RISICO’S RONDOM IT SYSTEMEN

Op basis van de interviews worden diverse risico’s op het gebied van IT systemen en informatieveiligheid geïdentificeerd. Het gehele trio ziet dat deze risico’s een serieuze bedreiging kunnen vormen voor het behalen van de doelen die zijn gesteld. Opgemerkt dient te worden dat de risico’s die genoemd worden, per onderneming verschillen en ook afhankelijk zijn van de achtergrond van de functionaris.

Alle geïnterviewden zien de betrouwbaarheid en kwaliteit van (financiële) informatie als een belangrijk risico wanneer het gaat om IT beheersing. Een van de geïnterviewden ziet het zelfs als zijn grootste zorgpunt. “Onze omzet is direct afhankelijk van de werkvloer, de jobbers. Zij leveren informatie aan die de basis vormt van onze facturatie. Nu onze markt steeds meer concurrentie kent en opdrachtgevers dus kritischer kijken naar de gestuurde facturen, ontstaat steeds vaker discrepantie tussen hetgeen de jobbers ons aangeven en het standpunt van de opdrachtgever. Een groot zorgpunt, omdat het ons imago en betrouwbaarheidsfactor kan schaden”. De geïnterviewden onderkennen dat informatie een zeer belangrijk onderdeel is van hun processen en grote waarde vertegenwoordigd. Het snel vergaren, verwerken en verdelen van informatie is voor hen een voordeel ten opzichte van de concurrentie. Het IT systeem moet hierbij een belangrijke ondersteunde rol bieden. Indien dit systeem om wat voor reden dan ook niet (meer) zal werken, dan wordt dit door de hele organisatie heen gevoeld.

Een ander gemeenschappelijk risico, dat door alle geïnterviewden wordt onderschreven, is de snelheid van de ontwikkelingen op het gebied van IT en de veranderingen die daarmee gepaard gaan. Binnen organisaties zijn de mensen op de werkvloer niet meer in staat om op tijd veranderingen te absorberen voordat de volgende veranderingen zich alweer aandienen. Dit is het gevolg van een aantal zaken, die ook nog eens per organisatie verschillend kunnen zijn. Een geïnterviewde merkt bijvoorbeeld veel weerstand in de organisatie. Ook het gebrek aan kennis, een tekort aan vaardigheden en onbegrip dragen bij. Een geïnterviewde geeft aan dat het lastig kan zijn om personen die jarenlang goed hebben gefunctioneerd, maar niet (meer) in staat zijn mee te veranderen met de organisatie en haar IT systemen, de organisatie te laten verlaten. Het komt voor dat deze persoon niet wordt vervangen voor iemand die wel hiertoe in staat is. Uit sympathie voor bewezen diensten mag de persoon die eigenlijk niet mee kan komen, blijven zitten of krijgt hij een andere functie. Dit soort zaken veroorzaken volgens de geïnterviewden een steeds grotere kloof tussen IT en de werkvloer. Dit bemoeilijkt een succesvolle IT beheersing.

Een ander punt, iets wat sterk samenhangt met de voorgaande passage, is het gebrek aan aandacht, bewustzijn en kennis op de werkvloer. Dit zorgt voor een beperkte betrokkenheid. Dit terwijl eerder door de geïnterviewden aangegeven werd, dat de werkvloer juist een belangrijke rol zou moeten spelen binnen de IT beheersing. “Ik heb het idee dat maar weinig collega’s daadwerkelijk het belang zien

van zaken die komen kijken bij IT”, aldus een geïnterviewde werkzaam bij een HBO-instelling. Werknemers zijn niet of nauwelijks op de hoogte van eventuele gevolgen van incidenten en wat de impact daarvan kan zijn op de doelen die door de organisatie zijn gesteld. Ook weten zij momenteel nog niet waar ze op moeten letten, wat hun rol kan zijn of hoe bepaalde dingen aangepakt zouden moeten worden. Back-ups zijn volgens de interviewden het enige gebied waarop echt duidelijk bewustzijn is. Hierop vindt dan ook enige sturing plaats. Veel betrokkenen zien de continuïteit van de organisatie als zeer belangrijk en onderkennen de risico’s die gepaard gaan met de uitval van IT systemen of het verlies van (financiële) data. Ook van hogerhand wordt hier op gestuurd en kent dit onderwerp betrokkenheid van belangrijke functionarissen. Een van de geïnterviewden geeft aan dat, mocht er op dit terrein nog onvoldoende betrokkenheid zijn, de organisatie dit uiteindelijk zal oppakken. “Uiteindelijk trekt een accountant of het middenmanagement aan de bel. Althans, dit mag ik in mijn optiek verwachten”. Des te opvallender is daarom dat er weinig aandacht is voor het herstel van IT systemen of financiële data. Er worden geen periodieke hersteltests uitgevoerd en men is niet op de hoogte van de te nemen stappen bij een calamiteit, zo vertellen de geïnterviewden. Organisaties weten niet of nauwelijks hoe lang het zal duren voordat een IT systeem of (financiële) data weer te gebruiken is na een incident. Kortom, er kan gesteld worden dat er weliswaar back-ups gemaakt worden, maar slechts een minimaal aantal personen op de hoogte is van wat er nou daadwerkelijk wordt meegenomen op deze back-ups en hoe deze te gebruiken in geval van nood.

