Security is toch gewoon een servicelevel?

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

Informatiebeveiliging

De belangstelling voor informatiebeveiliging en daarmee security neemt de laatste jaren toe. Lag de focus eerst vooral op de technische maatregelen om diefstal of openbaarmaking van data te voorkomen, nu wordt gelukkig ook gekeken naar de oorzaak van de risico’s.

We komen van ver

Dat deze belangstelling niet proactief voortkomt uit een professionele behoefte om goede IT-diensten te leveren is jammer. De praktijk is dat het vooral reactief gedreven wordt door compliancy-druk vanuit overheid of stakeholders. Voorbeelden hiervan: NEN7510 voor de zorgsector, COBIT voor financiële instellingen en de overheid hanteert de van ISO 27000 afgeleide BIR of BIG.

De wijze waarop de meeste organisaties proberen te voldoen aan de hen opgelegde eisen is zo mogelijk nog treuriger. Zodra een audit wordt aangekondigd schiet men spontaan in de stress. Verstofte processen, procedures en afspraken worden van de plank gehaald, en iedereen wordt op het hart gedrukt om zich vooral hier aan te houden. In ieder geval, totdat de audit voorbij is.

Ook de wijze waarop de audit-rapportage wordt behandeld verdient geen schoonheidsprijs. Een crisisteam krijgt de opdracht om onder hoge tijdsdruk de zaken op orde te krijgen. Wat neerkomt op allerlei technische ad hoc oplossingen. En daarna gaat men over tot de orde van de dag.

Security, compliancy, NEN7510, ISO27000, COBIT is tot de volgende audit weer even uit beeld. Soms is er een kleine wake-up call, als er  in de media een bericht verschijnt dat ergens een organisatie privacygevoelige informatie heeft gelekt. Maar gelukkig is dat altijd bij een ander……

Verkeerde focus op techniek en dienstverlening

Informatiebeveiliging is een integraal onderdeel van professionele dienstverlening, maar pas als het geëist wordt gaan opdrachtgevers en IT-managers ermee aan de slag.  Hierachter schuilt  een groter probleem, het ontbreken van een toepasbare visie op dienstverlening en security. Men is dus niet klaar voor het dagelijkse werk, laat staan voor de toekomst!

De werkwijze bepaalt de kwaliteit

Door grip te krijgen op de werkwijze ontstaat grip op de kwaliteit van de dienstverlening. ITIL heeft daarin veel gebracht, maar ook het beeld dat het organiseren van de werkwijze complex is. Het  benoemt vele onderwerpen die aandacht vergen. Maar ITIL heeft nooit verplicht gesteld dat dit in separate en daarmee onbestuurbare processen moet worden ondergebracht. Sterker nog, nagenoeg ieder ITIL-boek begint met de opmerking “adapt and apply”.

Door naar de basis terug te gaan ontstaat een toepasbare werkwijze. Het gaat altijd over het  Afspreken, Wijzigen, Herstellen en Leveren van de dienst. Het toepassen van deze 4 processen staat aan de basis van iedere effectieve dienstverlening. Het maken van afspraken met betrekking tot security-eisen behoort dan tot de standaard werkwijze.  Hierdoor wordt het voldoen aan ISO27000, NEN7510, COBIT of BIR een integraal onderdeel van de werkwijze.  En krijgt het niet ad hoc maar continu de aandacht die het nodig heeft.

Professionele dienstverlening gaat over het realiseren van de klantwens. Security is daar een natuurlijk onderdeel van. Security is dus niet meer dan een servicelevel. Het voldoen aan  service- en daarmee dus ook security-eisen, en het actueel kunnen rapporteren over deze eisen, borgt dat de organisatie klaar is voor de toekomst.

Kortom: het is zinloos om aan een haperende werkwijze ad hoc security instructies toe te voegen. Wie zijn werkwijze niet op orde heeft, krijgt zijn security ook niet op orde. Professionele dienstverlening vergt het eenvoudig organiseren van de werkwijze, waarbij security  gewoon een servicelevel is.

Eigen IT-processen bestaan niet, stop met schrijven, kies een standaard!

Om maar met de deur in huis te vallen, eigen IT-processen bestaan niet. Ik heb bij meer dan 100 organisaties naar hun zelf opgestelde processen mogen kijken. En wat blijkt? Ze zijn allemaal het...

Pavlov in de IT

Tekort aan specialisten Twee koppen in het nieuws vielen mij laatst op: “Groeiend tekort aan specialisten.” en “Tekort aan IT'ers opvangen door sneller opleiden.”  Vervolgens vraagt men zich nog...

Security is toch gewoon een servicelevel?

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en...

Lef en leiderschap gezocht: De spagaat van de IT-manager

De Leider lijdt het meest, door het leiden dat hij vreest! Compliancy-eisen De spagaat waar de IT-manager zich in bevindt is gigantisch. Nieuwe functionaliteit moet steeds sneller geleverd worden....
ict en agile werken in de zorg

De ICT in de zorg kan niet zonder agile mindset

Digitaal innoveren is noodzakelijk om de kwaliteit van de ICT in de zorg te verbeteren en daarmee de zorg goed en betaalbaar te houden. De zorgvraag neemt in hoog tempo toe, met een groeiend tekort...

Het ISM-procesmodel

Wil je je IT-beheer verder professionaliseren? Dit e-boek maakt het mogelijk de ISM-methode direct, eenvoudig en snel in te voeren, toe te passen en te begrijpen! 70 pagina's direct toepasbaar

Wim Hoving

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

info@ismportal.nl
050 - 5791387