Een onderneming is een organisatie die doelen bereikt en geld verdient (in die volgorde!) door (verantwoord) risico te nemen. Ondernemersrisico heet dat dan ook. Vanaf de jaren ’80 hebben we een periode met ongekende voorspoed gekend. Het ging zo goed dat we die doelen al bereikten en dat geld al verdienden als we juist risico’s vermeden. De laatste tien jaar hebben we het moeilijker en daar worden we onzeker van. Er zijn gewoon teveel bedreigingen.
En dus gaan we op zoek naar zekerheid. Letterlijk om ons te zekeren. We maken zoveel mogelijk vast, met processen, met contracten, met KPI’s, met software en met nog veel meer. Zoveel mogelijk vastigheid en alles onder controle, voor de zekerheid.
Het probleem is alleen dat de wereld ingrijpend is veranderd. Nieuwe concurrenten melden zich op de markt die bereid zijn om veel meer risico’s te nemen dan wij. Markten veranderen ingrijpend en plotseling. Ze stellen ineens hele andere eisen aan (onder andere) producten, diensten en distributie. Ondernemingen moeten tegenwoordig ongelofelijk wendbaar en innovatief zijn. En daar staan we dan met al onze zekering, verankering en zekerheid. Zeker en vast. Niet in staat om adequaat te reageren.
De Formule 1 coureur Mario Andretti zei ooit: “Als je alles onder controle hebt, ga je niet hard genoeg”. In het verlengde daarvan zou ik willen zeggen: Als je alles gezekerd hebt, ben je niet wendbaar genoeg. Dat wil niet zeggen dat het onverstandig is om ergens voor zekerheid te kiezen. Maar je moet je steeds goed realiseren wat die zekerheid je allemaal kost in termen van wendbaarheid en innovatie.
Elk dilemma heeft twee kanten: een bedreigingenkant en een kansenkant. Zekerheid en veiligheid weerstaan bedreigingen. De wereld om ons heen is onvoorspelbaar en dus eng. We willen veiligheid en zekerheid en we mikken dus ook op veiligheid en zekerheid.
Wij van IT doen daar nog een schepje bovenop. Elke keus die we maken heeft een bedreigingenkant en een kansenkant. Die kansenkant, die is van de business, daar bemoeien we ons niet mee. Dat is geen aparte discipline binnen IT. Maar die bedreigingenkant, ha, daar kunnen we bij helpen. Security! Veiligheid en zekerheid. En we beschrijven precies welke zekerheid je dan allemaal hebt. Maar niet wat je dan allemaal kwijtraakt aan wendbaarheid bijvoorbeeld. Wel de voordelen, niet de nadelen. Geen moeilijke keus voor de business!
Maar daarmee zetten we onze onderneming op achterstand ten opzichte van concurrenten die wel risico’s durven te nemen. Als we willen overleven, als we succes willen hebben, dan moeten we ook naar die andere kant kijken. Als we de onderneming willen helpen, dan moet er naast het defensieve security ook een offensief kansen benutten worden ingericht. IT-organisaties die wel aan security doen, maar niet aan kansen benutten, maken de onderneming star. Dat is het allergrootste risico. Wat vindt security daar eigenlijk van?