In april en mei van dit jaar werden verschillende bedrijven volledig ontregeld door cyberaanvallen. Banken waren dagenlang onbereikbaar, waardoor er forse bedrijfseconomische en vooral ook reputatieschade ontstond. Later kwamen ook instellingen als DigiD aan de beurt.


Wie er achter deze aanvallen zit, blijft in de meeste gevallen onduidelijk. Slechts een enkele keer komt naar buiten wie er verantwoordelijk was. Zo werd The Wall Street Journal aangevallen vanuit China, omdat deze krant kritische artikelen over dat land had gepubliceerd.

Verstoringen in de ICT-processen kunnen voor bedrijven bijzonder nare gevolgen hebben. In 1998 moest mijn toenmalige werkgever de systemen een dag lang zo goed als volledig uitschakelen, omdat men bang was dat het netwerk door een virus besmet zou zijn. Let wel, er was nog niets geconstateerd, er waren alleen gegronde vermoedens. Zeker als de storingen lang aanhouden, kan de schade fataal zijn.

Risico’s
Wat mij opvalt, is dat de meeste bedrijven zich door dergelijke aanvallen kennelijk overvallen voelen. Men heeft bij het inrichten van de systemen, zo lijkt het tenminste, niet of nauwelijks rekening gehouden met de mogelijkheid dat ze wel eens iets heel anders zouden kunnen doen dan wat wij ervan verwachten.

Het illustreert maar weer eens hoe we met risico’s omgaan. Iedereen in een bedrijf vindt brandveiligheid belangrijk, maar als er een ontruimingsoefening wordt gehouden, blijven de meeste mensen het liefst gewoon achter hun bureau zitten. Ze hebben wel wat anders aan hun hoofd. Dat geldt ook voor de ICT-infrastructuur.

Bij het beoordelen van voorgenomen investeringen in nieuwe systemen wordt vooral op de mogelijke voordelen gelet. De mogelijke risico’s die met deze systemen samenhangen, worden veel te weinig systematisch meegenomen. Dat kost geld, het is lastig en de kansen op een ontwrichtende verstoring zijn klein.

Nu zien we dat er bij veel bedrijven, vooral in de financiële sector, gelukkig steeds meer aandacht komt voor het analyseren en beheersen van risico’s. Daarbij ligt het accent in de praktijk vooral op de financiële risico’s. De operationele risico’s hebben nog steeds weinig aandacht. Pas als er iets fout gaat, onderneemt men actie.

In dit opzicht staat het financiële management nog steeds ver weg van het risicomanagement. De financiële managers willen vooral dat de systemen werken en vinden de risicomanagers maar lastpakken die hen van het werk houden. Juist hierin zou verandering moeten komen. Als van meet af aan de risico’s worden meegenomen, wordt de kans op onplezierige verrassingen later kleiner.
__________________________________________________________________________________

Masterclass Finance & IT
Ontdek in deze masterclass hoe u als financieel verantwoordelijke betere keuzes maakt, het rendement verhoogt, kansloze projecten tijdig stopt en snel kunt ingrijpen waar nodig. Te veel IT projecten stellen teleur. Volg de tweedaagse masterclass Finance & IT, voorkom veelgemaakte fouten en maak direct het verschil.
__________________________________________________________________________________