Global Technology Services
Onderzoeksrapport
Reputatierisico’s en de IT Beveiliging en bedrijfscontinuïteit als bepalende factoren voor de waarde van uw bedrijf
Uitkomsten van de IBM Global Reputational Risk and IT Study 2012
Risicomanagement
Reputatierisico’s en de IT: Beveiliging, bedrijfscontinuïteit en technische ondersteuning als bepalende factoren voor de waarde van uw bedrijf is een onderzoek van IBM waarin wordt ingegaan op de manier waarop organisaties over de hele wereld omgaan met hun reputatie. In het huidige digitale tijdperk is de IT uitgegroeid tot een integraal onderdeel van de organisatie en kunnen IT-storingen al snel leiden tot reputatieschade. Het rapport is geschreven door de Economist Intelligence Unit (EIU), die namens IBM ook verantwoordelijk was voor de uitvoering van de online enquêtes en de interviews die werden gehouden.
Over de enquête De enquête werd in juni 2012 door de EIU uitgevoerd onder 427 senior executives uit alle delen van de wereld. Van de respondenten was 42 procent C-level executive. Ongeveer 33 procent van de respondenten werkt in Noord-Amerika, 29 procent in Europa en 26 procent in Asia-Pacific. Bedrijven met een omzet van minder dan US$ 500M vormen 37 procent van de respondenten; 52 procent van de deelnemende bedrijven heeft een omzet van meer dan US$ 1B. De enquête beslaat nagenoeg alle sectoren, zoals het bankwezen (19 procent), IT en technologie (15 procent), energie- en nutsbedrijven (13 procent) en het verzekeringswezen (11 percent).
We willen alle deelnemers en respondenten hartelijk danken voor hun waardevolle bijdrage.
Respondenten: 427 Midden-Oosten / Afrika, 8%
Sectoren: 23*
Latijns-Amerika, 5% Alle overige, 28%
NoordAmerika, 33%
Asia-Pacific, 26%
IT/Technologie, 15%
Professionele services, 5% Fiscale markten, 9%
Energie/ Nutsbedrijven, 13% Verzekeraars, 11%
Europa, 29%
Functienamen: 15* Overige nietC-suite, 23%
IT-manager, 24%
SVP/VP/ Directeur 11%
CIO/CTO/Tech directeur, 12%
Overige C-suite, 14%
Banken, 19%
Bedrijfsgrootten: 5
$10B of meer, 27%
$500M of minder, 37%
$5B tot $10B, 9%
CEO/President/ Managing Director, 13%
$1B tot $5B, 16%
$500M tot $1B, 13%
CRO/Risk Director, 3% *Categorieën met de meeste respondenten
De IBM Global Reputational Risk and IT Study 2011 is een enquête die door de EIU is gehouden onder 427 senior executives uit alle delen van de wereld.
Risicobeheer 2
Een vlekkeloze reputatie Executives hebben meestal een goed beeld van de waarde die de reputatie voor hun bedrijf vertegenwoordigt. Een sterke reputatie leidt tot vertrouwen van stakeholders. Als een bedrijf betrouwbaar is, worden de producten door consumenten gekocht en aanbevolen. Mogelijke investeerders en werknemers zullen er graag bij willen horen. En dergelijke bedrijven worden met open armen ontvangen in alle geledingen van de maatschappij. De harde realiteit is echter dat het voor bedrijven in het digitale tijdperk steeds moeilijker wordt om hun reputatie op peil te houden. Hun reputatie kan door tal van factoren worden aangetast – niet in de laatste plaats door IT-storingen. Nu social-mediasites zoals Facebook en Twitter zich kunnen verheugen in enorme aantallen gebruikers (respectievelijk 950 miljoen en 500 miljoen), is er een zeer zichtbaar en direct alternatief voor de eigen communicatie van een bedrijf met betrekking tot zijn reputatie. In reactie daarop zijn er steeds meer bedrijven die reputatierisico’s gaan benaderen als een afzonderlijke categorie binnen hun risicomanagementframework. Uit ons onderzoek blijkt dat veel bedrijven beter zijn gaan letten op de verbanden tussen IT-storingen en reputatieschade. Ons onderzoek gaat in op de manier waarop executives hun merken proberen te beschermen tegen datgene wat we zouden kunnen aanduiden als ‘een uitglijder die te voorkomen was geweest’. Op basis van dit wereldwijde onderzoek onder 427 senior executives concluderen wij dat de reputatie van een bedrijf wordt bepaald door drie krachten: het leveren van de best mogelijke producten of diensten, betrokkenheid met en van de klant, en de status een betrouwbare partner te zijn. Kijken we nu hoezeer bedrijven op alle drie die fronten – om nog maar te zwijgen van het runnen van het bedrijf – afhankelijk zijn geworden van technologie, dan wordt al snel duidelijk waar iedereen het over eens is: IT-risico’s kunnen de productiviteit in gevaar brengen, de relatie met de klant beschadigen en uiteindelijk het vertrouwen uithollen.
