Inzicht

Van techniek naar business

  • Share

Digitalisering, e-invoicing, cloudcomputing, sociale media, mobiele toestellen: de snelheid van verandering waarmee het IT-departement anno 2012 geconfronteerd wordt, is ongezien. Thema's als informatiebeveiliging en compliance worden daarbij wel eens over het hoofd gezien. Om al deze nieuwe uitdagingen aan te pakken, schudt de CIO zijn imago van techneut maar beter snel van zich af. En focust hij volop op dat waar het in elke onderneming om draait: de business. Drie specialisten van EY leggen haarfijn uit hoe en waarom.

De context waarin het  IT-departement vandaag opereert, is radicaal gewijzigd. Hoe komt dat?
Andy Deprez
: Ik zie twee grote trends. Ten eerste verliezen de klassieke IT-taken aan belang. Wat vroeger de kern van IT was, is intussen een commodity geworden, die je gemakkelijk kunt uitbesteden. Technische detailkennis wordt voor een CIO dan ook minder van belang.
Ten tweede wordt in deze moeilijke economische context volop ingezet op optimalisatie, efficiëntie en innovatie. De talloze nieuwe informatie-technische ontwikkelingen kunnen daartoe bijdragen. Denk maar aan de talloze nieuwe toestellen, kanalen en toepassingen. De vraag vanuit de business om die ontwikkelingen in te zetten voor het behalen van de ondernemingsdoelstellingen, is groot. De CIO wordt soms in snelheid genomen, en dan wordt wel eens voorbij gegaan aan aspecten als informatiebeveiliging en compliance. Het is tijd om de rol van de CIO drastisch te her - tekenen.
Bernard Ghigny: Traditioneel was de CIO een techneut die zich opgewerkt had vanuit de IT-afdeling. Deze afdeling werkte toen als interne en exclusieve IT leverancier van het bedrijf, ter ondersteuning van de “core-business”. Gezien de snelle groei van nieuwe externe IT oplossingen, die heel aantrekkelijk en begrijpbaar waren voor business mensen - en daardoor de IT maturiteit van deze mensen fors verhoogde - kreeg de CIO meer en meer druk van zijn gebruikers. Zij waren geneigd om direct met externe leveranciers deze “goedkope en flexibele” alternatieve oplossingen te implementeren. Tot daar de exclusiviteit van de IT-afdeling. Die bovendien een grote transformatie moest ondergaan om marktcompetitief te worden en nieuwe oplossingen te vinden die beter beantwoorden aan de snel veranderde behoeften van de gebruikers.

Hoe ziet de nieuwe CIO eruit?
Deprez
: De nieuwe CIO moet denken vanuit de veranderde cliëntenbehoeften – en dan hebben we het over externe en interne cliënten. Die cliënten zijn meer en meer matuur geworden en doorgaans goed geïnformeerd. Die cliënten vragen niet meer om technische knowhow, ze willen oplossingen die de business helpen om te optimaliseren, om efficiënter te worden, om te innoveren. De CIO moet proactief tewerk gaan en technische innovaties verpakken tot oplossingen die zin hebben voor de onderneming. Bovendien moet hij over die oplossingen op een bezielde manier kunnen communiceren aan zijn collega-managers, mét bijhorende businesscase. De nieuwe CIO heeft een missionarisfunctie, waarbij hij de technische detailkennis en de dagelijkse operationele taken rustig aan zijn team kan overlaten.
Marc Joostens: Dat nieuwe takenpakket vraagt om een nieuw profiel. Idealiter zou de CIO van vandaag iemand zijn die vanuit een salesrol of vanuit een financerol doorstroomt naar de rol van CIO. Iemand die heel goed de business aanvoelt, zal ook beter met de collega's van de andere afdelingen communiceren. Maar dat is de theorie: in de praktijk is het vaak nog anders.

Trends

Jullie zitten als adviseurs dicht op wat er in de markt leeft. Welke vragen krijgen jullie van de cliënten?
Deprez
: Een van de nieuwe services die veel aandacht krijgt, is elektronische facturatie. Onze cliënten zijn meestal behoorlijk op de hoogte van de technische mogelijkheden. De vragen gaan meestal over het kostenplaatje en over de efficiëntiewinst. Over hoeveel tijd verdient de investering zich terug? Hoeveel mankracht kunnen we besparen? Die vragen wijzen op de maturiteit van de markt.
Joostens: Het succes van elektronische facturatie staat of valt met de adoptiegraad ervan bij cliënten en leveranciers. Belangrijke aandachtspunten daarbij zijn de vraag naar beveiliging van de gegevens, en compliance met de wetgeving, vooral wat tax en btw betreft.
Ghigny: Daarbij is het belangrijk dat de overheid niet achterloopt. Qua elektronisch factureren had de wetgever het gebruik van bepaalde technologie opgelegd. Daar komen ze gelukkig van terug: het idee dat wetten technologie-neutraal moeten zijn, vindt meer ingang. De overheid mag grondregels vastleggen: bijvoorbeeld de verplichting dat gegevens authentiek, integer en confidentieel moeten zijn. Maar de keuze voor de concrete technologie, laat ze beter aan de bedrijven over.
Joostens: Een andere trend is dat de fiscale overheden steeds vaker gebruik maken van elektronische audits. Daarbij kijken ze of de systemen en processen stroken met de wet. Onze cliënten willen zich daar tijdig op voorbereiden.

