Compliancy is een must
Security is hot voor de IT-manager. De incidenten volgen elkaar in hoog tempo op en het voldoen aan de compliancy is een must. De oplossing ligt bij het management, de uitvoering en techniek zijn volgend. Zonder gestructureerde besturing is het dweilen met de kraan open en zijn natte voeten slechts het begin van de schade.
De NEN7510 is gebaseerd op de code voor informatiebeveiliging ISO 27001 en de normen gelden dan ook organisatie-breed. Het zwaartepunt van de toepassing ligt echter bij de IT-dienstverlening en de IT-afdeling. Zorginstellingen kunnen alleen compliant zijn met de NEN7510 en de beschikbaarheid, integriteit en vertrouwelijkheid van informatie borgen als de besturing van de IT goed is georganiseerd.
Uitdagingen
Het goed besturen van de IT en het voldoen aan de NEN7510 kent een aantal grote uitdagingen. Dit betreft zowel de wijze waarop diensten worden gecreëerd en geleverd, maar zeker ook de kwaliteit van het informatiesysteem. Een goed georganiseerde werkwijze leidt tot goede IT-diensten en systemen.
De uitdagingen betreffen o.a.:
- Cultuur => bewustwording en urgentie bij het integreren van security in IT-dienstverlening bij zowel de klant als de leverancier.
- Werkwijze => een toepasbaar management-model voor de werkwijze van de IT-organisatie. Leiderschap is een belangrijk element n de toepassing van het model.
- Techniek => de inzet en combinatie van alle middelen. Interfaces vormen bijvoorbeeld een belangrijke factor
Een succesvol management-model ligt aan de basis van compliancy. Dit blog behandelt deze uitdagingen voor de IT-afdeling en geeft daarbij aanknopingspunten om hiermee om te gaan. Leidend hierbij is het Integrated Service Management-model (het ISM-model), dat helpt bij het structureren en continu verbeteren van de werkwijze en dus ook de bescherming van persoonsgegevens binnen een zorgorganisatie.
Interfaces zijn vaak zwakke schakels
Interfaces, oftewel koppelvlakken waarmee systemen met elkaar communiceren, zijn vaak zwakke schakels binnen zorginstellingen. Het is belangrijk hierbij te beseffen dat dit niet enkel een technische aangelegenheid is, maar net zo zeer een organisatorische. Er is namelijk vaak sprake van een wildgroei aan interfaces die leiden tot een ogenschijnlijke onontwarbare spaghetti.
Denk hierbij aan het vele dataverkeer tussen ziekenhuizen, huisartsen en apotheken onderling wat wordt ondersteunt met een grote diversiteit aan systemen. Vooral een grotere zorginstelling, met veel afdelingen en veel contacten binnen en buiten de organisatie, is hierbij de spin in het web en zal dit probleem herkennen.
Door de toegenomen complexiteit van het IT-systeem zijn er steeds meer onvolkomenheden toegevoegd. Dit leidt onder andere tot allerlei work-arounds. Alle data loopt nu door elkaar en is lastig te ontvlechten. En nogmaals, dit is naast een gebruiksonvriendelijk technisch probleem ook een organisatorisch probleem. Immers, de IT-dienstverlening is in grote mate afhankelijk van de kwaliteit van aansturing binnen de organisatie.
Het is namelijk de opdrachtgever, deels ook de gebruiker van de IT-dienstverlening, die duidelijkheid dient te verschaffen aan de uitvoering. En onthoud daarbij: de NEN 7510-normen gelden organisatie-breed! Het zwaartepunt ligt echter qua uitvoering bij de IT-afdeling.
Optimalisatie is dus key. Binnen het ISM-framework is optimalisatie één van de drie value-streams. De andere twee zijn ‘instandhouding’ en ‘innovatie’. Alle activiteiten die een IT-beheerorganisatie uitvoert passen binnen deze 3 value-streams. Optimalisatie zal alleen plaatsvinden wanneer je middelen (people, products en processen) in voldoende mate aanwezig zijn en in samenhang zijn georganiseerd. Dat impliceert op alle niveaus, dus organisatorisch, tactisch en strategisch.
Optimalisatie zorgt voor het in kaart brengen en ontwarren van de spaghetti. Door ‘technical debts’ en ‘organizational debts’ op te lossen wordt dienstverlening aan de gebruiker, de business, steeds beter. ISM, gebaseerd op ITIL, DevOps, Lean, Agile en VerISM, is een samenvatting en standaardisering van deze beheersmethoden en zorgt er voor dat al je middelen en methoden integraal worden toegepast waardoor je grip en overzicht krijgt op de IT-dienstverlening.
Gebrek aan Leiderschap
Leiderschap is wat anders dan de baas zijn. Leiding geven aan een IT-afdeling betekent leiding geven aan een serviceafdeling. Voldoen aan de NEN7510-normen, voldoen aan informatiebeveiligingseisen, is een service-onderdeel. Security is dus een standaard onderdeel van elke IT-afdeling.
Een leider faciliteert daarbij zijn/haar team. Het team voert uit. De business bepaalt de IT-wensen en maakt uiteindelijk ook gebruik van de geleverde diensten. Klinkt eenvoudig toch? Dat is het ook. Toch zijn er een aantal valkuilen die we vaak terug zien.
Optimalisatie
Iedereen kent wel een manager die vooral ‘’chef lopende zaken’’ is. Met betrekking tot de drie value-streams is er dan een gebrek aan evenwicht en ligt de nadruk op ‘instandhouding’. Hij/zij is zo druk met alleen maar balletjes in de lucht te houden dat er geen tijd en ruimte meer over is voor technische en organisatorische optimalisatie. De IT-manager richt al zijn/haar bronnen op het in stand houden van de IT-infrastructuur. Soms is hij/zij ook nog een beetje bezig met innovatie, maar dan houdt het wel op.
