De meeste directeuren weten dat IT-risico’s bestaan. Maar ze worden bijna altijd gepresenteerd in technische taal, met afkortingen en dreigingsniveaus waar niemand buiten de serverruimte iets mee kan. Dat is jammer, want de risico’s zijn reëel en de gevolgen raken niet de IT-afdeling maar de bedrijfsvoering. In deze blog vertelt Jasper van Riessen, mede-eigenaar van Masugro, welke vijf risico’s iedere directie zou moeten kennen, vertaald naar de taal van de bestuurstafel.
Stel, je warehouse ligt er morgenochtend uit. Geen toegang tot het ERP-systeem, geen orderpicking, geen facturatie. Je medewerkers staan met de armen over elkaar. Je klanten bellen, maar je telefonie draait via dezelfde omgeving die plat ligt.
De meeste directeuren die wij spreken, hebben geen idee wat zo’n dag kost. Niet in technische termen, maar in omzet, in klantvertrouwen, in contractuele boetes. Als je 200 medewerkers hebt en je gemiddelde omzet per werkdag rond de 150.000 euro ligt, dan is één dag stilstand geen vervelend incident. Het is een financiële klap.
Het begint met één simpele vraag: weet je wat een dag stilstand je kost? Niet ongeveer, maar concreet. Als je dat getal niet paraat hebt, dan mis je de basis om goede beslissingen te nemen over je IT-investeringen.
Veel directeuren denken dat ze gedekt zijn omdat ze een cyberverzekering hebben afgesloten. Maar heb je de voorwaarden gelezen? De meeste polissen eisen dat je een actueel informatiebeveiligingsbeleid hebt, dat je aantoonbare maatregelen treft en dat je incidenten binnen een bepaalde termijn meldt.
In de praktijk zien wij regelmatig dat organisaties niet aan die voorwaarden voldoen. Geen beleid op papier, geen overzicht van maatregelen, geen incidentprocedure. De premie wordt keurig betaald, maar als het misgaat sta je met lege handen.
Een investeringsmaatschappij die wij spraken, ontdekte dit pas toen hun verzekeraar bij een audit specifiek vroeg naar documentatie. Die was er niet. De polis was in feite waardeloos.
ISO 27001 was lang iets voor grote corporates. Dat is veranderd. Steeds meer inkopende partijen eisen bij aanbestedingen dat hun leveranciers een ISO 27001-certificering hebben, of op zijn minst een In Control Statement kunnen overleggen. Dat is een document van zo’n vijftig pagina’s waarin je aantoont dat je informatiebeveiliging op orde is.
Als je dat niet kunt leveren, ben je af. Niet omdat je product of dienst niet goed genoeg is, maar omdat je niet kunt aantonen dat je de risico’s beheerst. Wij zien dit bij groothandels en productiebedrijven steeds vaker gebeuren. De concurrent die wél gecertificeerd is, wint de opdracht.
Bij kredietaanvragen vragen banken steeds vaker naar je informatiebeveiligingsbeleid. Niet als vriendelijk verzoek, maar als voorwaarde. Verzekeraars doen hetzelfde. En grote klanten dus ook.
Dat betekent dat je als directeur tegelijk vanuit drie kanten dezelfde vraag krijgt: hoe beheer je jouw IT-risico’s? Als je daar geen helder antwoord op hebt, ontstaat er twijfel. Niet over je IT, maar over je bedrijfsvoering.
Het lastige is dat deze vragen vaak onverwacht komen. Een herfinanciering, een nieuwe polis, een aanbesteding. En dan moet het ineens snel. Terwijl het opbouwen van goede documentatie en processen maanden kost, geen weken.
In het jaarverslag van veel organisaties staat een verklaring over informatiebeveiliging en bedrijfscontinuïteit. Als bestuurder teken je daarvoor. Persoonlijk.
De vraag is: weet je wat je tekent? Kun je onderbouwen dat de risico’s in je organisatie daadwerkelijk beheerst worden? Of vertrouw je op wat je IT-afdeling of externe partij je vertelt, zonder dat je het zelf kunt verifiëren?
Dit is geen hypothetisch risico. Bij incidenten, denk aan een datalek of een ransomware-aanval, kan de vraag worden gesteld of je als bestuurder voldoende hebt gedaan om dit te voorkomen. Persoonlijke aansprakelijkheid is geen theoretisch concept meer. Het is een reële mogelijkheid die steeds concreter wordt.
Geen van deze risico’s is technisch. Ze gaan over continuïteit, over aansprakelijkheid, over het vermogen om te blijven groeien zonder dat IT een rem wordt. En ze hebben allemaal één ding gemeen: ze worden pas zichtbaar als het te laat is.
Daarom is de vraag niet of je iets aan IT doet. De vraag is of je weet welke risico’s je loopt, wat ze je kosten, en of je kunt aantonen dat je ze beheerst.
Wil je weten hoe jouw organisatie scoort op deze vijf punten? Bel Jasper op 088 040 8200 of plan een afspraak in voor een kop koffie en een eerlijk gesprek. Geen verplichtingen, wel duidelijkheid.
Jasper van Riessen, mede-eigenaar Masugro
