Vrijwel iedere organisatie is inmiddels in meer of mindere mate afhankelijk van automatisering. Waarom laten we dan beslissingen over onze vaak kritische bedrijfsvoering vaak over aan onze IT-partner?
Ik begrijp waar het vandaan komt. IT en cyberrisico’s zijn complex, de agenda zit vol, en een goede dienstverlener ontzorgt. Dat geeft vertrouwen. Maar ontzorgen is iets anders dan overdragen van verantwoordelijkheid. Als CFO wil je graag weten welke risico’s je loopt, wat de financiële impact is als het misgaat, en welke maatregelen aantoonbaar bijdragen aan continuïteit. Precies daar wringt het: in veel organisaties zijn keuzes over de mate van beveiliging, herstelbaarheid en afhankelijkheden impliciet gemaakt — “we gaan er vanuit dat het goed zit” — terwijl dat eigenlijk expliciete bestuurlijke besluiten horen te zijn.
Tegelijkertijd woedt er een stevige discussie over data-soevereiniteit: waar staat onze data, onder welk regime valt die, en welke geopolitieke spanningen kunnen dat plots relevant maken? Dat is een ontzettend belangrijk onderwerp. Maar er zit een nuance in die in het debat soms onderbelicht blijft: zolang we met z’n allen onvoldoende in staat zijn onze data en IT-infrastructuur voldoende te beschermen, maakt het maar weinig uit waar die data staat. Als de basisbeveiliging en herstelbaarheid tekortschieten, blijft de uitkomst hetzelfde: uitval, verlies van grip, onverwachte kosten en schade aan vertrouwen. Laten we dus beginnen met die basisstructuur en voldoende mate van interne beheersing. Dat geeft rust en regie — en pas daarna kun je het soevereiniteitsvraagstuk echt volwassen oppakken.
Begin eens met vijf simpele vragen. Zie het als een mini due diligence op je eigen operatie:
- Welke scenario’s zijn voor ons het meest realistisch? Ransomware, cloud/SaaS-uitval, leverancier gehackt, identiteiten misbruikt.
- Wat is onze maximaal aanvaardbare downtime en financiële schade? Eén uur, één dag, een week? Hoeveel omzet verliezen we? Hebben we zicht op contractboetes?
- Zijn wij in staat deze maximale downtime te halen? Wat staat er in je contracten en SLA / DAP met je leveranciers? Zijn er realistische hersteltests uitgevoerd?
- Welk bewijs krijgen we van beheersing? Niet alleen een geruststellend gesprek, maar rapportages, testresultaten, incidentprocedures.
- Zijn onze dienstverleners voldoende verzekerd? Hebben ze bijvoorbeeld een cyberverzekering waardoor wij meer zekerheid hebben op snel herstel en schadeloosstelling?
Met de antwoorden kun je bewustere keuzes maken: welk restrisico accepteren we en welke eisen stellen we aan onze partners? Over due-diligence gesproken: In M&A-trajecten zien we vaak dat dit soort vragen pas ná de deal scherp wordt gesteld — precies op het moment dat je liever vóóraf had willen weten hoe de beheersing van IT & informatiebeveiliging was.
De kern is niet “meer beveiliging of een nog luxere firewall”. De kern is risicobeheersing en slim investeren: expliciet maken wat je acceptabel vindt, dit vertalen naar financiële kaders, en vervolgens sturen op maatregelen die continuïteit aantoonbaar verbeteren. Dan wordt data-soevereiniteit geen ideologische discussie, maar een logisch vervolg op een solide fundament.
Pravus.nl
IT integrity in motion
