Zes ICT-aandachtspunten voor bestuurders

De informatie- en communicatietechnologie (ICT) ontwikkelt zich in een adembenemend tempo: SaaS, wearables, sociale toepassingen en ICT-sourcing in alle mogelijke smaken. Marco Ebbers en Bas aan de Wiel geven zes ICT-aandachtspunten voor bestuurders waar ze de komende drie jaar rekening mee moeten houden.

In historisch perspectief ontwikkelt ICT zich van een ondersteunende rol naar een rol die het succes of falen van de organisatie bepaalt. Sterker nog, ICT wordt leidend voor de inrichting van de gehele voortbrengingsketen en de eind-tot-eind-klantinteractie en klantervaring. De plaats die digitale technologie en software innemen groeit met de dag. 

Het slim toepassen van informatietechnologie wordt steeds kritischer en steeds meer van strategisch belang. Het is dan ook essentieel dat organisaties een ICT-visie en ICT-strategie ontwikkelen die goed aansluit op de organisatiestrategie. Aan de andere kant moet ook rekening gehouden worden met bepaalde ICT-trends. Deze trends leiden tot een zes aandachtspunten voor bestuurders.

Zes ICT-aandachtspunten voor bestuurders

De komende jaren dienen bestuurders rekening te houden met zes aandachtspunten.

1. Technologie: techniek en technisch beheer verdwijnen steeds meer naar ‘buiten’.
2. Organisatie : nadruk van ICT-organisatie verschuift van operatie naar regie en advies.
3. Informatievoorziening: data worden dé asset van de organisatie.
4. Informatiebeveiliging en privacy: digitale weerbaarheid blijft een aandachtspunt.
5. Financiën: CAPEX gaat steeds meer over naar OPEX.
6. Juridisch: goede afspraken met ICT-dienstverleners zijn belangrijker dan ooit.

Hieronder beschrijven we de ICT-trends die tot deze aandachtspunten voor bestuurders hebben geleid. Vervolgens beschrijven we de aandachtspunten in detail.

ICT-trends

Van ondersteunende rol naar onmisbare schakel in bedrijfsprocessen

Voor iedereen is duidelijk dat ICT een steeds grotere rol speelt in bedrijfsprocessen. Waar ICT vroeger meer ter ondersteuning van bedrijfsprocessen werd toegepast, is ICT tegenwoordig een onmisbare schakel in de bedrijfsprocessen. Wat kan een ziekenhuis nog als het elektronisch patiëntendossier (EPD) eruit ligt? Wat kan een gemeente nog als de burgerzakenapplicatie of haar zaaksysteem eruit ligt? 

In het figuur hieronder is het ICT- en bedrijfsdomein weergegeven. Het ICT-domein is de enabler voor het bedrijfsdomein en het bedrijfsdomein moet ondersteund worden door het ICT-domein. Dit betekent dat er een nauwe band moet zijn tussen het ICT-domein en het bedrijfsdomein. 

^{Figuur 1: ICT- en Bedrijfsdomein}

Dit betekent ook dat organisaties steeds beter in staat moeten zijn om hun wensen over de inzet van ICT te bepalen. Informatie en technologie zijn immers nodig om bedrijfsprocessen te optimaliseren. De regie op de ontwikkeling van ICT, die traditioneel bij I&A ligt, verschuift daardoor naar het primaire proces en I&A krijgt steeds meer de rol van adviseur of technologiepartner, naast de traditionele rol van beheerder van de bestaande ICT-functionaliteit. Deze twee rollen zijn in het algemeen moeilijk te combineren. Traditioneel beheer vraagt om stabiliteit, dus weinig verandering. Inspelen op de vraag van de business vraagt juist om innovatie en flexibiliteit. Vanuit deze optiek kiezen steeds meer organisaties ervoor om generieke ICT-zaken zoveel mogelijk uit te besteden en ICT als dienst af te nemen. Dit brengt ons tot de volgende trend.

Outsourcing van ICT blijft toenemen

Uit diverse onderzoeken blijkt dat ICT-outsourcing ook de komende jaren blijft toenemen. Als we deze trend wat nader bekijken dan zien we hier twee aanjagers voor. In onderstaande figuur is het ICT-domein uit Figuur 1 weergegeven. Met de pijlen zijn de twee aanjagers aangegeven. Deze aanjagers zijn hieronder verder beschreven. 