‘De IT…lijkt op het hart, dat het hele lichaam van bloed voorziet. Elke storing kan het voortbestaan van het hele organisme in gevaar brengen.’ – IT-manager van een Frans IT- en technologiebedrijf
Onderbreking van de bedrijfscontinuïteit is een van de onmiskenbare IT-gerelateerde risico’s die de reputatie van een bedrijf kunnen beschadigen. Maar het onderzoek laat zien dat er ook andere IT-dreigingen zijn – dreigingen waarbij de bedrijfsvoering niet wordt onderbroken – die in de lijst van risicofactoren net zo hoog, zo niet hoger scoren dan bedrijfscontinuïteit. Veel executives beschouwen diefstal van gegevens en cybercriminaliteit als de grootste dreigingen, ruim vóór systeemstoringen. De zaak wordt nog ingewikkelder door opkomende technologieën, zoals cloud, bring-your-own-device (BYOD) en sociale media. De dreigingen van deze nieuwe technologieën zijn minder goed in de hand te houden dan andere IT-dreigingen, want de meeste organisaties hebben nog niet de tijd gehad om zich er volledig aan aan te passen. Bovendien kunnen ze, zoals in het geval van BYOD en sociale media, vaak geen duidelijk onderscheid meer maken tussen professionele tools en privétools. Jaideep Jain, een IT business partner met een mondiaal opererend bedrijf voor consumentengoederen in India, zegt dat met name grotere bedrijven relatief traag zijn met de overstap op technologieën als cloud en BYOD. ’Deze dreigingen worden wel onder ogen gezien, maar…we beschikken niet over gegevens om de risico’s te kwantificeren. En omdat we die technologieën zo voorzichtig benaderen, is de kans kleiner dat we ooit een incident hebben meegemaakt.’ Bovendien, zo voegt Jain eraan toe, moet er eerst een incident optreden of een slechte score uit een penetratietest komen, wil de organisatie zijn aandacht werkelijk op een nieuwe zwakke plek in de IT vestigen.
3
Reputatierisico’s en de IT
Dit rapport beschrijft op welke manier organisaties overal ter wereld proberen hun reputatie te beschermen door zich aan te passen aan deze doorlopende verschuivingen in het bedrijfsleven en het IT-landschap.
Een pondje preventie De laatste tijd zijn executives nauwkeuriger gaan kijken naar de gevolgen van IT-storingen op de reputatie van hun bedrijf. Volgens de respondenten van het onderzoek heeft de IT vooral een sterke invloed op de klanttevredenheid, de compliance en de reputatie van het merk (zie Figuur 1).
46%
Klanttevredenheid
Het valt goed te begrijpen waarom executives vinden dat de beveiliging een sterker verband heeft met reputatierisico’s dan andere IT-functies, zoals bedrijfscontinuïteit en technische ondersteuning. Stel bijvoorbeeld dat er wordt ingebroken in de klantendatabase van een bedrijf en dat er creditcardnummers van klanten worden gestolen. De reputatie van dat bedrijf heeft daar beslist onder te lijden. In diezelfde geest geven de respondenten te kennen dat diefstal van gegevens / cybercriminaliteit (61 procent) een grotere bedreiging voor de reputatie vormt dan systeemstoringen (44 procent). Dit versterkt het beeld dat de beveiliging voor executives een hoofdrol speelt (zie Figuur 2).
