De term infrastructuur wordt in de praktijk vaak gebruikt als verzamelnaam voor de technische basis van een organisatie. Meestal gaat het dan over de eigen IT-omgeving: netwerk, werkplekken, servers, cloud, accounts, back-up en beheer. Soms raakt infrastructuur ook aan OT. Daarom verwijst deze pagina ook naar de aparte kennisbankpagina over OT.
Wanneer iemand in een deal zegt dat de infrastructuur verouderd, kwetsbaar of juist goed ingericht is, gaat het zelden over één los technisch onderdeel. Meestal bedoelt men het geheel van bouwstenen waarop processen, data en dienstverlening steunen.
Kernbegrippen in gewone taal, met aandacht voor risico, continuïteit en beheersbaarheid.
In due diligence leest u het woord infrastructuur daarom het best als: de technische fundering onder continuïteit, beveiliging en groei. De relevante vraag is niet alleen welke onderdelen er zijn, maar vooral of die onderdelen samen passen bij de eisen van de organisatie, de afhankelijkheden in processen en de risico's na closing.
Onderstaande termen komen vaak terug in gesprekken, rapportages en documentatie. Per term staat niet alleen wat het is, maar ook hoe u de term in de juiste context moet lezen.
Met IT-infrastructuur bedoelen mensen meestal het geheel van technische bouwstenen waarop de organisatie draait: werkplekken, netwerk, internetverbindingen, servers, cloudomgevingen, accounts, back-up en beheer. In due diligence moet u deze term dus lezen als: de fundering onder processen en dienstverlening, niet als één los kastje of één server.
Het netwerk is de manier waarop apparaten, systemen en locaties met elkaar praten. Denk aan wifi, switches, firewalls, VPN-verbindingen en internetlijnen. Als een rapport zegt dat het netwerk zwak of verouderd is, moet u dat lezen als een risico voor bereikbaarheid, prestaties en vaak ook security.
Een server is een systeem waarop applicaties, bestanden of databases draaien. Dat kan een fysieke machine zijn of een virtuele server in een datacenter of cloud. In de context van due diligence zegt een server vooral iets over afhankelijkheid, onderhoud, levensduur en herstelmogelijkheden.
Cloud betekent dat systemen of onderdelen daarvan niet lokaal in eigen pand staan, maar als dienst worden afgenomen bij een externe aanbieder. Dat klinkt modern, maar is niet automatisch beter. In due diligence moet u cloud lezen als een combinatie van kansen en afhankelijkheden: schaalbaarheid aan de ene kant, contract- en leveranciersrisico aan de andere kant.
On-premise betekent dat systemen vooral in eigen beheer of op een eigen locatie draaien. Vaak denken mensen dan aan “ouderwets”, maar dat hoeft niet zo te zijn. In due diligence leest u dit vooral als: meer directe controle, maar ook meer eigen verantwoordelijkheid voor beheer, onderhoud, uitwijk en beveiliging.
Een werkplek of endpoint is het apparaat waarmee gebruikers werken, zoals een laptop, desktop, tablet of telefoon. In rapportages wordt dit vaak genoemd bij beheer, patching en beveiliging. U moet dat lezen als een praktische vraag: hoe goed beheerst de organisatie de apparaten waarmee mensen dagelijks toegang hebben tot data en systemen?
IAM gaat over gebruikersaccounts, rechten, rollen en toegangscontrole. Eenvoudig gezegd: wie mag waar in, en hoe wordt dat beheerd? In due diligence is dit belangrijk omdat zwakke accountstructuren vaak wijzen op bredere beheersproblemen, vooral bij uitdiensttreding, leveranciersbeheer en security.
Een back-up is een reservekopie van data of systemen, bedoeld om na fouten, uitval of ransomware te kunnen herstellen. Het woord “back-up aanwezig” klinkt geruststellend, maar dat zegt nog weinig. In due diligence moet u vooral kijken of herstel echt getest is en of de back-up past bij de maximaal aanvaardbare schade en downtime.
Disaster recovery gaat over hoe een organisatie na een ernstige verstoring weer op gang komt. Dat is breder dan alleen een back-up. U moet dit lezen als de praktische herstelstrategie voor een serieus incident, inclusief verantwoordelijkheden, prioriteiten, testdiscipline en afhankelijkheden.
RTO is de gewenste hersteltijd; RPO is het maximaal aanvaardbare dataverlies in tijd. Dit zijn technische afkortingen met heel bestuurlijke gevolgen. In gewone taal zeggen ze: hoe lang mag iets eruit liggen, en hoeveel informatie mag verloren gaan zonder dat de schade te groot wordt?
Een single point of failure is één onderdeel waarvan te veel afhangt. Dat kan een server zijn, maar ook een sleutelpersoon, een specifieke leverancier of één internetverbinding. In due diligence moet u deze term lezen als: hier zit een disproportioneel risico dat bij uitval direct een kettingreactie kan geven.
Een MSP is een externe partij die beheer, monitoring of technische dienstverlening uitvoert. Dat kan handig zijn, maar het verplaatst ook kennis en afhankelijkheid naar buiten. In due diligence is de echte vraag niet of er een MSP is, maar hoe goed de regie, contracten, documentatie en exit zijn geregeld.
Infrastructuur is zelden een doel op zich. Het is vooral een drager van risico, continuïteit en verandervermogen. Daarom is de bestuurlijke vertaling belangrijker dan de technische inventaris alleen.
Kan de organisatie blijven draaien als een onderdeel uitvalt? Sluiten back-up, herstel, support en leveranciersafspraken aan op de werkelijke impact van verstoring?
Van welke leveranciers, platforms, sleutelpersonen en contracten hangt de omgeving af? Zijn die afhankelijkheden acceptabel en overdraagbaar na de deal?
Moet de koper kort na closing investeren om achterstanden in onderhoud, security, lifecycle of schaalbaarheid in te lopen? Dan raakt infrastructuur direct aan waarde en pricing.
Bij productie, logistiek, utiliteit of gebouwgebonden systemen kan infrastructuur deels bestaan uit OT. Dan verschuift de focus van kantoor-IT naar procesveiligheid, beschikbaarheid van installaties en beheer van industriële componenten. Lees verder over OT
Duidelijke antwoorden op veelgebruikte vragen, in gewone taal en in de context van due diligence, risico's en beheersbaarheid.
Met IT-infrastructuur wordt meestal het geheel bedoeld van netwerk, werkplekken, servers, cloud, accounts, back-up en beheer waarop processen en dienstverlening steunen.
Omdat infrastructuur iets zegt over continuïteit, afhankelijkheden, herstelvermogen en de investeringen die na een deal mogelijk nog nodig zijn.
Soms wel. In sommige organisaties bedoelt men met infrastructuur alleen kantoor-IT. In andere omgevingen horen ook industriële of procesgestuurde componenten erbij.
Denk aan verouderde systemen, single points of failure, slecht gedocumenteerde omgevingen, kwetsbare verbindingen, onvoldoende back-up of te grote afhankelijkheid van leveranciers.
Niet alleen als technisch fundament, maar als indicator voor beheersbaarheid, continuïteit en de vraag of de omgeving past bij de ambities en risicotolerantie na closing.