^{Figuur 2: ICT-sourcing trends} 

Outsourcing van generieke ICT blijft toenemen (pijl naar boven)

Het afgelopen decennium zagen we dat de meeste organisaties de ‘onderste’ lagen van de ICT steeds vaker outsourceten. Het aantal organisaties dat nog beschikt over bijvoorbeeld een eigen datacenter neemt zienderogen af. Hiervoor in de plaats komen zogenaamde ‘private datacenters’ die vaak in eigendom zijn van ICT-dienstverleners/beheerders, of door hen zijn ingekocht bij kleinere cloud-providers. De laatste jaren zien we ook steeds meer public clouddiensten, zoals Amazon Web Services, Microsoft Azure, of Google Cloud Platform die invulling geven aan de onderste lagen (datacenter en ICT-infrastructuur) in bovenstaand figuur.

Ook nemen organisaties de ICT-infrastructuur steeds meer als dienst af in plaats van zelf apparatuur te kopen. Dit gebeurt vaak in combinatie met een private of public clouddienst. En als organisaties voor het technisch beheer onvoldoende expertise kunnen werven en vasthouden, wordt ook dat steeds vaker uitbesteed. In bovenstaande figuur is dit geïllustreerd door de pijl van onder naar boven.

Triggers voor het steeds meer outsourcen van delen van de techniek zijn:

• onvoldoende kwaliteit en/of continuïteit van ICT-dienstverlening, vaak weer een gevolg van het niet kunnen beschikken over voldoende gekwalificeerd personeel;
• grote noodzakelijke investeringen in datacenter of centrale ICT-infrastructuur;
• onvoorspelbaarheid/onbeheersbaarheid van ICT-kosten;
• benodigde flexibiliteit door verSaaSing van het applicatielandschap (zie ook hieronder);
• verhuizing/fusie;
• beleidsverandering (bijvoorbeeld focus op kernactiviteiten, streven naar kleinere en wendbare organisatie). 

VerSaaSing van applicatielandschap is niet te stoppen (pijl naar links)

Naast deze beweging ‘van onderen’ zie we ook een duidelijke trend van rechts naar links. Steeds meer applicaties worden niet meer intern gehost, maar afgenomen als SaaS, waarbij alles wat nodig is om deze applicatie beschikbaar te maken door de applicatieleverancier verzorgd wordt.

Daardoor is er binnen de eigen organisatie steeds minder ICT nodig. Waar de trend ‘van onder naar boven’ zelf door de organisatie bepaald kan worden, geldt dit veel minder voor de verSaaSingstrend. Steeds meer applicatieleveranciers brengen nieuwe versies van applicaties alleen nog maar in SaaS vorm uit, waardoor er feitelijk weinig keuze overblijft om dit zelf te beheren. 

Waar eindigt dit?

Uiteindelijk leveren de genoemde ontwikkelingen een situatie op waarin organisaties het overgrote deel van hun applicaties verSaaSt hebben. We zien dit nu al gebeuren bij organisaties met een relatief eenvoudig ICT- en applicatielandschap. Op termijn zal dit voor de meeste organisaties gelden. 

VerSaaSing heeft tot gevolg dat de hele technologie laag die nodig is om de applicatie beschikbaar te maken, de verantwoordelijkheid is van de applicatieleverancier. De klantorganisatie focust zich op het functioneel beheer (de link tussen de bedrijfsprocessen en de applicaties waarmee deze processen ondersteund worden). 

Er blijft daardoor weinig techniek over op locatie van de organisatie. Bijna alles verhuist naar buiten. Grofweg blijven alleen zaken zoals lokale vaste en draadloze netwerken en printing over. Maar ook het beheer hiervan zullen organisaties naar verwachting gaan uitbesteden.

Het gevolg van deze ontwikkeling is dat de aansturing van de diverse dienstverleners, waaronder SaaS-partijen en ICT-dienstverleners, goed geregeld moet zijn. Bovendien moeten alle diensten tot één geïntegreerde dienst worden samengevoegd. Organisaties zullen dus steeds minder ICT-infrastructuur en technische beheerders nodig hebben. De hoofdtaak verschuift van beheren naar regisseren. 

Voor de meeste organisaties zal de komende jaren echter sprake zijn van een hybride situatie, waarbij een deel van het applicatielandschap verSaaSt is, terwijl het andere deel van het applicatie-landschap nog door de organisatie zelf wordt gehost of wordt uitbesteed aan een ICT-dienstverlener.

Deze organisaties zullen nog langere tijd te maken hebben met technische hostingdiensten (al dan niet uitbesteed aan een marktpartij). Daarnaast moeten ze uiteraard ook de SaaS-partijen aansturen.

Beveiliging wordt steeds belangrijker

Berichten dat een organisatie is gehackt of dat ransomware is geïnstalleerd horen we regelmatig in de media. En we kunnen aannemen dat wat we horen het spreekwoordelijke ‘topje van de ijsberg’ is. Elke organisatie moet zich afdoende beveiligen, zodat de continuïteit van de ICT gegarandeerd is, en geen privacy- of bedrijfsgevoelige informatie naar buiten komt, of in elk geval de kans daartoe tot acceptabele niveaus is teruggebracht. 

