Volwassenheidsniveau van een organisatie

De mate van volwassenheid van een organisatie bepaald in grote lijnen de wijze waarop met informatiebeveiliging wordt omgegaan in het algemeen, en binnen projecten in het bijzonder. Er zijn meerdere aspecten die bepalen hoe een project aangepakt moet worden. Deze aspecten geven tezamen een duidelijk beeld van het volwassenheidsniveau van een organisatie, en worden aangeduid als volwassenheidskenmerken. Hoe hoger dit niveau is, des te groter de kans dat informatiebeveiliging op de juiste wijze wordt ingebed in de operationele bedrijfssituatie. Dit niveau geeft namelijk aan hoe een organisatie bijvoorbeeld omgaat met standaarden en het beveiligingsproces als geheel. Als een organisatie een hoog volwassenheidsniveau heeft betekent dit dat het voorwerk dat moet worden verricht rondom informatiebeveiliging geringer is in vergelijking met een organisatie waar dit niveau lager is.

Het is mogelijk dat er binnen organisaties sprake is van verschillende volwassenheidsniveaus.

Dit kan vooral het geval zijn bij grote multifunctionele organisaties waar verschillende onderdelen zelfstandig functioneren.

De volgende volwassenheidskenmerken spelen een rol:

Cultuur

De bedrijfscultuur bepaalt in grote mate het volwassenheidsniveau van een organisatie. Hier zijn boeken over vol geschreven, en dit valt duidelijk buiten te bestek van dit artikel.
Wat hier niet buiten valt is awareness, normen en standaarden voor bewustzijn en bewustwording, compliance methodieken en tot slot de mate waar een organisatie überhaupt over informatiebeveiliging discussieert. De uitspraak “soft skills are the organisation’s hardest diamonds” geeft aan dat cultuur als belangrijk volwassenheidskenmerk te boek staat.

Standvastigheid en mate van onzekerheid

Rond een project is het eindresultaat wat telt. Een organisatie kan hier een zekere onzekerheid over hebben, los van het niveau binnen de organisatie of de betrokken functie.
Motivatie van de organisatie als geheel of een deel daarvan dat binnen het project een rol speelt geeft een duidelijke draai aan de mate van standvastigheid. Niet gemotiveerd zijn van mensen rond informatiebeveiliging zorgt dat de koppeling naar het project niet gaat lukken.
Dit beïnvloedt het eindresultaat. De mate van onzekerheid rond het eindresultaat kan worden weggenomen door een risk assessment uit te (laten) voeren met sturing op fasering, de methodiek waarmee het project wordt aangepakt en bestuurd, de project organisatie en als laatste de verhouding tussen de voorbereiding en de uitvoering.

Projectonzekerheid kan op vier manieren geïdentificeerd worden:

Variatie, Voorziene onzekerheid, Onvoorziene onzekerheid, Chaos

Variatie is opgehangen rondom de meer traditionele aanpakken, terwijl chaos zich uit in aanpakken die ruimte bieden aan verandering.

Besturing

De mate waarin een organisatie controle heeft over haar informatiebeveiliging bepaalt in grote mate het volwassenheidsniveau. Hoe minder volwassen, hoe meer activiteiten noodzakelijk zijn om te zorgen dat de al eerder genoemde koppeling tussen informatiebeveiliging en het project slaagt. Bij controle past ook het kiezen van een juiste strategie voor het in balans krijgen en houden van projectvoorbereiding versus projectuitvoering.

Omvang

Een grote organisatie zal per definitie meer tijd hebben geïnvesteerd in het formaliseren van processen, het opstellen van regels en het doorvoeren van een procesgestuurde werkwijze voor informatiebeveiliging. De rol van de verantwoordelijk manager voor informatiebeveiliging, de security officer (CISO) en eventuele andere functionarissen is hierin van belang. Dit heeft een directe relatie met de projectorganisatie. Zal de CISO participeren hierin? Of juist niet? Twee petten dan? Hier moet goed over nagedacht worden.

