Voorkom papieren tijgers

Normen en wet- en regelgeving leggen steeds meer verplichtingen op aan organisaties. Zo ook nieuwe eisen aan je organisatie vanwege securityregels.   Allemaal verplichtingen die jouw organisatie via diverse managementsystemen moeten borgen.  Het draait hierbij om procedures, borgen van verantwoordelijkheden en het inrichten van Plan-Do-Act-Check (PDCA) cycli. Zo ontstaan er veel verschillende PDCA-cycli binnen je organisatie. Hoe voorkom je dat je organisatie één grote papieren tijger wordt? Onze zoektocht naar eenvoud leidde tot integratie van PDCA-cycli, met ITIL als kapstok….

Goede IA-beheerders analyseren storingen en voor storingen die regelmatig optreden verzinnen ze structurele oplossingen. Iets soortgelijks vindt plaats bij cybersecurity incidenten. Ook deze registreer je, analyseer je periodiek en voor regelmatig terugkerende problemen verzin je een gestructureerde oplossing. In dit eenvoudige voorbeeld hebben we al twee losstaande verbeter-PDCA-cycli te pakken.

De meeste bedrijven zijn daarnaast ook aan slag met management- en beheersystemen als ISO9001 voor kwaliteitsmanagement en ISO27001 voor hun informatiebeveiliging. In de praktijk betekent dit dat er heel veel onderwerpen periodiek bekeken en verbeterd moeten worden. Het draaiend houden van alle cycli is geen sinecure. Deze worsteling zien we bij veel van onze klanten. In het slechtste geval resulteert dit in verschillende, half ingerichte managementsystemen, die veel te veel tijd en energie vragen voor wat ze opleveren.

Onze concrete opdracht was het implementeren van cybersecurity bij een drinkwaterbedrijf. We zochten naar eenvoud. Als verschillende managementsystemen PDCA-cycli vragen, dan moet je ze toch kunnen combineren, was onze gedachte?  Zo is het idee van één beheeromgeving ontstaan. Eén kapstok waaraan we alles kunnen ophangen. We bekeken verschillende methoden en kozen uiteindelijk voor ITIL4®. Hieronder onze eerste ervaringen in de praktijk.

ITIL4® sluit goed aan bij de huidige (Agile) manier van werken

De ISO 27000 standaard is volledig gericht op cybersecurity en is daarom niet geschikt als kapstok voor het beheer van automatisering.  ITIL is nog steeds dé standaard voor het inrichten van beheerprocessen binnen een IT-organisatie. ITIL heeft in 2019 een nieuwe versie uitgebracht, ITIL4®.

De basisprincipes van ITIL zijn daarbij niet veranderd. ITIL4® sluit wel beter aan bij de huidige Agile werkwijze die veel organisaties gebruiken. Daarom hebben wij deze geselecteerd.  De Agile aanpak gaat er vanuit dat de omstandigheden veranderen, weet hierop in te spelen en zorgt er zo voor dat het eindresultaat niet in gevaar komt. Dit sluit goed aan bij de werkzaamheden in een beheeromgeving.

 

Praktijkervaring

ITIL4® blijkt een uitstekende kapstok voor het onderbrengen van zowel je cybersecurity als je IA-beheerprocessen. We hebben geen ISO27001 aspecten gevonden die we niet kunnen onderbrengen.

ISO27001 zorgt er op zijn beurt voor dat wat je opschrijft SMART wordt. Dit maakt dat IA-beheerprocessen scherper worden. ITIL4® en ISO27001 versterken elkaar dus.

Het combineren van cybersecurity en beheer procedures levert nog meer op. Een eenvoudig voorbeeld hiervan is de ITIL wijzigingsprocedure. Door deze procedure te combineren met de procedures voor cybersecurity, borgden we dat er geen onveilige wijzigingen meer worden gemaakt.

Op basis van onze praktijkopdracht concluderen we dat er veel meer synergiepotentie zit in het combineren van managementsystemen van ITIL en ISO27001.