Deze beveiliging bestaat uit zowel technische als organisatorische maatregelen. Ook kan het outsourcen van bepaalde delen van ICT de kwetsbaarheid verminderen. Hierbij is relevante kennis nodig om de juiste partij(en) te selecteren, en na gunning goed aan te sturen. Want ook al worden bepaalde zaken geoutsourcet, de klantorganisatie blijft altijd eindverantwoordelijk.

Uitwerking van de zes ICT-aandachtspunten

1. Technologie: techniek en technisch beheer verdwijnen steeds meer naar ‘buiten’

• Door steeds verdere verSaaSing van het applicatielandschap en outsourcing van generieke technische ICT-infrastructuur en -beheer, neemt de behoefte aan lokale technische ICT-infrastructuur steeds verder af.
• Hierdoor zijn er ook steeds minder of kleinere eigen datacenters/eigen technische ruimtes nodig. De meeste organisaties gaan gebruikmaken van externe datacenters.
• Deze externe datacenters zijn nu vaak nog in eigendom van (lokale) ICT-dienstverleners die ook beheer- en hostingdiensten leveren. Steeds meer worden de datacenterdiensten geleverd door zogenaamde public cloudpartijen (zoals Microsoft Azure, Amazon AWS, Google cloudplatform).
• Business continuity blijft ook aandacht houden. Zowel grote public cloudpartijen als SaaS-leveranciers kunnen verstoringen hebben. Organisaties moeten hiermee bij de selectie van partijen uitdrukkelijk rekening houden om te garanderen dat de beschikbaarheid overeenkomt met de eisen die aan de business processen worden gesteld. En voor het geval dat er toch iets misgaat moet er een plan zijn hoe de bedrijfsprocessen nog zo goed mogelijk doorgang kunnen vinden.
• Selectie van SaaS-partijen kan niet zonder samen te werken met de eigen ICT-organisatie. SaaS is helaas niet het walhalla. Zeker als er koppelingen met SaaS-applicaties nodig zijn, vereist dit eigen ICT-expertise.
• Goede netwerkverbindingen (internet en wifi) zijn zowel op kantoor als tegenwoordig ook thuis van groot belang. Verbinding met internet is namelijk dé lifeline van de organisatie.
• Sinds Covid-19 zijn multimedia niet meer weg te denken; dit stelt eisen aan werkplekken, netwerken en achterliggende ICT-infrastructuur.

2. Organisatie: nadruk van ICT-organisatie verschuift van operatie naar regie en advies

• Door steeds verdere verSaaSing van het applicatielandschap en outsourcing van generieke technische ICT-infrastructuur en -beheer is technische expertise, zoals systeembeheer, steeds minder nodig.
• In plaats daarvan wordt expertise op het gebied van regievoering, architectuur (zowel applicatie als technische architectuur) en applicatiekoppelingen steeds belangrijker.
• De rol van de I&A-organisatie verandert steeds meer van het in de lucht houden van vaak min of meer standaard-ICT, naar het adviseren van de business. De digitale transformatie zorgt ervoor dat de business steeds meer aan het roer komt te staan, ook waar het benodigde ICT-diensten betreft. Het leidende motief van de eigen ICT-organisatie moet dus veranderen van ‘stabiliteit en beschikbaarheid’ naar meer ‘innovatie en proberen’. Dit uiteraard terwijl de basis ICT-diensten wel gewoon stabiel en beschikbaar blijven. Dit zal voor veel organisaties een uitdaging zijn, waarbij de sourcingdiscussie over het uitbesteden van generieke ICT-diensten, die voor de organisatie niet van strategisch belang zijn, actueel wordt. 

