parallax background image

Risico buiten beeld

Terug naar Blog
Gepubliceerd op 22 juni 2026 Leestijd : 5 minuten

Niemand kijkt ernaar

Applicaties die jarenlang probleemloos functioneren, krijgen zelden veel aandacht. Een ERP-systeem verwerkt orders, financiële software ondersteunt de administratie en branche specifieke applicaties vormen de basis van dagelijkse processen. Zolang gebruikers kunnen werken en processen blijven draaien, is er weinig aanleiding om kritisch naar de onderliggende omgeving te kijken.

Dat is begrijpelijk. De focus ligt op klanten, projecten, leveringen en groei. IT krijgt vaak pas aandacht wanneer er iets verandert of wanneer een storing ontstaat. Juist daardoor blijven applicaties en de infrastructuur waarop ze draaien soms jarenlang ongemoeid. Niet omdat organisaties bewust risico nemen, maar omdat er geen zichtbare aanleiding is om in te grijpen.

Tijdens inventarisaties valt regelmatig op dat organisaties precies weten welke applicaties essentieel zijn voor de dagelijkse operatie, maar veel minder inzicht hebben in de technische omgeving daarachter. Vragen over de leeftijd van hardware, de daadwerkelijke hersteltijd van systemen of de laatste succesvolle hersteltest blijken dan verrassend lastig te beantwoorden. Wanneer ondersteuning vervalt, hardware uitvalt of een cyber incident plaatsvindt, wordt pas duidelijk hoeveel processen afhankelijk zijn van systemen waar lange tijd nauwelijks naar is gekeken.

Alles functioneert

Een veelvoorkomende misvatting is dat een stabiele applicatie automatisch betekent dat de onderliggende omgeving gezond is. In de praktijk zijn dat twee verschillende zaken. Veel ERP-systemen, financiële pakketten en specifieke applicaties functioneren jarenlang zonder noemenswaardige problemen. Het risico zit daardoor meestal niet in de software zelf, maar in de infrastructuur waarop deze draait.

Achter een applicatie bevindt zich vaak een complete keten van afhankelijkheden. Denk aan een SQL-database, een virtuele server binnen VMware, Hyper-V of Proxmox, opslagplatformen, netwerkcomponenten en authenticatievoorzieningen zoals Active Directory of Entra ID. Wanneer één van deze onderdelen uitvalt, kan een applicatie onbeschikbaar worden terwijl de software zelf volledig intact is.

Naarmate een omgeving ouder wordt, ontstaat bovendien een ander risico. Kennis raakt versnipperd, documentatie veroudert en verantwoordelijkheden verschuiven. Wat daarbij opvalt, is dat documentatie lang niet altijd aansluit op de werkelijkheid. Omgevingen worden uitgebreid, koppelingen worden toegevoegd en systemen worden gemigreerd. Op papier lijkt alles inzichtelijk, maar tijdens migraties of vervanging van infrastructuur blijken afhankelijkheden regelmatig anders te zijn dan verwacht.

Verborgen ketens

De meeste verstoringen ontstaan niet doordat een applicatie defect raakt, maar doordat een afhankelijk onderdeel problemen veroorzaakt. Een gebruiker die niet meer kan inloggen, ervaart dat als een applicatiestoring. In werkelijkheid kan de oorzaak liggen bij Active Directory, Entra ID, DNS, verlopen certificaten of een netwerkverbinding die niet meer functioneert.

Hetzelfde geldt voor prestaties. Een traag ERP-systeem wordt vaak gezien als een probleem van de software, terwijl de werkelijke oorzaak kan liggen bij opslag die zijn maximale capaciteit bereikt, een database die onvoldoende resources krijgt of een virtualisatieplatform dat structureel overbelast raakt. Juist doordat deze componenten op de achtergrond functioneren, blijven signalen van technische veroudering of capaciteitsproblemen vaak lang onopgemerkt.

Daarom is inzicht in de volledige keten belangrijk. Niet alleen de applicatie moet worden beheerd, maar ook de componenten waarop deze afhankelijk is. Dat vraagt om inzicht in lifecycle beheer, capaciteit, prestaties en ondersteuning van de verschillende onderdelen binnen de omgeving. Zonder dat inzicht ontstaan risico's die jarenlang verborgen kunnen blijven, terwijl de impact bij uitval steeds groter wordt.

