Masterdata: “We kunnen het risico op hacking niet uitsluiten”

10 October 2019
Masterdata: “We kunnen het risico op hacking niet uitsluiten”

In bedrijven groeit de aandacht voor de kwaliteit van de data. De masterdata bekleden een bijzondere rol omdat ze in verschillende afdelingen en toepassingen terugkomen. Zo creëert een verbetering van de kwaliteit van de masterdata een hefboomeffect bij heel wat applicaties.

Wat doen jullie in de eigen organisatie om de kwaliteit van de data te verbeteren?

Luc Verstuyft: Bij de verschillende infrastructuurbedrijven van Besix werken we aan een strakkere centralisatie van onze beschikbare data. De financiële afdeling neemt de leiding op zich. De basis van al onze activiteiten moet ons ERP-systeem Navision zijn. Dat moet met alle mogelijke perifere toepassingen kunnen samenwerken: weegbruggen, apps op de smartphones van medewerkers, hr-toepassingen enzovoort. Het beheer van de masterdata is daarbij cruciaal.

Dorien Roes: Een probleem met het beheer van de masterdata doet zich vaak voor bij organisaties die gegroeid zijn door overnames. Dan ontstaat een gefragmenteerd net van toepassingen met elk eigen masterdata. De koppeling tussen de systemen gebeurt vaak manueel, wat de betrouwbaarheid zeker niet ten goede komt. Om eenheid te krijgen in de financiële én de operationele data moet naar mijn mening de CFO naar voor treden en het beheer van de masterdata op zich nemen.

Luc Verstuyft: Klopt. We leggen de focus op de structuur van de data. Finance is daarbij heel belangrijk, maar zonder IT kan het niet. Het overleg moet gaan over de definitie van de juiste parameters. De operationele afdelingen moeten tegelijk goed weten welke gegevens ze dienen te bezorgen en in welke graad van detail. De volledigheid van die gegevens is een essentiële kwaliteit.

Wim Muylaert: Wij zien bij Hydro inderdaad die veelheid van systemen en de verschillen in de fabrieken. Soms staan de data in de cloud, soms op eigen servers. Daar trachten wij een lijn in te krijgen met behulp van een centraal shared service center voor IT in Hongarije.

Patrik Wirix: In mijn ervaring kan databeheer niet anders zijn dan een samenwerking tussen verschillende afdelingen. Die zijn allemaal verantwoordelijk voor een stukje van de waarheid. Wanneer er conflicten optreden tussen de verschillende systemen, dan moeten er wel knopen worden doorgehakt. Een regel kan zijn dat de boekhoudgegevens de basis vormen. Daaraan moet alles zich dan aanpassen. Uiteindelijk kan je ook niet zonder een lijst met afspraken op dat vlak, gebundeld in een echte data dictionary.

Jan De Munck: Daar komt het beheer van masterdata uiteindelijk op neer: gebruik dezelfde woordenschat met eenduidige definities.

Patrik Wirix: Het probleem is dat bedrijven vaak uit het verleden een heleboel tegenstrijdigheden met zich meesleuren. Tegelijk blijft een organisatie veranderen, zodat er voortdurend aanpassingen nodig zijn.

Luc Verstuyft: Dat proberen wij op te lossen door de gegevens altijd terug te brengen tot unieke data. Klanten bijvoorbeeld verbinden wij altijd aan hun unieke ondernemingsnummer. Op ons materieel brengen we nu zelf een unieke QR-code aan, waaraan we verschillende bijkomende gegevens koppelen.

Jan De Munck: Ik werk aan de masterdata voor de productieomgeving van Recticel in de verschillende fabrieken verspreid over Europa. Wil je die standaardiseren, dan bots je aanvankelijk op veel weerstand. Je moet er ook voor zorgen dat nieuwe masterdata gecreëerd worden volgens die nieuwe standaard. Daarbij stonden we voor de keuze tussen centrale creatie, waarbij onvermijdelijk de procestijd toeneemt, en decentrale creatie: de fabrieken houden zelf voeling met hun masterdata, maar worden centraal gemonitord om de standaard te bewaken.