Diefstal van gegevens / cybercriminaliteit
Compliance
41%
Systeemstoringen
Merkreputatie
40%
Verlies van gegevens / mislukte backup
Winstgevendheid
21% 18%
Storingen van websites
Relaties met leveranciers en partners
17%
Onvoldoende maatregelen voor noodherstel
13%
Figuur 1. Percentage van de respondenten dat aangeeft dat IT-risico’s voor een bepaald aspect ‘zeer grote’ gevolgen hebben
Verder geven de executives aan dat de IT drie kernverantwoordelijkheden heeft waarbinnen de reputatierisico’s het grootst zijn: • Beveiliging (84 procent) • Bedrijfscontinuïteit (77 procent) • Technische ondersteuning (68 procent).
44% 37%
Niet-naleving van wet- en regelgeving
Aanwezigheid in sociale media
Marktwaarde
61%
Slechte bedrijfscontinuïteitsplannen Gebrek0 aan IT-skills / 40 20 slechte technische ondersteuning Overstap op nieuwe technologie (bijv. cloud) Mobiliteit van workforce (bijv. BYOD)
22% 18% 17% 15% 60
14%
80
100
8% 3%
Figuur 2. IT-risico’s de de grootste bedreiging voor de reputatie vormen.
Risicobeheer 4
Technische ondersteuning komt weliswaar pas op de derde plaats wat betreft de kernverantwoordelijkheden van de IT ten aanzien van mogelijke risico’s voor de reputatie van een bedrijf, maar als het gaat om storingen die een oplossingstijd van 6 tot 24 maanden vergen, staat technische ondersteuning bovenaan. Slechts 12 procent van de respondenten zegt in het recente verleden een ernstige technische storing te hebben meegemaakt, maar de intensiteit van het risico wordt versterkt doordat het relatief lang duurt om volledig te herstellen van dergelijke incidenten. De intensiteit van het risico kan nóg groter worden wanneer een bedrijf overstapt op nieuwe technologieën, zoals cloud en sociale media.
‘Het onderschatten van de prijs van reputatierisico’s is veel duurder dan het beschermen van de reputatie. Je kunt veel beter proactief zijn dan reactief.’ – IT-manager van een Amerikaans energie- en nutsbedrijf
Eén probleem dat in de uitkomsten van het onderzoek naar voren komt, is dat veel bedrijven het IT-risicomanagement op een reactieve manier benaderen. Het gebruikelijke beeld is dat ze middelen inzetten voor risico’s zoals diefstal van gegevens, cybercriminaliteit, systeemstoringen en mislukte backups: terreinen waarop ze in het verleden te kampen hebben gehad met ernstige storingen. Maar ze besteden minder aandacht aan opkomende risico’s die nog geen grote reputatieschade hebben veroorzaakt. Veel executives proberen echter méér te doen dan achterom kijken. Ongeveer tweederde van de deelnemers aan het onderzoek zegt dat zijn of haar onderneming zich in de toekomst meer gaat bezighouden met zijn reputatie. Van die groep geeft bijna de helft (43 procent) te kennen dat dit is ingegeven door de groei van de technologie en de sociale media. Slechts 20 procent noemt negatieve ervaringen uit het verleden als de primaire drijfveer. Bedrijven zijn niet alleen bereid op zoek te gaan naar
blinde vlekken in hun risicomanagementframework, ze zetten ook daadwerkelijk middelen in om hun IT-risicomanagement te ondersteunen. Niet minder dan driekwart van de respondenten zegt dat het IT-budget van zijn of haar organisatie de komende 12 maanden gaat toenemen in verband met zorgen over de reputatie, en bij 18 procent is er zelfs sprake van een toename van meer dan 20 procent. Of zoals een Amerikaanse respondent betoogt: ‘Het onderschatten van de prijs van reputatierisico’s is veel duurder dan het beschermen van de reputatie. Je kunt veel beter proactief zijn dan reactief.’
64
%
75
%
zegt dat zijn of haar bedrijf zich in de van de respondenten zegt dat het toekomst meer gaat bezighouden IT-budget van zijn of haar organisatie met het beschermen van de reputatie de komende 12 maanden gaat toenemen in verband met zorgen over de reputatie
Het inschatten van de risico’s van blinde vlekken en nieuwe technologieën komt in de toekomst waarschijnlijk in een stroomversnelling wanneer er case studies en scenario-analyses beschikbaar komen. Dat is beter dan te wachten op eigen ervaringen. ‘Voor het gebruiken van nieuwe technologieën zoals cloud heb je vertrouwen nodig,’ zegt Andrea MacIntosh, director kwaliteitscontrole van het Canadese bedrijf Alpha Technologies. ‘Maar hoe bouw je vertrouwen op? Ofwel door resultaten te tonen, ofwel door te kijken naar vergelijkbare organisaties die er succes mee hebben. Ik denk dat er voor bedrijven zoals het onze heel wat referentiemateriaal voorhanden is, maar zoals dat met elke nieuwe technologie het geval is, moet je wel voorzichtig zijn.’