Schijnzekerheid groeit

Veel organisaties beschikken over back-ups, monitoring en beveiligingsmaatregelen. Dat geeft vertrouwen, maar biedt niet automatisch zekerheid. De aanwezigheid van een voorziening zegt immers weinig over de daadwerkelijke werking ervan.

Een veelvoorkomend voorbeeld is de back-up. Wanneer een back-up succesvol wordt afgerond, ontstaat al snel de indruk dat herstel goed geregeld is. Toch is een succesvolle back-up iets anders dan een succesvol herstel. Tijdens hersteltests blijkt regelmatig dat organisaties vooral hebben gekeken naar het veiligstellen van data, terwijl nauwelijks is vastgesteld hoe snel een complete applicatieomgeving weer beschikbaar moet zijn. Het herstellen van bestanden is vaak relatief eenvoudig. Het volledig terugbrengen van een ERP-omgeving inclusief databases, koppelingen en gebruikersrechten is een ander vraagstuk.

Hetzelfde geldt voor monitoring. Meldingen zijn vaak aanwezig, maar niet altijd is duidelijk wie verantwoordelijk is voor opvolging, welke acties moeten worden uitgevoerd en wat er gebeurt wanneer problemen buiten kantooruren ontstaan. Daardoor kunnen storingen zich ontwikkelen zonder dat direct wordt ingegrepen.

Daarnaast zien we regelmatig omgevingen waarin besturingssystemen, databases of virtualisatieplatformen buiten ondersteuning zijn geraakt. Hierdoor worden kwetsbaarheden niet langer opgelost en wordt het steeds lastiger om moderne beveiligingsmaatregelen te implementeren. Denk aan Multifactor Authenticatie, netwerksegmentatie, geavanceerde detectie van afwijkend gedrag en immutable back-ups. Dat vergroot niet alleen het risico op uitval, maar ook de mogelijke impact van een cyberincident.

De echte vraag

Wanneer organisaties nadenken over hun IT-omgeving, begint het gesprek vaak bij technologie. Er wordt gesproken over Cloudmigraties, vervanging van servers of een nieuw virtualisatieplatform. Hoewel dat belangrijke onderwerpen zijn, geven ze niet automatisch inzicht in de werkelijke risico's.

De meest waardevolle vraag is vaak veel eenvoudiger, en dat is welke applicatie mag morgenochtend absoluut niet uitvallen? Vanuit die vraag ontstaat inzicht in welke processen kritiek zijn, welke technische afhankelijkheden daarbij horen en hoe snel herstel daadwerkelijk moet plaatsvinden. Pas daarna wordt duidelijk welke investeringen nodig zijn in infrastructuur, monitoring, back-up strategieën en beheer.

Organisaties die deze analyse uitvoeren, ontdekken regelmatig dat hun grootste risico niet zit in de software die dagelijks wordt gebruikt, maar in de technische omgeving die jarenlang ongemerkt op de achtergrond heeft gefunctioneerd. Wat we daarbij vaak zien, is dat noodzakelijke vervangingen niet bewust worden uitgesteld. Ze verdwijnen simpelweg naar de achtergrond omdat er geen directe aanleiding lijkt te zijn om actie te ondernemen. Ondertussen groeien afhankelijkheden verder en worden herstelprocedures zelden onder realistische omstandigheden getest.

Juist daardoor ontstaat een situatie waarin risico's buiten beeld blijven zolang alles werkt. Pas wanneer een storing optreedt, wordt zichtbaar hoe afhankelijk de organisatie daadwerkelijk is geworden van systemen die jarenlang als vanzelfsprekend werden beschouwd.

Wil je weten welke afhankelijkheden binnen jouw IT-omgeving de grootste risico's vormen en waar technische schuld zich ongemerkt heeft opgebouwd? Neem dan vrijblijvend contact op.

Home Blog Risico buiten beeld

Andere artikelen uit ons blog
Blogoverzicht bekijken ›
Ontvang onze nieuwsbrief
Meld je aan voor de gratis nieuwsbrief om up-to-date te blijven