Ruben Slagmulder: De problematiek is al niet eenvoudig voor de eigen producten, maar daarbovenop hebben de meeste bedrijven nog eens een pak goederen en diensten van leveranciers. Soms zijn dat dezelfde producten die toch een ander nummer hebben bij de verschillende leveranciers. Een extra spatie of leesteken gooit al snel roet in het eten. Het vergt enige aandacht om hierover goed te communiceren met alle partijen.

Luc Verstuyft: Bij ons gaat het meer om het communiceren van onze eigen data naar klanten. We willen bijvoorbeeld al heel snel onze voortgangsstaten van de werven volledig digitaal maken. Als dat lukt, kunnen we ze ook rechtstreeks bezorgen aan onze klanten.

Patrik Wirix: Dan is het nodig om dat beheer te laten passen in een strategische visie. Ik denk dat de meeste bedrijven niet weten hoeveel waarde ze kunnen creëren door een goed gebruik van hun data. Vooral bij het aangaan van strategische partnerships wordt die meerwaarde duidelijk. Als beide partijen een goed begrip hebben van elkaars bedrijfsmodel en belangen, kunnen ze ook werken met de juiste data, die verder worden gefilterd en verrijkt.

Rondetafel Masterdata
V.l.n.r. Wim Muylaert, Jan De Munck & Dorien Roes

Is GDPR een groot probleem bij het beheer van die data?

Luc Verstuyft: Neen, bij ons loopt dat heel soepel. Je moet natuurlijk expliciet vragen of klanten en partners nog e-mails willen ontvangen, maar dat loopt toch erg vlot. Wel hebben we bijzondere aandacht voor de gegevens van onze eigen medewerkers.

Ruben Slagmulder: Bij Basware regelen we dat op het internationale niveau en dan meteen voor de hele organisatie. Ik ondervind daar niet veel hinder van.

Dorien Roes: Ik zie wel een effect op de marketingafdeling. Je mag potentiële klanten nu niet meer benaderen indien ze daar niet expliciet toestemming voor hebben gegeven. Op die manier hebben wij in onze organisatie een grote schoonmaak gehouden in de contactgegevens van potentiële klanten. We moeten ook nieuwe manieren zoeken om in contact te komen met bedrijven die geïnteresseerd kunnen zijn in onze producten. Maar dat ervaar ik meer als een opportuniteit dan als een hindernis.

Toekomst: meer technologie vereist beter databeheer

Luc Verstuyft: In functie van een toekomstige toepassing van technologieën zoals kunstmatige intelligentie, kunnen we niet anders dan aandacht hebben voor de kwaliteit van de data. Het moet een permanente opdracht worden om de gegevens zuiver te houden. Op die manier zullen we er ook steeds meer toegevoegde waarde uit halen. Bij Besix Infra doen we dat door de verantwoordelijkheid voor de kwaliteit van de data zo dicht mogelijk bij de gebruiker te leggen. Zo moeten werfleiders regelmatig bevestigen welke machines en toestellen ze in gebruik hebben. Daarvoor gebruiken we intussen een eigen app waarmee we de medewerkers diep in de organisatie kunnen bereiken. Die apps zijn een hulpmiddel voor onze dagelijkse werking én om de kwaliteit van onze data te verhogen.

Ruben Slagmulder: Software zal bij dat beheer en het onderhoud van gegevens een steeds grotere rol spelen. De rol van de data scientists zal nog groter worden.

Dorien Roes: Dat denk ik ook. En het is de CFO die richtinggevend zal zijn. Het financiële departement zal het eigenaarschap van de data opeisen en steeds meer samenwerken met andere afdelingen om dit goed te beheren. Op die grondslag van kwalitatieve data gedijt nieuwe technologie zoals machineleren en kunstmatige intelligentie het best.