3. Informatievoorziening: data blijft aandacht opeisen

• Data wordt steeds belangrijker voor organisaties. Zij doen steeds meer met data (BI, artificial intelligence). Dit betekent dat de kwaliteit en de beschikbaarheid van data van groot belang zijn.
• Door de beweging naar de cloud staan deze data steeds verder af van de organisatie. In fysiek opzicht verhuizen data van on premise-systemen (eigen datacenters), naar private en public cloud of ze worden opgeslagen door SaaS-applicaties.
• Bij SaaS-applicaties moeten duidelijke afspraken worden gemaakt  om ervoor te zorgen dat de klant in alle situaties over de data kan beschikken. Dit geldt dus ook bij overgang naar een andere applicatie, een andere integrator of faillissement van de SaaS-leverancier. Bij het selecteren van SaaS-applicaties moet daarom veel aandacht uitgaan naar mogelijke exit-strategieën. Hoe krijg ik mijn data straks uit de SaaS-applicatie, en zodanig dat ik deze kan verwerken en weer in een andere applicaties kan inlezen. Zonder goede strategie is de kans op vendor lock-in bij applicatieleveranciers erg groot.
• De flexibiliteit om te kunnen wisselen tussen applicaties en leveranciers zal afnemen vergeleken met niet-SaaS-applicaties. Er kunnen namelijk naar verwachting niet met alle SaaS-leveranciers sluitende afspraken worden gemaakt. Bovendien is de afhankelijkheid van deze SaaS-leveranciers qua dataportabiliteit groot.
• Data-uitwisseling via koppelingen tussen applicaties blijft een aandachtspunt. Data-uitwisseling tussen SaaS-applicaties betreft in het algemeen 1:1-koppelingen (zogenaamde Application Program Interfaces - API’s) en deze worden voor elke combinatie van applicaties apart ontwikkeld. Gezien het dynamische karakter van SaaS-applicaties zal de correcte werking van de verschillende koppelingen een continu aandachtspunt zijn.

4. Informatiebeveiliging en privacy: digitale weerbaarheid blijft een aandachtspunt

• De kans op beveiligingsaanvallen blijft groot, zeker voor ‘aantrekkelijke’ organisaties met veel privacygevoelige data. Beveiligingsincidenten hebben niet alleen invloed op de beschikbaarheid van applicaties en data, maar ook steeds meer op de integriteit en vertrouwelijkheid van data. Aanvallers die data hebben buit gemaakt, kunnen deze op allerlei manieren gebruiken. Dit kan organisaties voor grote dilemma’s plaatsen: gaan we de aanvallers betalen of nemen we het risico dat zij grote hoeveelheden data lekken.
• De maatregelen die organisaties kunnen nemen om zich voldoende te wapenen tegen allerlei aanvallen, zoals via ransomware, zullen blijven toenemen. Het is een kat-en-muisspel. Bijna alle organisaties moeten hiervoor externe expertise inschakelen. Zij kunnen de risico’s ook deels mitigeren door zaken te outsourcen. Bijvoorbeeld door het outsourcen van het datacenter, ICT-infrastructuur en technisch beheer, maar ook door het afnemen van applicaties als SaaS.
• Als delen van ICT zijn uitbesteed aan een ICT-dienstverlener, dan moet deze laatste de beveiliging goed regelen. Dit betekent dat de organisatie met deze dienstverlener de juiste afspraken moet maken, zowel technisch/functioneel als contractueel. Bij private cloudpartijen moet de organisatie in de lead zijn, bij public cloudpartijen is zij van hen afhankelijk. Dat betekent aan de ene kant dat er minder invloed is. Aan de andere kant hebben deze partijen het in het algemeen goed geregeld en beschikken ze over de meest uitgebreide maatregelen en certificeringen.
• Ook awareness van medewerkers blijft van belang, want door het outsourcen van techniek verdwijnen helaas niet de gevaren van ‘foute’ handelingen. Phishing is hier een voorbeeld van.

5. Financiën: CAPEX gaat steeds meer over naar OPEX

• Doordat de meeste ICT-diensten op termijn uit de cloud worden afgenomen, zet de overgang van CAPEX naar OPEX zich verder voort. Gevolg hiervan is dat het afschrijvingsmechanisme niet meer goed werkt. Er zijn minder zaken waarop afgeschreven wordt, maar regelmatig zullen zich toch veranderingen blijven aandienen die om nieuwe investeringen vragen. Denk aan de aanschaf van een nieuwe SaaS-applicatie, inclusief migratie van eventuele data.

• Gezien het algemene pay per use-principe van clouddiensten kan er eenvoudig op- en afgeschaald worden, zonder dat dit tot onverwachte kosten leidt.

• Omdat alle zaken op basis van pay per use betaald worden, is het belangrijk dat de administratie van applicaties en accounts een grote mate van nauwkeurigheid heeft, om te voorkomen dat er te veel betaald wordt. 

6. Juridisch: goede afspraken met ICT-dienstverleners zijn belangrijker dan ooit

• Gezien het toenemende belang en de afhankelijkheid van ICT én de verdere outsourcing en verSaaSing moeten de kwaliteit en continuïteit van de dienstverlening goed geregeld zijn. Ook na contractafloop of faillissement van een leverancier moeten eigen data beschikbaar blijven.

• Omdat de verantwoordelijkheid voor informatiebeveiliging en privacy voor een groot deel bij cloud-partijen komt te liggen, zijn goede afspraken hierover onmisbaar.

Meer weten?

Of bent u benieuwd wat M&I/Partners voor u kan betekenen? Neem dan vrijblijvend contact op met Marco Ebbers of Bas aan de Wiel van M&I/Partners.