Security is toch gewoon een servicelevel?

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

Informatiebeveiliging

De belangstelling voor informatiebeveiliging en daarmee security neemt de laatste jaren toe. Lag de focus eerst vooral op de technische maatregelen om diefstal of openbaarmaking van data te voorkomen, nu wordt gelukkig ook gekeken naar de oorzaak van de risico’s.

We komen van ver

Dat deze belangstelling niet proactief voortkomt uit een professionele behoefte om goede IT-diensten te leveren is jammer. De praktijk is dat het vooral reactief gedreven wordt door compliancy-druk vanuit overheid of stakeholders. Voorbeelden hiervan: NEN7510 voor de zorgsector, COBIT voor financiële instellingen en de overheid hanteert de van ISO 27000 afgeleide BIR of BIG.

De wijze waarop de meeste organisaties proberen te voldoen aan de hen opgelegde eisen is zo mogelijk nog treuriger. Zodra een audit wordt aangekondigd schiet men spontaan in de stress. Verstofte processen, procedures en afspraken worden van de plank gehaald, en iedereen wordt op het hart gedrukt om zich vooral hier aan te houden. In ieder geval, totdat de audit voorbij is.

Ook de wijze waarop de audit-rapportage wordt behandeld verdient geen schoonheidsprijs. Een crisisteam krijgt de opdracht om onder hoge tijdsdruk de zaken op orde te krijgen. Wat neerkomt op allerlei technische ad hoc oplossingen. En daarna gaat men over tot de orde van de dag.

Security, compliancy, NEN7510, ISO27000, COBIT is tot de volgende audit weer even uit beeld. Soms is er een kleine wake-up call, als er  in de media een bericht verschijnt dat ergens een organisatie privacygevoelige informatie heeft gelekt. Maar gelukkig is dat altijd bij een ander……

Verkeerde focus op techniek en dienstverlening

Informatiebeveiliging is een integraal onderdeel van professionele dienstverlening, maar pas als het geëist wordt gaan opdrachtgevers en IT-managers ermee aan de slag.  Hierachter schuilt  een groter probleem, het ontbreken van een toepasbare visie op dienstverlening en security. Men is dus niet klaar voor het dagelijkse werk, laat staan voor de toekomst!

De werkwijze bepaalt de kwaliteit

Door grip te krijgen op de werkwijze ontstaat grip op de kwaliteit van de dienstverlening. ITIL heeft daarin veel gebracht, maar ook het beeld dat het organiseren van de werkwijze complex is. Het  benoemt vele onderwerpen die aandacht vergen. Maar ITIL heeft nooit verplicht gesteld dat dit in separate en daarmee onbestuurbare processen moet worden ondergebracht. Sterker nog, nagenoeg ieder ITIL-boek begint met de opmerking “adapt and apply”.

Door naar de basis terug te gaan ontstaat een toepasbare werkwijze. Het gaat altijd over het  Afspreken, Wijzigen, Herstellen en Leveren van de dienst. Het toepassen van deze 4 processen staat aan de basis van iedere effectieve dienstverlening. Het maken van afspraken met betrekking tot security-eisen behoort dan tot de standaard werkwijze.  Hierdoor wordt het voldoen aan ISO27000, NEN7510, COBIT of BIR een integraal onderdeel van de werkwijze.  En krijgt het niet ad hoc maar continu de aandacht die het nodig heeft.

Professionele dienstverlening gaat over het realiseren van de klantwens. Security is daar een natuurlijk onderdeel van. Security is dus niet meer dan een servicelevel. Het voldoen aan  service- en daarmee dus ook security-eisen, en het actueel kunnen rapporteren over deze eisen, borgt dat de organisatie klaar is voor de toekomst.

Kortom: het is zinloos om aan een haperende werkwijze ad hoc security instructies toe te voegen. Wie zijn werkwijze niet op orde heeft, krijgt zijn security ook niet op orde. Professionele dienstverlening vergt het eenvoudig organiseren van de werkwijze, waarbij security  gewoon een servicelevel is.

IT en AVG, mooie kansen, maar wacht niet te lang!

25 mei 2018 - en dat is sneller dan je denkt - treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. De AVG: Versterkt de rechten van personen met betrekking tot de persoonsgegevens...

If your CV doesn’t mean Customer Value, it has no value

Creating Customer Value is the only justification of our work. No matter if we are managing, supporting or operational active, more and more we realize that everything we do, should be done with...
itil service management ism methode

Hoe vermijd je de grootste valkuilen van ITIL service management?

Met 34 best practices is ITIL allang niet meer lean te noemen. Dus hoe vermijd je de grootste valkuilen van ITIL service management? Lees het hier!

Vergeet de klant, focus op je team!

Generaal zonder troepen Ik zie het vaak; uw klantaandacht is verspilde moeite als achter u geen organisatie staat die goede services kan leveren. U bent dan een generaal zonder troepen. Als u uw...

Managen of leidinggeven, meeting of ontmoeting

Managers mogen besluiten De klacht van veel medewerkers is dat het management niet weet waarover ze praat. Dit is helaas vaak terecht. Natuurlijk weten managers uitstekend wat het bedrijfsdoel is,...

Het ISM-procesmodel

Wil je je IT-beheer verder professionaliseren? Dit e-boek maakt het mogelijk de ISM-methode direct, eenvoudig en snel in te voeren, toe te passen en te begrijpen! 70 pagina's direct toepasbaar

ISM Infodag 2019

ISM infodag 2019

Tijdens de ISM Infodag op 10 december ontdekt u laatste trends op het gebied van ITSM. Ook is er volop gelegenheid tot netwerken. Zo komt u gemakkelijk in gesprek met professionals die u verder kunnen helpen met verschillende IT-doelstellingen en uitdagingen. Deelname aan het evenement is gratis.

Wim Hoving

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

info@ismportal.nl
050 - 5791387