informatie?

“Bedrijven die echt op hoog tempo en continu innoveren, brengen bij iedere innovatie direct ook de nieuwe veiligheidsrisico’s in kaart. Innoveren, risico’s en beveiligen gaan dan hand in hand”, onderstreept Wustefeld. “Maar daar zit eigenlijk nog een belangrijke stap voor. Wij adviseren organisaties vooral ook een krachtige IT-strategie en duidelijk IT-beleid te formuleren, als afgeleide van de algemene bedrijfsstrategie. Veel mkb-bedrijven hebben dit nog niet goed op orde. Wat we vaak zien, is dat men innoveert zonder dat men zich afvraagt, wat de IT-gevolgen en risico’s daarvan kunnen zijn.” 

Hoe kunnen organisaties dit dan concreet aanpakken?

Pilon: “Door direct bij het bepalen van de algemene strategie ook de afgeleide IT-strategie en het bijbehorende IT-beleid te formuleren. Organisaties zijn zo afhankelijk van IT geworden, het ene kan echt niet meer zonder het andere. Bij iedere grotere innovatiestap zou ook direct rekening moeten worden houden met de risico’s en veiligheidsconsequenties van die stap. Eigenlijk zou er aan elk innovatieproject ook minimaal één veiligheidsexpert moeten deelnemen.”


Profiel
Meer nieuws over
×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup