Aanvallen door ransomware zijn in een jaar tijd verviervoudigd, volgens het Agence nationale de la sécurité des systèmes d'information (ANSSI). Deze criminele activiteiten zijn weer aangewakkerd door de gezondheidscrisis en het massale gebruik van online tools voor telewerken. Geconfronteerd met deze bedreigingen moeten bedrijven hun beveiligingsstrategie aanpassen, maar dat is niet alles. Het is de hele bestuur waar opnieuw over nagedacht moet worden. Henri Puissant*, een specialist in IS organisatie, en Yann-Eric Devars*, een enterprise architectuur consultant, beiden ORSYS trainers, brengen ons hun expertise om ons te helpen deze transformatie van systemen en praktijken te beginnen.
De massale intrede van bedrijven in de cybersfeer opent nieuwe horizonten en leidt tot tal van innovaties, maar stelt ook het ondernemingsbestuur op de proef, met name op het gebied van beveiliging. In het kielzog van gegevensdiefstal, ransomware (ziekenhuizen, overheidsdiensten, bedrijven), cyberspionage (SolarWinds-affaire, enz.) en aanvallen op de infrastructuur (drinkwater Oldsmar, enz.), peilen de leiders van landen, overheidsdiensten en bedrijven naar de kwetsbaarheid van hun organisaties en worden ze zich bewust, of worden ze door de autoriteiten aangespoord om zich bewust te worden, van de noodzaak om de architectuur van hun organisaties en informatiesystemen te controleren.
Staatsbestuur op zijn kop door cyberdreigingen
Rond de eeuwwisseling van de jaren negentig kreeg Timothy John Berners-Lee met de creatie van het World Wide Web, net als Columbus' aankomst in Amerika, voet aan de grond in de cybersfeer. Hij kon zich niet voorstellen welk lot zijn ontdekking zou beschoren zijn: de opkomst van de GAFA's, Cambridge Analytica, ransomware, enzovoort.
58 jaar na de ontdekking van Amerika bracht Karel V juristen en theologen samen in Valladolid om de regels van de kolonisatie vast te stellen, d.w.z. de manier waarop Indianen konden worden onderworpen en bekeerd. Op dezelfde manier promootte Sir Timothy John Berners-Lee, lange tijd voorzitter van W3C, de technische regulator van het web, 30 jaar na de ontdekking van het web een contract met gedragsregels voor webspelers om ervoor te zorgen dat het web een openbaar goed bleef ten dienste van de mensheid.
In Valladolid was er nog niets beslist tussen ethiek en belangen. Het valt te vrezen dat hetzelfde zal gelden voor het initiatief van Sir Timothy John Berners-Lee en dat er na verloop van tijd een nieuw evenwicht zal moeten worden gevonden. Staten vinden het erg moeilijk om wetten op te stellen en het internet, dat buiten hun controle ligt, te reguleren. Ze worden al geconfronteerd met cyberaanvallen. Estland aangevallen door dienstweigeringIran en de centrifuge-affaire, de VS en de SolarWinds-affaire, om er maar een paar te noemen. Staten rusten zichzelf uit met verdedigingsmiddelen, leggen beperkingen op aan bepaalde activiteiten (gezondheid, energie, voedsel, waterbeheer, enz.) en wijzen zo de "beste spelers" aan. Operatoren van Vitaal Belang (OIV) om hun activiteiten en burgers te beschermen.
Cybercriminaliteit eist zijn tol op het gebied van corporate governance
Net als voor regeringen is het voor bedrijven gevaarlijk om door deze nieuwe horizonten te navigeren. Aan het roer van bedrijven moeten managers echte stormen trotseren. Volgens academicus Michel Serres betekent "regeren" weten waar je vandaan komt, waar je bent geweest en waar je bent, en dus je logboek en de staat van je schip kennen. Maar het betekent ook weten waar we naartoe gaan en onze koers aanpassen aan de toestand van het schip en zijn ecosysteem. Hoe ontwikkel je een strategie? Welke risico's lopen we? Welke wettelijke, socio-technische en omgevingsbeperkingen moeten worden gerespecteerd? Welke organisatie moet er komen? Hoe stel je een dashboard samen dat de toestand van het bedrijf in zijn ecosysteem weerspiegelt en waarmee het effectief kan worden gemanaged?
