IT Due Diligence – weet waar je op moet letten in 2022

IT-diensten verplaatsen zich in hoog tempo naar de cloud. Activa op de balans veranderen in kosten van abonnementen. Ransomware heeft aandacht op directieniveau. Datalekken kosten bedrijven miljoenen aan boetes, klantenbinding en verborgen kosten.

Als technologie snel verandert, geldt dat ook voor IT Due Diligence

Tenzij de overname een technologiebedrijf betreft, speelt IT Due Diligence meestal geen grote rol. IT is complex en de integratie kan na de deal worden geregeld. Maar omdat ook de toekomst van niet-tech bedrijven steunt op digitalisering en omdat informatiebeveiliging en privacy niet langer kunnen worden genegeerd, moeten deze worden meegenomen in het Due Diligence proces. IT Due Diligence moet zich richten op het beoordelen van de technologische achterstand die in de deal zit, en de risico’s die onder de oppervlakte schuilgaan. Technologische achterstand vertraagt de realisatie van een digitaliseringsstrategie. Risico’s kunnen worden gekwantificeerd. Dit levert informatie die je wilt meenemen in het waarderen van de deal.

IT Due Diligence moet zich richten op het beoordelen van de technologische achterstand die in de deal zit, en de risico’s die onder de oppervlakte schuilgaan.

IT Due Diligence vereist een andere aanpak

IT is geen gereguleerde industrie. Er is geen vaste manier van organiseren of een rapportage regime  waaraan moet worden voldaan. Er zijn best practices en ISO-normen, maar die laten veel keuzeruimte. En met trends als virtualisatie en cloudcontracten rijst de vraag, wat is een ‘asset’ eigenlijk? IT Due Diligence is niet langer een oefening waarbij een junior in het team simpelweg een nietszeggende checklist verwerkt. Het resultaat is een lijst van acroniemen en netwerkdiagrammen die details en expertise suggereren, maar iedere interpretatie ontberen.

IT draait niet langer om technologie, maar veel meer om data en beveiliging

IT gaat niet langer over technologie, maar veel meer over data en beveiliging. Het is zo abstract geworden dat het vaardigheid en vakkennis vergt om te weten waarnaar je moet zoeken.

Echte risico’s en technologie-achterstand kunnen worden blootgelegd door te kijken naar:

  • Software
  • Contracten and licenties
  • Informatiebeveiliging
  • Privacy and AVG
  • Geplande IT-Investeringen
  • Human Capital
  • Hardware and Network Ontwerp

Waar moet IT Due Diligence in 2022 op letten?

Risicogebaseerd, afgestemd op de transactie, moet dit ten minste omvatten:

Software

Bij standaardsoftware ligt de nadruk op software compliance; is alle software gelicenseerd? Bij op maat gemaakte software kan een Quick Scan van de code of een grondige code review nodig zijn. Is de software gebouwd om lang mee te gaan, of een hoop spaghetti die alleen begrepen wordt door de lokale held die het gebouwd heeft? Degene die over een jaar met pensioen gaat. Bepaal ook de eigendom van het intellectuele eigendom. Wie is eigenlijk de eigenaar van de code? Bij SaaS-software draait alles om de contractvoorwaarden.

Contracten en licenties

Begin met het overzicht van alle lopende contracten (…), bepaal de verlengingsmomenten van contracten, en controleer voor geselecteerde contracten de Algemene Voorwaarden op clausules die verwijzen naar overdracht van eigendom. Dit is niet vanzelfsprekend. Ook zijn de meeste softwareproducten en clouddiensten afhankelijk van onderliggende diensten van Big Tech. Dit resulteert in soms onopgemerkte back-to-back contracten. Zijn deze op elkaar afgestemd?

Informatiebeveiliging

Schat het risicoprofiel van de organisatie in door een van de vele beschikbare frameworks toe te passen, zoals het NIST Cyber Security Framework, de SANS Top 20 Critical Controls of ISO27002. Dit is nog steeds een desk research benadering. Indien kritisch, zou een RED-team of ethische hackers de praktische sterkte van de beveiligingscontroles kunnen testen. 

Privacy en AVG

Dit is een van de meest onbegrepen en verkeerd geïnterpreteerde onderwerpen rond informatiesystemen. Velen hebben een mening over de AVG, weinigen hebben de tijd genomen om de EU- en lokale wetgeving te lezen. Maar het is niet zo ingewikkeld. De AVG schrijft een reeks maatregelen en controles voor die moeten worden uitgevoerd om persoonsgegevens te beveiligen. Deze kunnen op een gestructureerde manier worden gecontroleerd. Geen tovenarij vereist.

Geplande IT-investeringen

Beoordeel de huidige IT-architectuur en de projectportefeuille. Leveren de geplande investeringen waarde op, of is het “het licht laten branden”? Hoe groot is de kloof tussen het As-Is en To-Be IT landschap. Wees op uw hoede voor ERP implementaties en Integration Layer projecten. Deze zijn berucht om het feit dat ze te weinig waarde creëren. 

Human Capital

Beoordeel de professionaliteit van de afdeling IT. IT is slechts zo goed als de mensen die het organiseren. Een snelle blik is voldoende als uitgangspunt; geïdentificeerde functies en gemiddelde anciënniteit, intern opleidingsmateriaal en -procedures, certificaten en formele opleidingen. Wie zijn de sleutelfiguren en staan zij op de loonlijst of zijn zij freelance?

Hardware en netwerkontwerp

Een lijst van alle activa moet gemakkelijk uit het inventarissysteem of de CMDB kunnen worden gehaald. Een eenvoudige analyse geeft al gauw een indruk van de volledigheid en nauwkeurigheid ervan. Bedenk dat als niet alle assets in beeld zijn, je ook niet kunt weten of deze adequaat beveiligd zijn. De IT-afdeling zou overigens bedenkelijk moeten kijken als naar hardware wordt gevraagd. De meeste IT-hardware zal zijn gevirtualiseerd (om vervolgens te draaien op andere, krachtigere computers).

Hoe het netwerk is ontworpen zegt veel over het volwassenheidsniveau van de IT-organisatie. Moderne netwerken zijn net als de hardware, ook virtueel, het zogenaamde ‘software gedefinieerde netwerk’. Een beoordeling van dit onderwerp geeft een duidelijke indicatie van een eventuele technologische achterstand.

Als een overzicht van alle assets niet snel kan worden aangeleverd, dan is er rook en dus ook vuur…

Ik heb jarenlang leiding gegeven aan IT-afdelingen en IT-programma’s in verschillende sectoren. Ik ben een gecertificeerde Informatie Architect en een Certified Information Systems Security Professional (CISSP). Met een uitgebreid netwerk van gespecialiseerde professionals en bedrijven op wie ik een beroep kan doen, houd ik het team klein en toegewijd. Een kleine organisatie zonder overhead om korte doorlooptijden te garanderen.

Als u het risico en de technologische achterstand in uw volgende M&A-deal wilt inschatten en dat snel moet gebeuren, ik sta klaar.