5
Reputatierisico’s en de IT
Vijf kenmerken van zeer betrouwbare bedrijven Binnen dit onderzoek wordt onder een ‘succesvolle’ organisatie verstaan: een organisatie waarvan de reputatie door de respondenten zelf ’uitstekend’ wordt genoemd. Het is interessant dat slechts 30 procent van de respondenten zijn of haar eigen organisatie als zodanig kwalificeert. Ondanks de vooringenomenheid die inherent is aan een proces van zelfbeoordeling, blijkt uit een analyse van hun relatieve reputatie dat deze organisaties een gemeenschappelijke aanpak te zien geven wat betreft het koppelen van een sterk IT-risicomanagement aan een goed begrip van de schade die bepaalde IT-risico’s kunnen toebrengen aan de reputatie. Deze lijst is weliswaar verre van compleet, maar veel van de genoemde kenmerken zijn samengevat in de volgende lijst van vijf cruciale succesfactoren.
1
Integratie van reputatie- en IT-risico’s
Belangrijk is dat de overgrote meerderheid (83 procent) van de executives die hun eigen bedrijf een uitstekende reputatie toedichtten, aangaf dat de IT in hun bedrijf was geïntegreerd in het reputational risk management (zie Figuur 3). Maar het feit dat bijna tweederde (64 procent) van degenen die de reputatie van hun firma als gemiddeld of ondergemiddeld kwalificeerden, eveneens zei dat de IT bij hen was geïntegreerd in het reputational risk management, onderstreept eens te meer dat dit alléén nog geen garantie voor succes is.
2
Verband tussen IT-dreigingen en hoofdelementen van uw reputatie
Succesvolle organisaties ervaren een sterker verband tussen IT-dreigingen en de belangrijkste elementen van hun reputatie. Dat verband is met name sterk tussen de IT, de klanttevredenheid en de reputatie van het merk.
3
Krachtig IT risicomanagement
Ongeveer 84 procent van de bedrijven met een uitstekende reputatie zegt een sterke tot zeer sterke IT risicomanagementfunctie te hebben (zie Figuur 3).
Ter vergelijking: dit geldt voor minder dan 30 procent van de bedrijven die zichzelf een gemiddelde of ondergemiddelde reputatie toedichten. Het zal niet verbazen dat de combinatie van een uitstekende reputatie en een krachtig IT-risicomanagement ook betekent dat het bedrijf in kwestie minder incidenten meemaakt die ernstige gevolgen kunnen hebben voor de reputatie. In geval van gegevensdiefstal of cybercriminaliteit geeft bijvoorbeeld 80 procent van de respondenten die het IT-risicomanagement van hun bedrijf als ‘zeer sterk’ kwalificeren, aan dat ze een incident binnen zes maanden te boven komen, tegenover slechts de helft van de respondenten die hun IT-risicomanagement als ‘zwak’ bestempelen.
4
Robuuste funding voor IT-risicomanagement
Succesvolle ondernemingen beschikken over een IT-risicomanagementfunctie met voldoende middelen (zie Figuur 3). Het aandeel dat zegt dat de IT-risicomanagementfunctie van hun bedrijf voldoende funding heeft, daalt van 78 procent voor diegenen met een uitstekende reputatie naar 59 procent voor bedrijven met een zeer goede reputatie en 36 procent voor de rest.
5
Stringente controle op de supply chain
Bij succesvolle bedrijven is de kans veel groter dat ze van hun leveranciers en supply chain partners nadrukkelijk hetzelfde controleniveau verlangen als ze zelf intern hanteren (zie Figuur 3). Het aandeel van de respondenten dat zegt dit te doen, daalt van 58 procent voor degenen met een uitstekende beoordeling tot 38 procent die zichzelf als zeer goed beoordelen en 33 procent voor de anderen. Grotere bedrijven zijn meestal beter toegerust op de beheersing van IT-risico’s dan kleinere bedrijven. Dit verklaart het hogere percentage grote bedrijven met een uitstekende reputatie. Het is echter organisaties van elke omvang gelukt om de IT-risico’s zodanig te beheersen dat ze een uitstekende reputatie wisten op te bouwen.