Bovenstaande komt door een slechte organisatie van middelen. Het besef ontbreekt dat juist optimalisatie als value-stream meer ruimte vrijspeelt voor instandhouding en innovatie. Juist wanneer de kernprocessen steeds Leaner en efficiënter verlopen is er ruimte gecreëerd voor overige value-streams. Prioriteer dus. De kunst daarbij is om de methoden die tot je beschikking staan, zoals ITIL, DevOps, Lean, Agile en VerISM, op een integrale manier toe worden gepast.
Beloof niet teveel
Een andere veel voorkomende valkuil is de manager die teveel belooft aan de organisatie. Hierdoor mist je team een duidelijke visie en verzuipt men in de verschillende opgaven. Daarbij heeft dit gedrag vaak ten gevolge dat de business ook ontevreden wordt, want niet alle beloftes kunnen worden waargemaakt. Het advies dat deze managers vaak nodig hebben is:
‘’Ga eens op het balkon staan.’’
Dat betekent zoiets als: zeg niet altijd direct ja op alle verzoeken. Als iemand wat van jouw team vraagt is het verstandig om even afstand te nemen en de zaak te overzien. Stel jezelf vragen zoals:
- Valt dit onder onze verantwoordelijkheid?
- Hebben we de capaciteit in huis?
- Hebben we de kunde in huis?
- Past het binnen onze visie?
- Is het noodzakelijk of slechts een nice-to-have?
Vaak hebben managers namelijk de neiging, in het kader van dienstverlening, op veel vragen ‘ja’ te antwoorden. Een goede leider beschermt echter zijn/haar team en belooft enkel dat wat waargemaakt kan worden en nodig is.
Het ISM-model verschaft de leider handvaten. Het maakt ITIL en DevOps praktisch en toepasbaar. Met het ISM-model kun je jouw team optimaal laten functioneren omdat het ze verschaft met een doel, een plan hoe het doel gehaald gaat worden en een uitgebreide omschrijving van wat ze precies gaan doen. ISM is namelijk een praktisch toepassingsmodel. Hierdoor is de IT-afdeling ook kundig om de NEN7510-normen te implementeren.
Partnerschap, stuurbaarheid en adoptie
Een andere hindernis bij het implementeren van een succesvol service management-model is dat de IT-afdeling de zorgprofessional vaak enkel als klant of gebruiker beschouwd. Echter, optimale IT-dienstverlening is zeer gebaat bij het beschouwen van de zorgprofessional als een partner. Beiden zijn immers inherent onderdeel van goede zorgverlening. Beiden zijn onmisbare schakels. Co-creation is het sleutelwoord.
Dat begint ermee dat de missie helder en scherp is neergezet. Dit is een taak van het management en directie. Zodoende kunnen vervolgens de doelstellingen concreet vertaald worden. Dit leidt tot meetbare IT-doelstellingen en afspraken waarover helder wordt gerapporteerd.
Dit proces lijkt een open deur, maar wordt vaak onzorgvuldig nageleefd. Het is echter wel een randvoorwaarde voor vruchtbaar partnerschap tussen de IT-afdeling en de business. Het leidt tevens tot een prettig werkbare situatie voor de IT-afdeling, waarbinnen de doelstelling nauwkeurig gemonitord kunnen worden in een dashboard.
Het is van belang dat de IT-manager zijn/haar afdeling openstelt voor zorgmedewerkers. Want enkel in samenspraak met de zorgmedewerkers, door ze in een vroeg stadium tijdig te betrekken, kun je gezamenlijke IT-doelen bepalen. Door een gezamenlijke aanpak zal de gebruiker ook veel ontvankelijker zijn voor een succesvolle adoptie. De zorgmedewerkers zijn zodoende namelijk mede-eigenaar geworden van het IT-proces. Men raakt betrokken en leert al doende inzien dat zorg en ICT onafscheidelijk zijn van elkaar. De IT ziet de zorg niet meer als klant, en de zorg ziet de IT niet meer als bijzaak.
Hit and run gedrag
Veel IT-managers maken zich zorgen over het hit-and-run gedrag van de IT-afdeling. Wanneer er een audit plaatsvindt voor de NEN7510 dan poetsen afdelingen snel even alles op. Eenmaal door de audit vervalt men weer in oud gedrag waarbij informatieveiligheid dus niet een integraal onderdeel is van de IT dienstverlening. De oorzaak van dit probleem is dus dat de NEN7510-normen niet standaard vallen onder de huidige IT-dienstverlening.
En dat is eigenlijk vreemd, want informatiebeveiliging is niks anders dan een standaard service die onderdeel is van je IT-dienstverlening. Security kun je namelijk niet los zien van de kerntaken als IT-afdeling.
Dus hoe kom je als IT-manager af van dit hit and run gedrag? Met de ISM-methode voldoet jouw organisatie vanzelf aan de veiligheidseisen van de NEN7510. De processen van het ISM-model integreren namelijk alle veiligheidsnormen in jouw IT-activiteiten. Zodoende is jouw organisatie altijd compliant.
Als extra handvat voor de IT-manager heeft ISM de ISM Compliancy Tool voor jou ontworpen. De tool geeft een actueel beeld van de mate waaraan NEN7510-normen worden nageleefd. Met deze tool bespaar je tijd en kosten. Zo wordt het voldoen aan de eisen een stuk eenvoudiger en een integraal onderdeel van de werkwijze van jouw team. Voor meer informatie klik hier.