Jan De Munck: We staan nu op de drempel van een ware revolutie. De invoering van het Industry 4.0-concept zal leiden tot nog meer data, die rechtstreeks van machines en apparaten komen. Daar bestaat nu nog veel wantrouwen over, maar ik ben ervan overtuigd dat de toepassing van die technologie onze wereld zal veranderen.

Wim Muylaert: Ik ben er rotsvast van overtuigd dat we op vrij korte termijn een doorbraak zullen zien van bijvoorbeeld machineleren en blockchaintechnologie.

Ruben Slagmulder: Ik ben dezelfde mening toegedaan. Tijdens workshops worden vaak gesprekken opgestart rond nieuwe technologieën. De reactie van de CFO is dan: “Allemaal goed en wel, maar we blijven met de basisproblemen zitten: veel papier en manuele processen.” Hun organisatie is niet klaar om dergelijke technologieën te implementeren. Dat vind ik fout.

Jan De Munck: Wat is daar fout aan? Als dat op het ogenblik de beste manier van werken is?

Patrik Wirix: Inderdaad. De robotisering van financiële processen is op dit ogenblik helemaal gericht op het automatiseren van een bestaande manier van werken, zonder veel moeite te stoppen in het stroomlijnen van het proces zelf.

Jan De Munck: Precies, het kost meer tijd om een proces goed te stroomlijnen, tijd die er niet altijd is.

Dorien Roes: Dat gaat ook al meer in de richting van een strategische oefening. Dat vind ik wel een kerntaak van een CFO.

Wim Muylaert: De echte toegevoegde waarde zit waarschijnlijk in de analyse van de data. AI moet daarbij helpen.

Luc Verstuyft: Toch moet je als CFO ook kijken naar het nut op korte termijn. Kan AI nu al iets bijbrengen aan de organisatie? Ik zie dat nog niet. Voor mij is dat geen prioriteit en ik heb begrepen dat dat zo is voor heel veel CFO’s. We moeten goed selecteren wat we nu kunnen doen en op die manier stappen zetten.

Patrik Wirix: Zo bouw je de slagkracht van de hele organisatie op. Je kan de middelen anders inzetten en ondertussen je processen steeds leaner maken.

Jan De Munck: Wij zijn daarvan het beste voorbeeld. We hebben veel energie gestopt in het herdefiniëren en standaardiseren van de masterdata voor de productie. Intussen heeft de hele organisatie een veel beter zicht op de productiekosten. Die worden nu zichtbaar voor alle fabrieken. We kunnen vergelijkingen maken. Wanneer de marge zich dan slecht ontwikkelt, kunnen we veel sneller ingrijpen. Dat gaat niet ongemerkt voorbij in de rest van de organisatie, die nu ook een beter beheer van de masterdata wil.

Wim Muylaert: De basis moet dan juist zijn. Als die onderliggende gegevens niet correct zijn, kan je niets met de rapporten aanvangen. Crap in is crap out.

Jan De Munck: Daarom moet je het grondig aanpakken. Bedrijven controleren die onderliggende bouwstenen te weinig. Toen we begonnen, was er maar één fabriek waar echt iemand verantwoordelijk was voor het masterdatabeheer. Op die manier heb je geen basis. Zo zijn de data ook nooit volledig.

Patrik Wirix: In de financiële sector is dat probleem minder groot. De regelgevers eisen daar correcte data. Dus moet je dat wel in orde houden.

Jan De Munck: Het vereist een volgehouden inspanning. Het bedrijf verandert voortdurend en dan moeten de masterdata mee bewegen.

Ruben Slagmulder: Jullie aanpak is vrij uniek. Ik denk dat jullie nog mooie resultaten zullen behalen.

