Gefeliciteerd! U hebt een IT bedrijf!
- Geschreven door:
- Marcel van Luxemburg
26 augustus 2021
“Ons bedrijf heeft een aantal jaren geleden het standpunt ingenomen, dat we een IT-bedrijf zijn”.
Een opmerking die ik laatst hoorde tijdens een referentiegesprek rondom aanschaf van een softwareplatform. Dat was een verrassende uitspraak, want het betrof een bedrijf wat al honderden jaren handelt in opslagcapaciteit van gassen en vloeistoffen. En het was meer dan alleen een standpunt; dit was een strategisch besluit geweest op C-level.
Een IT Bedrijf
Nu worden er jaarlijks legio besluiten genomen in de directiekamer, die daarna nog één keer mogen schitteren in een presentatie of het jaarverslag en daarna worden vergeten. De uitspraak in kwestie is echter een stuk minder verrassend wanneer je bedenkt dat voor deze multinational accurate informatievoorziening en beschikbaarheid van allerlei data op een 24/7 basis een must zijn. Sterker nog, het geeft de doorslag in het succes en misschien wel in het bestaan van het bedrijf. De IT-processen moeten daarom stevig geborgd zijn in de organisatie.
Maar om nou te stellen dat je daarom een IT bedrijf hebt?
“Borgen” betekent volgens Van Dale onder andere: iets in veiligheid brengen, bewaren of beveiligen. Het draait om het hebben of verkrijgen van een bepaalde zekerheid.
Als het om IT zaken gaat, komt dat borgen bij veel bedrijven tot uiting in de vorm van een stapel Service Level Agreements (SLA) met diverse IT dienstverleners, welke zijn omringd door stevige procedures en dito werkinstructies voor de medewerkers. Met een jaarlijkse audit toe, voorzien van een stempel en handtekening van de auditor. Dat willen investeerders, aandeelhouders en andere belanghebbenden natuurlijk graag in het jaarverslag lezen. Liever dat dan een catchphrase met de strekking dat het bedrijf ‘een IT bedrijf’ is geworden. En laten we helder zijn, die borging is belangrijk. Het is een voorwaarde voor de voorspelbaarheid van de werking van je IT landschap, de structurele kwaliteit en tijdigheid van de data die het omvat, ook in geval van wijzigingen.
Bij dat borgen is ook steeds meer aandacht voor de menselijke factor. Zo is het niet aanbieden van een data-awareness programma aan je personeel onderhand synoniem voor slecht werkgeverschap.
En je wil zeker niet een datalek of ransomware-aanval doormaken, alleen al vanwege de slechte reclame die daarmee gemoeid gaat. Hoewel… het is gezien het veelvoud aan gevallen waarbij bedrijven een datalek moesten melden, verbazend te zien hoe weinig effect dat lijkt te hebben op de beoordeling van een bedrijf. Een terugroepactie van een fysiek product, of – nog erger- een negative endorsement op social media, trekt nog steeds een zwaardere wissel op die publieke beoordeling. Je kunt je hierbij de vraag stellen of het gemiddelde publiek de risico’s van zo’n datalek overziet (doe je dat zelf wel?).
Een duurzaam bedrijf
Het punt is dat deze relatief milde beoordeling van de risico’s ook de urgentie bepalen waarmee dit soort issues door bedrijven wordt aangepakt. Geen straf? Geen zorg… toch?
En wat zie je wanneer er wél iets wordt aangepakt? Nog méér borging. Er wordt een extra training gegeven, of een nieuwe SLA opgesteld.
Kun je dan iets anders doen? Iets beters, meer concreet of duurzamer? Waarschijnlijk niet. Die borging is misschien wel het best haalbare. Je hebt tenslotte geen IT bedrijf.
Wanneer we heel nuchter aannemen dat 100% beheersing en 100% bescherming van IT systemen en de data die het omvat, is uitgesloten,dan wil je daar een bepaalde verzekering op afsluiten. En als we dan ook aannemen dat de functie van IT in je bedrijf bestaat uit het ondersteunen van de kernactiviteiten in je organisatie,dan blijft weinig meer te doen dan daar die ‘borgende’ technieken en procedures op los te laten. Dit alles start bij het erkennen dat er risico’s zijn. Bepaal vervolgens waar die risico’s in je bedrijf liggen. Het herkennen van risico’s is lastig: laat je door specialisten adviseren, zet je leveranciers hier ook bij aan het werk. En pas daar de bijbehorende borging op toe.
En let op! Je kunt concluderen dat er risico’s bestaan, die buiten je eigen invloedssfeer liggen, die je niet zelf kan borgen. Vergelijk dat met het versturen van een mail: er zijn allerlei technieken en procedures om te bepalen of een verzonden mail is aangekomen, geopend en zelfs gelezen door de ontvanger. Maar je kunt simpelweg niet technisch borgen dat een mail goed wordt afgeleverd, dat ligt volledig buiten je invloedsfeer.
En als we heel eerlijk zijn: we snappen het op gegeven moment ook niet echt meer. De complexiteit van al die systemen, afhankelijkheden en partijen is niet te overzien. Zelfs niet voor IT bedrijven.
Nog even terug naar het bedrijf dat zichzelf tot IT-bedrijf had gedoopt. Waar kwam die uitspraak dan vandaan?
Men had voor zichzelf vastgesteld dat de data en informatie die men over de producten en diensten had, een integraal onderdeel waren van diezelfde producten en diensten. Zeker in de wereld van fysieke producten geldt: wanneer je niet weet waar het product is, wat de status is, de beschikbaarheid, de prijs, de maatvoering, certificering, waarde…et cetera, dan is het product eigenlijk niets waard. En stel je dan ook nog voor dat de klant moet gaan vragen naar die informatie en daarop moet wachten. Je product bestaat uit het product én de data over dat product. Dat verkoop je aan de klant, daar zit de meerwaarde voor die klant en daarom had dit bedrijf dat als speerpunt voor zichzelf vastgezet.
Misschien heb je dan geen écht IT bedrijf, maar IT, data, informatie zijn meer een meer een essentieel onderdeel van je (digitale) bedrijfsstrategie. En zelfs als vaststaat dat IT voor je bedrijf primair een ondersteunend karakter heeft, dan is het nog steeds met nadruk een boardroom activiteit.