10
20
20
30
40
40
60
50
60
80
70
80
100
0
0
Risicobeheer 6
78% 84%
83% 81%
59% 64%
58%
63% 36%
38%
33%
28%
IT integreren in het reputational risk management
Een sterke/zeer sterke ITrisicomanagementfunctie
Voldoende funding voor ITrisicomanagement
Van leveranciers en partners dezelfde standaarden eisen
Organisaties die hun reputatie kwalificeren als: Uitstekend
Zeer goed
Gemiddeld of slechter
Figuur 3. Belangrijke elementen van IT-risico’s en de frequentie waarmee deze zijn geïmplementeerd bij bedrijven met een uiteenlopende reputatie. Uit het onderzoek blijkt dat er een direct verband bestaat tussen IT-funding en het succes van het reputational risk management.
7
Reputatierisico’s en de IT
Veel bedrijven hameren er ook op dat hun supply chain ervoor zorgt dat ze een grotere mate van controle hebben op hun ITgerelateerde reputatierisico’s. Het deel van de executives dat zegt dat zijn of haar bedrijf nadrukkelijk van partners verlangt dat ze dezelfde mate van controle hanteren als zij zelf, varieert van 67 procent voor diefstal van gegevens / cybercriminaliteit tot 32 procent voor risico’s met betrekking tot de mobiliteit van hun werknemers (zie Figuur 4).
Diefstal van gegevens / cybercriminaliteit
67%
Gegevensverlies
63%
Systeemstoringen
60%
Niet-naleving van wet- en regelgeving
58%
Herstel na calamiteiten
53%
Bedrijfscontinuïteitsplan
52%
Storingen van websites Gebrek aan IT-skills Adoptie van technologie Mobiliteit van workforce
Andrea MacIntosh, wier bedrijf industriële elektriciteitsoplossingen levert, legt uit dat een storing in een van de noodstroominstallaties van Alpha ertoe zou kunnen leiden dat de noodoproepservice van een Amerikaans telecombedrijf zou worden lamgelegd. Dit zou een ernstige schending van de regelgeving betekenen. In dit geval zou een storing in een product van Alpha dus een IT-storing bij een klant veroorzaken. Als Alpha zelf te maken zou krijgen met een IT-storing die in brede kring bekend werd (bijvoorbeeld via een blog voor de elektriciteitsbranche), zou dat volgens MacIntosh eveneens een grote impact hebben op de reputatie van Alpha en ‘zouden we het vertrouwen van potentiële klanten kunnen verliezen.’ Volgens MacIntosh wordt men zich in toenemende mate bewust van dit verband: ‘Steeds meer klanten vragen ons om informatie over onze IT-infrastructuur en -beveiliging, en verlangen on-site audits in het kader van het kwalificatieproces voor leveranciers.’
50% 43% 37%
‘Steeds meer klanten vragen ons om informatie over onze IT-infrastructuur en -beveiliging, en verlangen on-site audits in het kader van het kwalificatieproces voor leveranciers.’ 20 40 60 80 100 0 – Andrea MacIntosh, directeur Kwaliteitscontrole, Alpha Technologies, Canada
32%
Figuur 4. Percentage van de respondenten dat van supply chain partners
nadrukkelijk hetzelfde niveau van IT-risicocontrole verlangt als intern voor de eigen organisatie geldt.
20
40
60
80
100
0
Risicobeheer 8
Top-down en bottom-up aanpak van ITgerelateerde reputatierisico’s Een grote meerderheid (meer dan 80 procent) van de executives in ons onderzoek is van mening dat de Chief Executive Officer (CEO) de eerst verantwoordelijke is voor de reputatie van hun bedrijf, gevolgd door de Chief Financial Officer (CFO, 31 procent), de Chief Information Officer (CIO, 27 procent), de CRO (23 procent) en de Chief Marketing Officer (CMO, 22 procent). Opvallend is dat bijna tweederde zegt dat de verantwoordelijkheid wordt gedeeld door meerdere C-level executives (zie Figuur 5).