Is ook informatiebeveiliging een heet hangijzer?
Deprez
: We werden onlangs benaderd door een industrieel productiebedrijf dat een bedrijfskritieke innovatie aan het ontwikkelen is. Ze willen vermijden dat informatie over die innovatie voortijdig uitlekt. De vraag is dan: hoe gaan we met die informatie om? Hoe kunnen we die beveiligen? Vragen naar de beveiliging van kritieke informatie krijgen we ook vaak vanuit de industrie, waar productinnovatie fundamenteel is.
Joostens: Ook uit de telecomsector krijgen we veel vragen rondom informatiebeveiliging. De operatoren rollen met rasse schreden nieuwe netwerktechnologie en nieuwe toepassingen uit. Beveiliging van gevoelige cliëntengegevens is daar de grote bekommernis. In die sector staat er vaak zoveel druk op de ketel, dat er soms iets over het hoofd gezien wordt. Onlangs werd er nog vertrouwelijke cliënteninformatie van een operator buitgemaakt. Zoiets brengt natuurlijk onherstelbare reputatieschade mee. Wij gaan dan proactief kijken: wat is goed afgeschermd? Wat kan nog beter? Welke gegevens zijn kritiek?
Ghigny: Banken willen dan weer besparen door hun kantorennetwerk te vervangen door elektronische kanalen. Die nieuwe kanalen genereren stevige uitdagingen qua veiligheid en compliance.

Gaan bedrijven op een volwassen manier om met de cloud?
Ghigny
: Het besef van het belang van de cloud dringt door. De mogelijkheden zijn meestal bekend. De vragen daar zijn eerder: wat houden we nog in huis? Wat besteden we uit? Wat zetten we in de cloud? Veel vragen gaan over veiligheid. Internationale bedrijven die cloud diensten aanbieden dragen veiligheid hoog in het vaandel en doen dan ook heel vaak beroep op onafhankelijke partijen om de kwaliteit van de beveiliging op periodieke basis te controleren: voor die bedrijven is hun reputatie fundamenteel!
Deprez: De vragen naar de beveiliging van informatie komt vaak naar boven in verband met het gebruik van smartphones, van tablets en van sociale media. Dat stelt bedrijven voor een belangrijke uitdaging. En daar is het gevaar reëel.
Joostens: Managers worden vaak voor voldongen feiten geplaatst. Iedereen wil zijn eigen toestel, zeker de jongere generatie. Als nieuwe werknemers toekomen, vragen ze niet meer: 'Mag ik dit toestel hier gebruiken?' Ze vragen: 'Hoe kan ik mijn toestel verbinden met het bedrijfsnetwerk?' We moeten daarin meegaan, en zorgen dat het veilig kan gebeuren. Net zoals het gebruik van sociale media: dat wordt ook meer en meer vanzelfsprekend.

Nieuwe realiteit

Hoe ga je als CIO om met de wildgroei aan toestellen en communicatiekanalen?
Deprez: 'Ieder zijn toestel' proberen tegen te houden, dat is geen optie. We raden vooral aan om de werknemers voor te lichten over goed gebruik en hen te informeren over gevaren. Het is interessanter om te werken aan positieve houdingen dan te schermen met verboden, die toch omzeild worden. Je kunt bijvoorbeeld het gebruik van sterke wachtwoorden promoten, of proberen uit te leggen dat het laten slingeren van je smartphone of laptop een reëel gevaar inhoudt. Bij zo'n volwassen houding heeft iedereen belang.
Ghigny: Dezelfde houding loont ook bij de omgang met de Facebooks, de Twitters en de LinkedIns van deze wereld. Tot een paar jaar geleden stonden bedrijven daar vooral argwanend tegenover. Wat wij aanraden? Wees niet zozeer bang van wat er mis kan lopen, maar geef richting. Geef aan wat kan en wat niet kan met nieuwe media. Bij EY hebben we bijvoorbeeld een screening gedaan van alle LinkedIn-profielen van onze medewerkers. Dat kon beter. We hebben een template gecreëerd waarmee medewerkers hun LinkedIn profiel kunnen stroomlijnen en optimaliseren. Zij waren daar zelf heel tevreden mee.
Joostens: Qua informatiebeveiliging heb je een beleid nodig dat zich toespitst op de zaken die echt van belang zijn. De realiteit van vandaag is complex, en laten we nieueen kat een kat noemen: informatiestromen zijn nooit 100 procent waterdicht. Identificeer wat er beveiligd moet worden, en in welke mate.

Waar ligt de verantwoordelijkheid voor de beveiliging van informatie?
Deprez
: Bij iedere werknemer van de onderneming. De CIO moet uiteraard zorgen voor een doordachte architectuur en voor de beveiliging van de systemen. Maar firewalls en antivirusprogramma's volstaan niet. Beveiliging is voor 30 procent techniek en voor 70 procent een kwestie van organisatie, van processen, en van mentaliteit. Voor een goede informatieveiligheid is de bedrijfscultuur cruciaal. Iedereen moet zich verantwoordelijk voelen.