Het management is vaak nauwelijks betrokken bij de beheersing van IT systemen. Zij zien dit niet als hun primaire taak en andere zaken vragen meer prioriteit. Volgens de geïnterviewden is onder andere een gebrek aan kennis en kunde binnen het managementteam hier mede debet aan.

Wet- en regelgeving wordt door de geïnterviewden gezien als een belangrijk issue. Veranderingen op dit gebied kunnen grote impact hebben op de opbouw en inrichting van IT systemen en het IT beheersproces. Het eerder genoemde recht om vergeten te worden, besproken in paragraaf 6.1 is hiervan een voorbeeld. Daarentegen bieden wijzigingen in de wet- en regelgeving, zoals eerder gezegd, ook kansen om de IT beheersing te versterken.

Als laatste wordt door de geïnterviewden de aansluiting tussen bedrijfsprocessen en IT systemen genoemd als gemeenschappelijk risico. De richting is voor alle geïnterviewden is duidelijk. Het gevaar bestaat dat IT systemen leidend worden voor bedrijfsprocessen. Hiermee kan de organisatie de aansluiting bij de markt verliezen omdat het bijvoorbeeld concurrentievoordelen niet meer kan behalen. Een van de geïnterviewden, werkzaam binnen een HBO-instelling uit zijn (specifieke) zorg als volgt: “Binnen de school wordt gezocht naar een model waarmee we eenvoudig online seminars kunnen aanbieden. Prestigieuze universiteiten als Harvard voeren dit al enkele tijd door. Veel docenten zien echter geen heil in de online seminars en verzetten zich vervolgens ook tegen andere vernieuwingen, met name op het

gebied van IT. Dit houdt nieuwe ontwikkelingen binnen bde school tegen, welke wellicht meer aansluiten op de kerncompetenties van onze instelling. Het gevaar bestaat dat we boot missen ten opzichte van andere hogescholen”. Het kan eveneens zo zijn dat de vraag vanuit de markt niet wordt ondersteund door IT systemen, omdat de oude nog niet zijn afgeschreven en er geen ruimte is voor investeringen in IT systemen die wel aansluiten.

Naast de eerder genoemde risico’s die door alle geïnterviewden worden ondersteund, zijn er nog een aantal risico’s die specifiek werden benoemd. Deze worden aangedragen door verschillende geïnterviewden, maar niet allen herkend of onderkend.

Een van de onderwerpen die ter sprake kwam is de kwaliteit om reactief te reageren. De organisatie die het betrof is zeer sterk in het reactief reageren op gebeurtenissen of op aankomende controles. Vanwege de vele inspecties op kwaliteit, waaronder een belangrijk deel door externen, weet deze organisatie zich als geen ander voor te bereiden op controles en indien er bevindingen worden geconstateerd om deze effectief op te lossen. Doordat zich men deze manier van werken heeft aangeleerd en tot dusverre effectief is gebleken, is het lastig om deze organisatie te overtuigen van het feit dat proactief handelen van belang kan zijn.

Het verliezen van de audit trail is een risico dat door een andere geïnterviewde naar voren werd gebracht. Doordat bijvoorbeeld (financiële) data verloren is gegaan of de logische toegangsbeveiliging niet adequaat is ingeregeld, kan er niet langer een complete geschiedenis van een transactie, boeking of actie worden nagegaan. Dit bemoeilijkt de verantwoording.

