Sharing IT Best Practices with youSharing IT Best Practices with you
Volwassenheidsniveau
Het volwassenheidsniveau van een organisatie bepaalt in grote lijnen de manier waarop we met informatiebeveiliging omgaan in het algemeen, en binnen IT projecten in het bijzonder. Er zijn meerdere aspecten die bepalen hoe we een project moeten aanpakken. Deze aspecten geven samen een duidelijk beeld van het volwassenheidsniveau van een organisatie, en duiden we aan als volwassenheidskenmerken. Hoe hoger dit niveau is, hoe groter de kans dat informatiebeveiliging op de juiste manier is ingebed in de bedrijfsvoering. Dit niveau geeft namelijk aan hoe een organisatie bijvoorbeeld omgaat met standaarden en het beveiligingsproces als geheel.
Als een organisatie een hoog volwassenheidsniveau heeft betekent dit dat het voorwerk dat we moeten verrichten rond de informatiebeveiliging kleiner is in vergelijking met een organisatie met een lager niveau.
Het is echter mogelijk dat er binnen organisaties sprake is van verschillende volwassenheidsniveaus. Dit kan vooral het geval zijn bij grote corporate organisaties waar verschillende units zelfstandig functioneren.
De volgende volwassenheidskenmerken spelen een rol:
De bedrijfscultuur bepaalt in grote mate het volwassenheidsniveau van een organisatie. Hier zijn boeken over vol geschreven, en dit valt duidelijk buiten te bestek van dit artikel.
Wat hier niet buiten valt is:
De uitspraak “softskills are the organisation’s hardest diamonds” geeft aan dat cultuur ook een belangrijk volwassenheidskenmerk is.
Bij een project is het eindresultaat wat telt. Een organisatie kan hier een bepaalde onzekerheid over hebben, los van het niveau binnen de organisatie of de betrokken functie.
Motivatie van de organisatie als geheel of het deel daarvan dat binnen het project een rol speelt geeft een duidelijke indicatie voor de mate van standvastigheid. Als teamleden niet gemotiveerd zijn om informatiebeveiliging mee te nemen zal de implementatie ervan niet lukken tijdens het project.
Dit beïnvloedt dus het eindresultaat. Projectonzekerheid is op vier manieren te identificeren:
Variatie als onzekerheid vinden we bij de meer traditionele waterfall aanpakken, terwijl chaos zich als projectonzekerheid uit in methodes die veel ruimte bieden aan verandering.
De mate van onzekerheid rond het eindresultaat kunnen we vaststellen door een risk assessment uit te (laten) voeren die gericht is op:
De mate waarin een organisatie controle heeft over haar informatiebeveiliging bepaalt in grote mate het volwassenheidsniveau. Hoe minder volwassen, hoe meer activiteiten noodzakelijk zijn om te zorgen dat de implementatie van informatiebeveiliging in het project slaagt. Bij controle past ook het kiezen van een juiste strategie voor het in balans krijgen en houden van projectvoorbereiding versus projectuitvoering.
In een grote organisatie zal per definitie meer tijd geïnvesteerd zijn in het formaliseren van processen, het opstellen van regels en het doorvoeren van een procesgestuurde aanpak voor informatiebeveiliging. De rol van de verantwoordelijk manager voor informatiebeveiliging, de security officer (CISO) en eventuele andere functionarissen is hierin van belang. Dit heeft een directe relatie met de projectorganisatie. Zal de CISO in dit project participeren? Of juist niet? Heeft hij dan twee petten op? Hier moeten we goed over nadenken.
Als we al een beleid voor informatiebeveiliging hebben, is dat een belangrijk vertrekpunt voor een project waarin informatiebeveiliging een rol speelt. Het volwassenheidsniveau van een organisatie heeft daarom een directe relatie met een uitgewerkt beleid. Hoe is het tot stand gekomen, en hoe wordt het bijgehouden? Is iedereen binnen de organisatie er van doordrongen dat er überhaupt beleid is? Uit het beleid is af te leiden in hoeverre er is nagedacht over informatiebeveiliging ten aanzien van strategie, organisatie en de tactische richting. Naarmate het beleid en de gerelateerde aspecten beter zijn uitgewerkt zal een organisatie in staat zijn om informatiebeveiliging sneller en efficiënter in te bedden in een project.
De manier waarop de organisatie omgaat met dit beleid is mede bepalend voor het volwassenheidsniveau. Ofwel, er kan een beleid voor informatiebeveiliging zijn, maar als we daar niet op de juiste wijze mee omgaan, dan is dat eerder negatief dan positief. De wisselwerking tussen de projectorganisatie en de bestaande beveiligingsorganisatie speelt hierbij eveneens een belangrijke rol.
De mate waarop technologie is ingevoerd en beschikbaar is binnen een organisatie geeft aan hoe het bedrijf met informatiebeveiliging omgaat. Techniek is een logisch gevolg van een uitgezette koers voor informatiebeveiliging. Tenminste als het goed is. Dit aspect speelt en een rol bij het volwassenheidsniveau, maar nog meer binnen het inbedden van informatiebeveiliging in het project zelf. In de praktijk kan namelijk duidelijk worden dat de operationele techniek achterhaald is, niet werkbaar is of juist een extra verbeterslag moet doorlopen om binnen het project en later in de operationele processen juist te kunnen werken.
De match tussen eisen (requirements) voor techniek en het volwassenheidsniveau van een organisatie zijn cruciaal in het vaststellen van de wijze waarop deze technologie moet worden ingezet, zowel binnen het project als in een later operationeel stadium.
Complexiteit heeft twee invalshoeken. De complexiteit van de organisatie zelf speelt een rol. Is het bijvoorbeeld mogelijk binnen een complexe procesgestuurde organisatie projecten los daarvan te laten functioneren? Vooral de wijze waarop we het project zelf organiseren door methodiek, fasering, projectorganisatie en de verhouding tussen voorbereiding en daadwerkelijk uitvoering is afhankelijk van het volwassenheidsniveaus van de organisatie. Een volwassen organisatie zal projecten gestroomlijnd uitvoeren. De complexiteit heeft ook een relatie met Security Alignment. Als hiervoor duidelijk afspraken zijn gemaakt binnen het bedrijf zijn projectkenmerken als fasering, organisatie en methodiek eenvoudiger in te vullen.
Deze aspecten bepalen met elkaar het volwassenheidsniveau van een organisatie. En daarom de mate waarop, snelheid en effectiviteit waarmee men informatiebeveiliging in het project een rol laat spelen.
De mate waarin het management (top management, hoger en middenmanagement van de betrokken afdelingen) het project ondersteund is essentieel in het slagen van het project. Het management is namelijk de aangewezen plaats om aanwezig potentieel in de organisatie te mobiliseren en in te zetten in een project. Ondersteunt het management het project niet, dan komt er van de inzet van dit potentieel en het gebruik van beschikbare interne kennis niets terecht. Zonder managementondersteuning kunnen we een project maar beter stoppen.
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.