De economie van connecties 1: Veiligheid en kwaliteit

In zijn openingstoespraak tijdens de ITxpo in Barcelona afgelopen november, beschreef de Senior Vice President van Gartner Research, Peter Sondergaard, hoe de nieuwe economie van connecties zich zal ontrollen. Volgens hem zijn de winnende CEO’s gefocust op digitale business. En die winnende CEO’s realiseren zich dat ze hiervoor hun CIO’s hard nodig hebben.

CEO’s verwachten dat de jaarlijkse inkomsten van digitale producten en service de komende twee jaar zullen verdubbelen, zo blijkt uit Gartners CEO-survey van 2015. Hiertoe moeten ze kunnen bouwen op hun CIO, die maar liefst drie verschillende rollen moet invullen. Hij moet tegelijkertijd 1) bewaker, 2) uitvoerder en 3) innovator zijn.

Hij moet een ambitieuze leider zijn die ver en breed nadenkt over technologische innovatie en hoe dit de onderneming kan helpen. De business van de toekomst wordt bepaald door interconnectiviteit, relaties en algoritmes. Dat wil niet zeggen dat de huidige business, de analoge vorm, geen recht van bestaan meer zou hebben. Maar het feit dat de digitale commercie wereldwijd jaarlijks nu al 1 biljoen dollar omzet, is veelzeggend. Bedrijven moeten daarom twee modellen ondersteunen: bimodal. En daarbij concurreert digitaal niet met analoog, nee, beide ondersteunen elkaar. Uit het onderzoek blijkt dat ruim 30 procent van alle bedrijven al bimodal is gaan werken. Of dat al in de gewenste vorm is, of dat het puur bedoeld is als ondersteuning van het bestaande analoge model, is niet duidelijk.

Controle
Een jaar of tien geleden was IT eigenaar van 70 procent van de totale technologische uitgaven in een organisatie. Iedere technologie die niet van IT afkomstig was, werd beschouwd als stiekem, niet strategisch. Tegenwoordig bezit IT nog slechts 58 procent van alle technologie-uitgaven, terwijl de technologiemarkt sterk is gegroeid.

Naar verwachting is dat percentage in 2017 teruggelopen naar 50. Technologie is vogelvrij verklaard en wordt niet langer achter slot en grendel gehouden door business units. Het goede nieuws is dat ondernemingen technologie door hun hele organisatie weven. Het slechte nieuws is dat de it-afdeling minder controle heeft over al die uitgaven. Maar is dat wel slecht nieuws? In plaats van op te treden als politieagent, beïnvloedt de afdeling die voorheen IT heette, tegenwoordig het leiderschap van een bedrijf, om zo sturing te geven aan digitale initiatieven. Bovendien zijn de consumenten, dus ook de medewerkers binnen een organisatie, steeds beter thuis in het gebruik van technologie. Naast het eigenaarschap van technologie is daarmee ook het technologisch talent verschoven. Er is enorme rijkdom aan resources waarbij je als IT zo kunt aanhaken.

Dus accepteer de realiteit dat je minder controle hebt, maar dat je meer kennis en interesse voor technologie tot je beschikking hebt dan ooit tevoren. Daarmee kun je binnen je organisatie van grote invloed zijn. En ook dat is goed nieuws. Met deze invloed kun je de perceptie van de waarde van IT in de organisatie veranderen. Invloed is namelijk schaalbaar, controle is dat niet.

Andere aanpak van risk
In de nieuwe economie van connecties zullen we ook anders met risk moeten omgaan. Auto’s, robots, drones en andere machines zullen semi-onafhankelijk opereren op basis van onze algortimen. Het gaat niet langer om risico en beveiliging, maar om veiligheid en kwaliteit. De rol van de Chief Risk & Security Officer zal veranderen. Vandaag is hij nog bezorgd om de oude technologische risico’s, zoals externe hacks, en jaagt hij dat onmogelijke doel na van perfecte bescherming. Morgen is hij de Chief Safety & Quality Officer. Dagelijks worden beveiligingen doorbroken, ondanks de gestaag stijgende beveiligingsbudgetten. Tegen 2017 zal een doorsnee technologische organisatie 30 procent van zijn totale budget spenderen aan risk, security en compliance onder de vlag van veiligheid en kwaliteit.