80
%
CEO
31 CFO
%
27 23 %
CIO
CRO
%
22
%
CMO
Figuur 5. Wie is er verantwoordelijk? Als respondenten moeten kiezen
welke drie functies het meest verantwoordelijk zijn voor het managen van reputatierisico’s, wint de CEO afgemeten.
Dit sluit aan bij bredere trends die wijzen op een grotere verantwoordelijkheid van het C-level voor geïntegreerd bedrijfsbreed risicomanagement. In een onderzoek1 dat in 2011 door de EIU in opdracht van IBM werd uitgevoerd onder 391 senior executives, gaf 71 procent van de respondenten te kennen dat C-level executives ‘zeer betrokken’ waren bij de algehele risicomanagementstrategie van hun organisatie, en 88 procent zei te verwachten dat deze mate van betrokkenheid nog verder zou toenemen. Toch geven veel executives aan dat de meest succesvolle strategieën samenkomen wanneer risicomanagers met verschillende specialismen samenwerken, zodat er geïntegreerde risicoprofielen ontstaan voor het senior management. Bijna driekwart van de deelnemers aan het onderzoek zegt dat de blootstelling aan IT-risico’s op een effectieve manier wordt gecommuniceerd aan het C-level. Uit een EIU-onderzoek2 uit 2005 blijkt dat marketingmanagers toen slechts een bescheiden rol speelden in de beheersing van reputatierisico’s en dat hun functie, waar het dreigingen voor de reputatie betrof, voornamelijk beperkt was tot een communicatieve rol als ‘ogen en oren’ van het bedrijf. Kijken we naar de resultaten uit 2012, dan zien we dat een kwart van de respondenten van mening is dat de CMO een van de drie belangrijkste executives is met verantwoordelijkheid voor de reputatie van het bedrijf. Deze toenemende rol van de marketingfunctie duidt op een behoefte aan nauwere samenwerking tussen CIO’s en CMO’s, aangezien de meeste bedrijven gebruikmaken van technologie om wijs te worden uit de enorme hoeveelheden marketinggegevens die verborgen inzichten in de reputatie van het bedrijf kunnen herbergen.
9
Reputatierisico’s en de IT
De reputatie beschermen door communicatie
De sociale kant op met risicomanagement
Na een incident zijn het IT-specialisten die verantwoordelijk zijn voor de technische recovery. Zij moeten nauw samenwerken met hun tegenhangers bij marketing, communications en public relations, zodat er in de nasleep van een storing duidelijk kan worden gecommuniceerd met alle betrokkenen. Ervaren IT-executives zijn het erover eens dat de boodschap zowel snel als meedogenloos eerlijk moet zijn, vooral bij organisaties waar de media klaar zitten om vermeend bedrog van grote bedrijven aan de kaak te stellen. Volgens Jaideep Jain is het de beste bescherming om een zekere reputatie op te bouwen, in die zin dat het bedrijf transparant is en dat het effectief communiceert met stakeholders. Daar voegt hij aan toe: ‘Als er een incident plaatsvindt, is het belangrijk om de fout toe te geven en om precies te vertellen hoe deze is opgelost en wat er op dat moment aan wordt gedaan.’ Hij benadrukt dat een snelle reactie cruciaal is: ‘Als het te lang duurt voordat je in het openbaar reageert, geef je de mensen de gelegenheid om hun eigen conclusies te trekken.’
Als aan executives wordt gevraagd waarom ze in toenemende mate bezorgd zijn over de bescherming van de reputatie van hun bedrijf, nemen sociale media in hun gedachtegang een prominente plaats in. Sociale netwerken worden mogelijk gemaakt door technologie, en daarom is er een neiging om ze op één lijn te stellen met IT-gerelateerde technische risico’s. Maar sociale-mediakanalen vormen op zichzelf geen risico; ze versterken alleen de reputatie van de organisatie, in positieve of negatieve zin. Dit betekent dat ze moeten worden geëvalueerd in het kader van de algehele communicatiemix van de organisatie.