Op al deze vragen zijn de volgende antwoorden essentieel: de ontwikkeling van governanceprincipes met betrekking tot strategie, acquisities, prestaties, naleving van wet- en regelgeving, menselijk gedrag en verantwoordelijkheden; diepgaande kennis van het ecosysteem van het bedrijf; beheersing van de architectuur van het bedrijf in combinatie met diepgaand denken hierover.
Reflecties op architectuur
Is het systeem in staat zijn strategische doelen te bereiken en zich snel aan te passen aan veranderingen in het ecosysteem? Is het in staat om te gaan met de risico's die zich zullen voordoen en beschikt het over de middelen om zichzelf te verdedigen? Heeft het een structuur die het de veerkracht, flexibiliteit en wendbaarheid geeft die het nodig heeft om veranderingen aan te kunnen? De vooruitgang in de Wet van Moore en software engineering maken nieuwe architecturen mogelijk. De SolarWinds-affaire toont echter het volgende aan de huidige naïviteit van sommige managers in bedrijven en de publieke sector die open source of propriëtaire systemen integreren zonder de risico's te controleren. Dit geval, net als de tekorten als gevolg van de COVID-crisis, laat zien hoe strategisch uitbesteding is in een tijd waarin de cybersfeer bedrijven tal van mogelijkheden biedt om een beroep te doen op externe diensten om hun waardeketen te verbeteren.
Gedachten over management
Maar chaos kun je niet besturen! Hoe kunnen we het beheer van de bemanning zo organiseren dat het bedrijf zich aanpast aan zijn nieuwe ecosysteem en overleeft? Bedrijfsprocessen moeten worden beheerst. Is het niet de rol van de IT-afdeling om samen te werken met de business lines van het bedrijf om informatie- en telecommunicatietechnologieën te injecteren? Het is daarom zinloos om afzonderlijk te praten over governance van informatiesystemen en corporate governance.De twee zijn nauw met elkaar verbonden. In de woorden van Nicolas Carr, wat telt is de business: " IT doet er niet toe " ! Bovendien, als het over IT gaat, kunnen we het dan nog steeds alleen over informatiesystemen hebben als, met AI, robots en verbonden objecten, IT de leiding neemt over veel bedrijfsprocessen en een effector op de echte wereld wordt, zoals de Oldsmar case illustreert?
Veranderingen in gedrag
IT-afdelingen, die tot nu toe maar al te vaak 'technocentrisch' waren, moeten hun acties heroriënteren naar het creëren van waarde voor het bedrijf en deelnemen aan de ontwikkeling van de strategie. Omgekeerd zijn technologie en informatiesystemen zo belangrijk geworden voor het bereiken van de doelstellingen van de onderneming dat ze niet langer uitsluitend kunnen worden beschouwd als een middel om reeds geïdentificeerde doelstellingen te bereiken. Dus het management van de Onderneming, de IT-afdeling en het management van de Bedrijfsafdeling moeten nauw samenwerken. Daarom is de introductie van Beheerders van zakelijke relaties is een essentieel organisatorisch hulpmiddel om de samenwerking tussen alle spelers in een bedrijf te verbeteren, collectieve intelligentie te ontwikkelen en zo het bestuur te verbeteren.
Governance: je vaardigheden ontwikkelen via training
Training is een essentiële sleutel tot het ontgrendelen van deze drie sloten (architectuur, management en gedrag). I-Training en Diensten heeft vier seminars ontwikkeld en gegeven, exclusief gepubliceerd door ORSYS een op het concept van bestuur en de organisatie ervande tweede op bedrijfsarchitectuurde derde op het bedrijf aanpassen aan de uitdagingen van digitale technologiede vierde op de Beheer van zakelijke relaties. Deze seminars worden opgesplitst in twee praktische cursussen: het ontwikkelen van een dashboard en het beheersen van enterprise architectuur. Ze behandelen de standaarden en best practices op deze gebieden en delen de ervaring van de instructeurs met de deelnemers. Onze andere cyberbeveiligingstrainingen maken dit vaccinatieprogramma tegen deze virtuele maar zeer reële bedreigingen compleet.