Luc Verstuyft: De vraag blijft hoe concreet je dat kan maken. Hoeveel brengt die efficiëntie op?

Jan De Munck: Dat is waar. Toch is er geen discussie over onze aanpak. Onze job is geslaagd als masterdata geen issue meer zijn.

Rondetafel Masterdata
V.l.n.r. Ruben Slagmulder, Patrick Wirix & Luc Verstuyft

Cyberaanval legt wereldwijde productie plat

Op 18 maart van dit jaar was Hydro het slachtoffer van een cyberaanval die de meeste operaties verspreid over de hele wereld lamlegde. Hackers waren erin geslaagd de computerarchitectuur binnen te dringen via een e-mailbericht.

Wim Muylaert: “Nadien konden de hackers 1.500 van de meer dan 5.000 servers overnemen. Werknemers hadden geen toegang meer tot essentiële gegevens en toepassingen. De financiële afdeling, die gebruik maakt van boekhoudsystemen in een private cloud, had geen toegang meer tot de boekhouding, betalingsapplicaties en andere toepassingen. Ook de productie was zwaar getroffen. Veel fabrieken hadden geen toegang meer tot hun gegevens die zich op computerservers bevonden. De fabriek van Lichtervelde slaagde erin om verder te werken omdat een van de medewerkers de gewoonte had om het orderboek dagelijks uit te printen. Dat bleek in die omstandigheden goud waard. Intussen hebben we het geheel van de grond af opnieuw opgebouwd. De productie is weer voor honderd procent actief.

Luc Verstuyft: Welke lessen hebben jullie daaruit getrokken?

Wim Muylaert: We hebben in de eerste plaats de risico’s opnieuw bekeken en de continuïteit van de productie op de eerste plaats gezet. Daarom hebben we een decentralisatie van de servers doorgevoerd en de onderlinge verbindingen binnen het netwerk extra beveiligd.

Luc Verstuyft: Dat zou ik ook doen. Die tussenschotten tussen vestigingen en afdelingen moeten het ergste kunnen voorkomen.

Wim Muylaert: Tegelijk zijn we tot het besef gekomen dat we het risico niet volledig kunnen uitsluiten. Uit onze analyses blijkt dat onze organisatie elke dag tussen vijfduizend en tienduizend aanvallen te verduren krijgt. De zwakke schakel blijft de mens. Daarom hebben we iedereen extra opleiding gegeven over het omgaan met verdachte mailberichten. Specifiek voor de medewerkers van de financiële afdeling hebben we er nog eens op gewezen dat onze CEO hen nooit zal vragen om dringend grote bedragen over te schrijven. Tegelijk verhoogden we een aantal procedures rond administratieve rechten van de IT-medewerkers. Die zijn nu veel beperkter in de tijd en ook in de aard van de volmacht die ze inhouden.

Luc Verstuyft: Wij weten intussen ook dat we veel kwetsbaarder zijn dan we dachten. Een ethische hacker die we vroegen om onze beveiliging te testen, was binnen de kortste keren in ons systeem binnengedrongen. Ook bij ons gebeurde de eerste succesvolle aanval met een e-mail.

Dorien Roes: Organisaties zullen niet anders kunnen dan al hun medewerkers bewust maken van die risico’s. Sommige klanten verplichten medewerkers en partners om regelmatig een film te bekijken over de gevaren en hoe ermee om te gaan. Tegelijk kan je de rechten van IT-verantwoordelijken en administrators beperken. Als een hacker die rol overneemt, moet hij toch nog hindernissen blijven overwinnen.

Ruben Slagmulder: Daarnaast denk ik dat we meer vertrouwen moeten hebben in de grote cloudproviders zoals Amazon, Microsoft of Google. Het niveau van hun beveiliging kan je op een private cloud of eigen servernetwerk heel moeilijk kopiëren. Het valt op dat de grote voorbeelden van hacking zich niet voordoen op die openbare cloudoplossingen.