Het grote belang van it voor business en innovatie lijkt evident, dus het belang van it-security volgt daar logischerwijs uit. Of toch niet? Misschien zou security niet zoveel C-level aandacht moeten hebben.
Voorzichtig aan begint een tegendraads geluid te klinken voor de bestuurlijke omgang met it-security. Het is nu dertien jaar na het impactvolle artikel ‘IT doesn’t matter’ van de Amerikaanse auteur Nicholas Carr. Zijn betoog toen was dat it er eigenlijk niet toe doet, omdat het niet meer onderscheidend is voor organisaties. De reuring makende kop van zijn artikel in het toonaangevende Harvard Business Review en de kritische vraagtitel van zijn daaropvolgende boek ‘Does IT matter?’ hebben veel stof doen opwaaien.
Industrietransformaties
De onderliggende stelling van Carr was dat bedrijven een te grote strategische waarde hangen aan it. Doordat informatietechnologie en best practices gemeengoed zijn geworden, valt er met it dus geen groot concurrentievoordeel meer te behalen, aldus de auteur toen. Hij stelde ook dat industrietransformaties door it voor het grootste deel al hadden plaatsgevonden.
De huidige realiteit leert ons anders. De ene na de andere industrie ondergaat disruptie door it. Vaak maakt nieuwe, innovatieve inzet van ict-middelen hele nieuwe businessmodellen en activiteiten mogelijk – of tegen hele andere prijsstructuren. Het belang van it voor de business lijkt weer volop duidelijk. Daaruit voortvloeiend is het belang van security. Immers, grotere afhankelijkheid van ict zorgt voor grotere impact van de beveiliging daarvan.
Bedrijfsbelang betwisten
De afgelopen jaren hebben dan ook geleidelijke opkomst gezien van de cio, de cso en de ciso. Daarbij is er enerzijds gepleit voor zo’n specifieke bestuursrol voor ict en de security daarvan. Anderzijds is er ook gepleit voor een bredere aandacht van de hoogste bestuurders voor deze twee gebieden, die immers bedrijfskritiek zijn. Er zijn maar weinig personen en partijen die het bedrijfsbelang van ict en security betwisten.
Wel is er twijfel of de huidige aanpak ervan en aandacht ervoor de juiste is. Security moet weg uit de boardroom, poneert cto en oprichter Bob Janssen van softwareleverancier RES. Hij geeft aan dat de benodigde veiligheid haaks kan staan op de flexibiliteit die moderne bedrijfsvoering vereist. ‘De meeste ciso’s die ik spreek, zijn al blij al ze een plan kunnen schrijven en beleid kunnen formuleren, maar aan de implementatie zijn ze nog lang niet toe. Ik constateer vaak een zekere gelatenheid: alsof het vechten tegen de bierkaai is.’
Zorgen over auditors
De indruk van een bij voorbaat kansloos gevecht is geen fantasie, aldus de vice-president innovatie bij RES. De securitystrijd is zwaar, ook juist intern. ‘Eén van de oorzaken hiervoor ligt bij het hogere management. De boardroom vond ict al vervelend, laat staan dat men zich met security bezig wil houden. De board maakt zich in de praktijk meer zorgen over auditors, dan bijvoorbeeld over hackers. Dat is ergens ook wel logisch, want security zou geen issue voor het hogere management moeten zijn.’
Stacy Leidwinger, vice-president products bij RES, geeft Computable een toelichting op de RES Focus Europe-conferentie die in Amsterdam plaatsvond. ‘De board zou zich bezig moeten houden met groei, nieuwe markten, waardetoevoeging en dat alles gericht op de klant.’ Zij stelt dat de raad van bestuur te vaak bezig is met securitydetails.
Kwestie van volwassenheid
‘Security zou gewoon moeten gebeuren’, verklaart ze. ‘Het moet eigenlijk net als payroll zijn: op C-level maakt ook niemand zich zorgen of werknemers wel betaald worden.’ Laat staan dat bestuurders zich bezighouden met hóe de uitbetalingen verlopen. Security zou dus overgelaten moeten worden aan it, waarbij Leidwinger grif toegeeft dat dit ook een kwestie van volwassenheid is. Volwassenheid van de it-afdeling, van de organisatie als geheel én van het bestuur.
Maar al te vaak is de bestuurlijke reactie op een securityincident, zoals bijvoorbeeld een datalek, het vergrendelen van de werkomgeving. ‘De boardroom zou niet over een lock down moeten praten, maar over werknemersproductiviteit en hoe die te faciliteren.’ Het antwoord op deze vraag is wat leverancier RES betreft het meer automatiseren van processen en handelingen. Een servicegerichte en vooral mensgerichte aanpak daarbij neemt frictie weg en voorkomt zo dat werknemers – al dan niet onbewust – de beveiliging schenden. De board hoeft zich dan niet bezig te houden met security.
Plaag van ransomware
Leidwinger erkent dat dit wel een toekomstbeeld is. ‘Het is zeker twee tot vijf jaar van ons af’, afhankelijk van de bedrijfsactiviteiten, de staat van it, de mate van volwassenwording en andere factoren. ‘Let wel: die inschatting is uitgaande van de huidige situatie’, maant zij. Er kunnen altijd ontwikkelingen zijn die voor verrassingen zorgen, zoals bijvoorbeeld de plaag van ransomware al heeft gedaan voor security.
Het beveiligingsgevaar van malware die kostbare bestanden gijzelt, heeft velen verrast. Bovendien heeft het nogal een businessimpact. ‘Ik ken bedrijven waar bestuurders budgetten toewijzen voor ransomware.’ Voor het beter bestand zijn tegen datagijzeling door betere back-ups te hebben? Of voor het voorkomen van besmetting door ransomware? ‘Nee, voor het betalen van losgeld’, wat zakelijk gezien de goedkoopste optie kan zijn.
Dit artikel is ook verschenen in Computable Magazine, jaargang 49, nummer 6, zomer 2016.
– meer of minder linux on the desktop
– meer of minder outsourcing
– meer of minder europa
– meer of minder flexwerk
– meer of minder ict 50plussers
– meer of minder privatisering
– meer of minder ict in boardroom
“does it matter ?” “De huidige realiteit leert ons anders.”
mooi toch.
@Dino
No, it does not mature.