De communicatie die de betrokkenen ervan moet overtuigen dat de oorzaken van een IT-storing aangepakt zijn, kan ertoe leiden dat het veel minder tijd kost om het vertrouwen terug te winnen. Maar als een bepaalde IT-storing bij de betrokkenen zelf schade veroorzaakt, kost het terugwinnen van het vertrouwen juist méér moeite. Bijvoorbeeld: als een website enige tijd uit de lucht is, betekent dat voor klanten slechts een geringe mate van overlast; een dergelijk incident is ook goed uit te leggen. Ongeveer 78 procent van de respondenten zegt dergelijke incidenten binnen zes maanden te boven te zijn gekomen. Aan de andere kant van het spectrum duurt het veel langer om reputatieschade te boven te komen die het gevolg is van cybercriminaliteit. Dit komt enerzijds omdat cybercriminaliteit de betrokkenen grotere schade toebrengt, en anderzijds omdat het vaak moeilijker te verkopen is dat het probleem daadwerkelijk volledig is opgelost.
‘De community [van sociale media] praat tóch wel over je, of je nu meepraat of niet. Je moet daarom bepalen wat voor soort positie je gaat innemen. Doe je dat niet, dan doen anderen het wel voor je.’ – David Boroevich, vicepresident Marketing, Alpha Technologies, Canada
De tijd is voorbij dat sociale media alleen communicatie van consument tot consument mogelijk maakten. Blogs die zich richten op gespecialiseerde bedrijfsmatige en technische community’s hebben een toenemende impact op B2Bbedrijven. Sterker nog: ‘sociaal’ is wellicht niet meer de juiste term om de peer-to-peer uitwisseling tussen leden van community’s te beschrijven. Hoe het ook zij, de noodzaak om mogelijke reputatieschade als gevolg van de toegenomen snelheid van communicatie te beheersen, is een heel ander
Risicobeheer 10
probleem dan het effectief inzetten van sociale media om de betrokkenheid van stakeholders te vergroten. Ons onderzoek suggereert dat de strategieën om dit laatste probleem aan te pakken, nog steeds in de kinderschoenen staan. Slechts 19 procent van de respondenten zegt dat zijn of haar bedrijf beschikt over een calamiteitenplan waarin tools uit de sociale media een plaats hebben. ‘Ik ben altijd nogal sceptisch geweest over de waarde van sociale media in onze business,’ zegt David Boroevich, vicepresident Marketing bij Alpha Technologies, een B2B-bedrijf dat industriële elektriciteitsoplossingen verkoopt. ‘We hebben wel mensen die eraan werken, maar we zijn tot de conclusie gekomen dat dit beslist niet meer alleen een ‘skunkworks-project’ is; het moet deel uit maken van ons programma.’ Hij voegt eraan toe dat, zelfs in gespecialiseerde sectoren, ‘de community tóch wel over je praat, of je nu meepraat of niet. Je moet daarom bepalen wat voor soort positie je gaat innemen. Doe je dat niet, dan doen anderen het wel voor je.’
Best practices voor beter reputational risk management Executives die de performance van het reputational risk management in hun organisatie willen verbeteren, kunnen wellicht iets leren van de best practices die worden genoemd door hun collega’s die deelnamen aan dit onderzoek. Enkele effectieve strategieën: • Wees niet reactief, maar proactief. Wees bereid tot investeringen in de ontwikkeling van een allesomvattende strategie voor reputational risk management, met krachtige risicobeheersende maatregelen voor de IT – met name waar het gaat om beveiliging, bedrijfscontinuïteit en technische ondersteuning – en voor reputatierisico’s op andere gebieden. • Creëer een organisatie waarin IT-managers samenwerken met andere specialisten op het gebied van risicomanagement. Zij moeten gezamenlijk de opdracht krijgen om voor het senior management een compleet profiel op te stellen van de reputatierisico’s binnen de volledige organisatie
• Werk met scenario-analyse, vooral ten aanzien van nieuwe en opkomende technologie. Blijf niet zitten wachten tot er een incident optreedt. Er zijn genoeg case studies voorhanden die kunnen fungeren als basis voor “what if”-planning • Neem de risico’s binnen de volledige supply chain in ogenschouw. Een storing bij een downstream leverancier kan net zo verwoestend zijn als een intern probleem, en de risicobeheersing kan worden geharmoniseerd met alle belangrijke spelers. Zo ook moeten B2B-bedrijven met hun klanten samenwerken om hen de zekerheid te bieden dat alle relevante risico’s goed worden aangepakt.