Van het it-personeel is 10 procent dan full-time bezig met beveiliging. Dat is drie keer zoveel als in 2011. Als wij doorgaan met deze traditionele vorm van investeren in security, stevenen we af op een zekere mislukking. De motivaties, de oorsprong, de doelstellingen en de impact veranderen snel.

Afgelopen juli gingen gelijktijdig de New York Stock Exchange, de Wall Street Journal en United Airlines down. Iedereen ging ervan uit dat hier sprake was van een externe hack. Maar natuurlijk was dat niet het geval, zoals het meestal niet het geval is. Deze uitvallen werden veroorzaakt door systemen die te complex waren geworden en te broos om nog betrouwbaar te werken. Hacks kun je niet beheersen, je eigen infrastructuur wel.

Veerkracht, detectie en mensen
Op de agenda van de Chief Safety & Quality Officer van de nabije toekomst staan drie belangrijke focusgebieden. 1) Start met het verhogen van je veerkracht (resilience). Maak je huis schoon, simplificeer je systemen. Hoe stabieler je systemen hoe veiliger je bent. We moeten af van het idee dat we de perfecte beveiliging kunnen behalen. Iedereen wordt gehackt, het is slechts een kwestie van tijd. De afgelopen twee jaar moest 71 procent van alle organisaties een disaster recovery of business continuïteitsmodus uitvoeren.

zwaailicht politie

Kleine problemen doen zich voortdurend voor en grote incidenten zijn onvermijdelijk. Wees geen politieman maar wees een intelligence officer.
2) Het is slimmer om ons te focussen op detecteren en reageren (detect and response). Slimme hackers maken zich niet direct kenbaar als ze eenmaal zijn binnengedrongen. De meeste malware ligt tot wel zeven maanden of langer te sluimeren in onze systemen voordat het wordt geactiveerd of ontdekt. We moeten beter worden in het detecteren van deze slapende bedreigingen voordat het te laat is. En als we ze ontdekken, moeten we klaarstaan met adequate maatregelen.

Een derde focus 3) is gericht op mensen. Veel incidenten gaan van start met phishing en andere sociaal georiënteerde aanvallen op gebruikers van uw systeem. Mensen zijn en blijven het gemakkelijkste doelwit. Gebruikers van uw systeem hebben enorm krachtige technologie onder handbereik, waarmee ze heel slimme dingen kunnen doen, maar helaas ook erg domme dingen. Vooruitstrevende organisaties transformeren hun cultuur van bangmakerij en repercussie naar een cultuur van ontspannen besef van de bedreigingen en hoe daarmee om te gaan. Verplaats de verhouding van uw investeringen van 90 procent preventie en 10 procent detectie en reactie naar een 60/40-verdeling.

De business van nagenoeg elke organisatie transformeert met digitaal – mode 2. Besteed aandacht aan algoritmes en opereer op een veilige manier. Hoe verbreek je nu de bestaande cyclus en hoe transformeert de it-afdeling van een controleur naar een beïnvloeder?

Hiervoor moeten drie stappen worden gezet:

1. Ontwikkel een andere benadering tot technologie en investeringen.
2. Werk met nieuwe digitale leveranciers.
3. Creëer een innovatie-competentie.
In het volgende deel van dit tweeluik zullen we daarop nader ingaan.

Dit artikel is een bewerking van de toespraak die Peter Sondergaard, Senior Vice President Gartner Research, hield op 9 november tijdens de ITxpo in Barcelona.

Gerelateerde berichten...

X