Home Innovatie & Strategie Risicoloos ondernemen bestaat niet

Risicoloos ondernemen bestaat niet

50

Wanneer de afdeling informatica van een universiteit in staat blijkt de OV-chipkaart te kraken dan is dat nieuws. Maar wanneer men zou melden dat uit onderzoek blijkt dat men met een Leopard-tank eenvoudig de geldautomaat uit de gevel van iedere bank kan blazen, dan is geen medium geïnteresseerd. Het fysieke interpreteren vinden we eenvoudig, het inschatten van de virtuele wereld is een stuk lastiger.

Het structurele probleem waar de ICT-industrie mee kampt, is dat het vakgebied zich heeft ontwikkeld van een algemeen hulpmiddel tot een elementair bedrijfsmiddel. Als je ICT als bedrijfsmiddel ziet, zou de universiteit haar onderzoek over de gekraakte OV chipkaart moeten voorzien van een financiële analyse waarin uitgewerkt wordt welke schade de OV bedrijven zouden kunnen lijden door deze kraakgevoeligheid. Dan zou onmiddellijk blijken dat er sprake is van een enorme vooruitgang ten opzichte van de fraudegevoeligheid van de papieren strippenkaart, waarna het ineens geen nieuws meer is.

Omdat ICT een bedrijfsmiddel is geworden, is het vervangen van het ‘zelf doen’ door het ‘inkopen’ (cloud!) niet te stuiten. Zo ging dat destijds ook met huisvesting, transport en logistiek. Het gevolg is wel, dat het klassieke denken rond informatiebeveiliging, dat zich beperkt tot het rapporteren of iets al dan niet eenvoudig kraakbaar is, achterhaald is. Ondernemingen dienen de risico’s rond beveiliging en continuïteit financieel inzichtelijk te maken. Dit kan alleen maar als men ICT als kritisch bedrijfsmiddel op dezelfde wijze gaat aansturen als bijvoorbeeld financiën.
Bij financiën accepteert men dat elke debiteur een potentieel betalingsrisico vertegenwoordigt en treft men om die reden voorzieningen, zoals een post “dubieuze debiteuren”. Zou men, zoals nog vaak bij ICT gebeurt, elke debiteur met een potentieel risico uitsluiten, dan had men al gauw geen klant meer over.

De enige manier om in deze nieuwe situatie een zinvol security-beleid te ontwikkelen, is door dit een integraal onderdeel te maken van het verwervingsproces van elke ICT-dienst, ongeacht of men die zelf ontwikkelt dan wel inkoopt. Hierbij dient men te accepteren dat 100% veiligheid niet te realiseren is, evenmin als 100% risicoloos ondernemen dat is. Anders gezegd, de eerste – en belangrijkste – stap voor een modern security-beleid is de erkenning dat elke ICT dienst onderdeel is van een elementair bedrijfsmiddel, waarbij afwegingen dienen plaats te vinden op basis van financiële risicomodellen. Alleen dan is de onderneming in staat verantwoording en rekenschap af te leggen over de wijze waarop de ICT risico’s zich verhouden tot de ondernemingsrisico’s.

Helaas is het zo, dat het ontwikkelen van dit soort modellen een totaal nieuw kennisgebied betreft. Hoe je dat bij andere bedrijfsmiddelen doet hebben we kunnen leren in de afgelopen eeuwen. Maar IT als elementair bedrijfsmiddel is een verschijnsel dat zich pas sinds enkele jaren manifesteert. Hier ligt een geweldige uitdaging voor het IT vakgebied en de hieraan gelieerde onderzoek- en onderwijsinstellingen. Want alleen organisaties die in staat zijn dit nieuwe kennisgebied te integreren in hun ICT organisatie zullen weten te profiteren van de vele nieuwe mogelijkheden, inclusief het onder controle houden van de bijbehorende risico’s op het gebied van beveiliging en beschikbaarheid.

Dick van Gaalen

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here