Binnen organisaties worden veel beslissingen genomen op basis van een afweging tussen kosten en opbrengsten. Hierin schuilt een fundamenteel gevaar. Er is geen model om de voordelen van een groot aantal IT beheersmaatregelen te kwantificeren. Deze voordelen zijn feitelijk ‘onzichtbaar’. Vele beheersmaatregelen, die wel duidelijk kwantificeerbaar zijn, brengen investeringen met zich mee. Hierdoor is het vaak lastig om een goede businesscase te bouwen voor het invoeren van effectieve IT beheersmaatregelen. Een belangrijk voorbeeld hiervan is de beveiliging. Volgens één van de geïnterviewden zijn maar weinig verantwoordelijken binnen organisaties zich ervan bewust dat gebrekkige beveiliging van IT systemen grote nadelige gevolgen kunnen hebben. Hij voegt hier een exemplarisch voorbeeld aan toe. “Binnen mijn functie nodig ik zo nu en dan mensen uit om een demonstratie hacken bij te wonen. Tientallen aanwezigen heb ik vervolgens geschokt zien reageren over de mogelijkheden die er zijn om IT systemen te kraken en informatie te stelen. Eerlijkheidshalve geven ze toe dat ditzelfde trucje ook eenvoudig bij hun doorgevoerd kan worden”.

Een ander belangrijk punt is dat de kosten voor IT beheersing vaak bij de ICT afdeling worden gelegd, zo is een geïnterviewde van mening. Dit brengt als risico met zich mee dat de verschillende

afdelingen zich niet bewust zijn van de kosten die ontstaan door de gevolgen van ineffectieve IT beheersing. Zij zijn hierdoor minder snel geneigd om hierop actie te ondernemen.

Voor één van de bedrijven is de informatieveiligheid op een vervelende manier onder de aandacht gekomen. Een van de medewerkers is in staat geweest om middels een USB-stick klantdata te stelen uit de database van het bedrijf en heeft deze informatie gebruikt om zijn net opgerichte eigen bedrijf een vliegende start te geven. Pas nadat enkele klanten van deze organisatie aan de bel trokken werd dit duidelijk. Nadat vervolgens de schade in kaart was gebracht, werd het bedrijf pas duidelijk hoe waardevol het adequaat beschermen van de eigen informatie kan zijn. Hierna is ook de logische toegangsbeveiliging daadwerkelijk adequaat ingericht en een prioriteit geworden voor deze organisatie. Andere organisaties ervaren een strikte logische toegangsbeveiliging vooral als lastig. Een van de geïnterviewden heeft het gevoel dat een adequate functiescheiding niet mogelijk is in een organisatie met een dergelijke omvang.

Een ander belangrijk risico is de afhankelijkheid van een IT leverancier. Deze afhankelijkheid kan volgens één van de geïnterviewden zowel belangrijke voordelen als duidelijke nadelen met zich meebrengen. Groot voordeel is dat de kennis over de bedrijfsprocessen en de IT systemen aanwezig is. Dit kan positief uitpakken voor de kwaliteit van het te ontwikkelen of onderhouden IT systeem. Als belangrijke risico’s worden de mogelijke kostenexplosies genoemd. Kostenexplosies als gevolg van het niet onder controle kunnen houden van de scope, de benutting van de machtspositie door de IT leverancier en de belangenstelling werden eveneens aangemerkt. Deze risico’s kunnen met name gaan spelen in organisaties waar onvoldoende kennis in huis is om de IT leverancier op een adequate manier te monitoren. Een dergelijke organisatie probeert de risico’s die zij identificeren bij hun IT leverancier te mitigeren door de samenwerking onder te brengen in een joint-venture. Hiermee worden beide partijen verantwoordelijk voor de input en voor de resultaten. Door andere geïnterviewden wordt ook een Service Level Agreements (SLA) als beheersmaatregel genoemd. Dit zijn concrete bindende voorwaarden die aangeven aan welke eisen voldaan moet worden.

Als laatste wordt door een van de geïnterviewden genoemd dat gebruikers kunnen dichtslaan indien er incidenten zijn. Dit kan door een gebrek aan kennis of door schaamte. Het gevolg hiervan is dat incidenten voor langere tijd onopgemerkt kunnen blijven sudderen, wat de schade alleen maar doet vergroten.

In de tabel op de volgende pagina worden de risico’s opgesomd, zoals deze tijdens de interviews naar voren zijn gekomen en door de geïnterviewden als van belang werden bestempeld.

Tabel 2. Resultaten: Kernrisico’s binnen IT omgevingen

- Betrouwbaarheid en kwaliteit van informatie - Snelheid van ontwikkelingen op IT gebied - Gebrek aan aandacht, bewustzijn en kennis op de

werkvloer

- Gebrek aan aandacht voor het eventuele herstel van IT systemen en data

- Continuïteit van IT systemen - Gebrek aan betrokkenheid en kennis van het management

- Wet- en regelgeving - Aansluiting tussen IT en bedrijfsprocessen - Gebrek aan proactiviteit - Verliezen audit trail

- Gebrek aan inzicht in baten van beveiliging en beheersing van IT systemen

- Kosten van IT worden niet doorgerekend binnen de organisatie

- Informatieveiligheid - Afhankelijkheid van IT leverancier - Gebrek aan openheid over incidenten