‘Technologie versterkt alles wat ermee in aanraking komt, in positieve en negatieve zin. Als we er gebruik van maken, moeten we het rigoureus in de hand houden.’ – CIO, professionele dienstverlener, Barbados
Conclusie Organisaties van elke omvang besteden meer aandacht aan die aspecten van de moderne digitale wereld die een bedreiging vormen voor hun reputatie. Deze toenemende ongerustheid komt onder meer tot uitdrukking in een meer geïntegreerde, bedrijfsbrede aanpak van risicomanagement onder leiding van de C-suite en een toegenomen aandacht voor de rechtstreekse gevolgen die IT-risico’s kunnen hebben op de reputatie. Daarbij gaat het ook om risico’s die het gevolg zijn van het gebruik van nieuwe technologie. Wat betref het belangrijkste verband tussen IT-risico’s en reputatie heeft beveiliging het nipt gewonnen van bedrijfscontinuïteit.
De uitkomsten van de Global IT Reputational Risk and IT Study 2012 geven aan hoe belangrijk het is IT-risico’s te beschouwen binnen de bredere context van een heel spectrum aan reputatierisico’s die de organisatie bedreigen. Bedrijven die op een dergelijke manier te werk gaan, kunnen profiteren van het vertrouwen en de steun van hun belangrijkste stakeholders. Uiteindelijk is dát de drijvende kracht achter performance.
Voor meer informatie Als u meer wilt weten over datgene wat IBM voor u kan doen om de reputatie van uw organisatie te beschermen middels een verbetering van het IT-risicomanagement, kunt u contact opnemen met uw IBM-vertegenwoordiger of de volgende websites bezoeken. Voor beveiligings- en IT-risicomanagement gaat u naar: ibm.com/services/security Voor bedrijfscontinuïteit en IT-risicomanagement gaat u naar: ibm.com/services/continuity Voor technische ondersteuning en IT-risicomanagement gaat u naar: ibm.com/services/techsupport Een infographic over IBM reputatierisico en IT vindt u op: ibm.com/repriskinfographic
Neem deel aan de discussie Uw mening telt! Neem deel aan de verbreding van onze Reputational Risk and IT Survey 2012. Scan hier de Quick Response-code of ga naar ibmrisksurvey.com
IBM Nederland hoofdkantoor Johan Huizingalaan 765 1066 VH Amsterdam Netherlands De homepage van IBM is te vinden op: ibm.com IBM, het IBM-logo en ibm.com zijn handelsmerken van International Business Machines Corp. die wereldwijd in vele rechtsgebieden zijn geregistreerd. Andere benamingen van producten en diensten kunnen handelsmerken van IBM of andere bedrijven zijn. Een actuele lijst van IBM-merken is beschikbaar op het internet als ‘Copyright and trademark information’ op ibm.com/legal/copytrade.shtml Dit document is actueel op het moment van eerste publicatie en IBM kan er te allen tijde wijzigingen in aanbrengen. Niet alle aanbiedingen zijn verkrijgbaar in alle landen waarin IBM werkzaam is. DE INFORMATIE IN DIT DOCUMENT WORDT VERSTREKT ‘AS IS’, ZONDER UITDRUKKELIJKE OF STILZWIJGENDE GARANTIE, MET INBEGRIP VAN DIE VOOR HET VOORGENOMEN GEBRUIK, GESCHIKTHEID VOOR EEN BEPAALD DOEL EN HET GEEN INBREUK MAKEN OP RECHTEN VAN DERDEN. Op IBM-producten wordt garantie gegeven overeenkomstig de voorwaarden en bepalingen van de overeenkomsten waaronder die producten zijn geleverd. 1 Key trends driving global business resilience and risk: Findings from the 2011 IBM Global Business Resilience and Risk Study. September 2011. 2
Reputation: Risk of risks. Economist Intelligence Unit. December 2005.
© Copyright IBM Corporation 2012
Recyclen alstublieft
Uw input gaat deel uitmaken van een enquête waarvan we verwachten dat het de grootste wordt die ooit over dit belangrijke onderwerp is gehouden. Begin 2013 ontvangt u een nieuwe analyse en een nieuw enquêterapport. Hartelijk dank voor uw deelname.
RLW03009-NLNL-00