Beleid

De aanwezigheid van beleid voor informatiebeveiliging is een belangrijk vertrekpunt voor een project waarin informatiebeveiliging een rol speelt. Het volwassenheidsniveau van een organisatie heeft een directe relatie met dit beleid. Hoe is het tot stand gekomen, en hoe wordt het bijgehouden? Is iedereen binnen de organisatie er van doordrongen dat er überhaupt beleid is? Het geeft aan in hoeverre er is nagedacht over informatiebeveiliging in termen van strategie, organisatie en tactische richtingen. Naarmate beleid en gerelateerde aspecten beter zijn uitgekristalliseerd zal een organisatie sneller en efficiënter informatiebeveiliging kunnen inbedden in een project. De manier waarop de organisatie omgaat met dit beleid is tevens bepalend voor het volwassenheidsniveau. Ofwel, er kan beleid voor informatiebeveiliging zijn, maar als daar niet op de juiste wijze mee wordt omgegaan (denk aan up-to-date houden), dan is dot eerder een negatief aspect dan positief. De wisselwerking tussen de projectorganisatie en de bestaande beveiligingsorganisatie speelt hierbij tevens een belangrijke rol.

Technologie

De mate waarop technologie is ingevoerd en beschikbaar is binnen een organisatie geeft aan hoe het bedrijf met informatiebeveiliging omgaat. Techniek is een logisch gevolg van een uitgezette koers voor informatiebeveiliging. Tenminste als het goed is. Dit aspect speelt en een rol bij het volwassenheidsniveau, maar nog meer binnen het inbedden van informatiebeveiliging in het project zelf. In de praktijk kan namelijk duidelijk worden dat de operationele techniek achterhaald is, niet werkbaar is of juist een extra verbeterslag moet doorlopen om binnen het project en later in de operationele processen juist te kunnen werken.

De match tussen eisen (requirements) voor techniek en het volwassenheidsniveau van een organisatie zijn cruciaal in het vaststellen van de wijze waarop deze technologie moet worden ingezet, zowel binnen het project als in een later operationeel stadium.

Complexiteit

Complexiteit heeft twee invalshoeken. De complexiteit van de organisatie zelf speelt een rol. Is het bijvoorbeeld mogelijk binnen een complexe procesgestuurde organisatie projecten los daarvan te laten functioneren? Vooral de wijze waarop het project zelf wordt aangevlogen door fasering, methodiek, projectorganisatie en de verhouding tussen voorbereiding en daadwerkelijk uitvoering is in grote mate afhankelijk van het volwassenheidsniveaus van de organisatie. Een volwassen organisatie zal projecten gestroomlijnd aanlopen. De complexiteit heeft tevens een relatie met security alignment. Als hiervoor duidelijk afspraken zijn gemaakt binnen het bedrijf dan zullen de projectkenmerken als fasering, organisatie en methodiek eenvoudiger in te vullen zijn.

Gezamenlijk bepalen de hierboven beschreven aspecten het volwassenheidsniveau van een organisatie en dus de mate waarop, snelheid en effectiviteit waarmee informatiebeveiliging in het project een rol krijgt toebedeeld en wordt ingebed.

Management support

De mate waarin het management (top management, hoger en middenmanagement van alle relevante organisatieonderdelen) het project ondersteund is essentieel in het slagen van het project. Zonder managementondersteuning kan een project maar beter gestopt worden. Het management is namelijk de aangewezen plaats om aanwezig potentieel in de organisatie te mobiliseren en in te zetten in een project [4]. Ondersteunt het management het project niet, dan komt er van de inzet van dit potentieel en het gebruik van beschikbare interne kennis niets terecht.

Dit artikel is een onderdeel van een expertbrief van het GVIB.

Boeken over dit onderwerp

De commerciële revolutie

Auteur: Wessel Berkman
Wessel Berkman legt in dit bijzondere boek overtuigend uit hoe je ervoor zorgt dat ook jouw organisatie op commercieel vlak klaar is voor de eenentwintigste eeuw.
Europrijs: 34,99
Bestellen

Semco in de polder

Auteur: Allard Droste
In dit boek lees je hoe ondernemer Allard Droste op geheel eigen wijze de onorthodoxe managementstijl van het Braziliaanse Semco een Hollands tintje geeft.
Europrijs: 22,5
Bestellen

Meer boeken over organisaties vinden.


-- Printbare PDF-versie --


No votes yet.
Please wait...

Aanvullingen

Geef zelf een aanvulling.

Geef een aanvulling

Licentie: Creative Commons (Naamsvermelding/Gelijkdelen)

Checklisten:
Analyse gebruikersorganisatie 21 vragen.
Project-organisatie management 40 vragen.
Aansluiting gebruikersorganisatie 38 vragen.
Organisatie gebruikersparticipatie 16 vragen.
Sidebar