Gingen we gisteren nog in op de OTAP-stappen die we doorlopen voordat we nieuwe informatiesystemen of beveiligingsmaatregelen inzetten. Vandaag gaan we in op het formeel goedkeuren van de maatregelen en het overdragen van die maatregelen aan de staande lijnorganisatie.
We stellen daarom de volgende vraag:
Zijn de beveiligingsmaatregelen geïmplementeerd en zijn systemen formeel goedgekeurd voordat ze in productie worden genomen (overdracht rapportages)?
We hebben al gezien dat we niet zomaar wijzigingen door kunnen voeren omdat dat impact kan hebben op onze productieomgeving…de omgeving waar we ons geld mee verdienen. Voor het gemak gaan we er vanuit dat we inmiddels een goede change management procedure hebben opgesteld en ingevoerd.
Toch zijn we er niet als we “slechts” een wijziging doorvoeren of een nieuw systeem inzetten. We moeten ervoor zorgen dat dat systeem ook geborgd wordt in de organisatie. Iemand binnen die organisatie moet verantwoordelijk zijn voor dat systeem, hij of zij moet weten dat er een verantwoordelijkheid is en deze verantwoordelijkheid moet formeel geaccepteerd worden.
Dat is natuurlijk altijd lastig, want niemand zit te wachten op extra verantwoordelijkheden. Maar als het goed is, is er iemand die opdracht heeft gegeven voor de ontwikkeling van een nieuw systeem. Is hij niet degene die verantwoordelijk is of heeft hij ook weer een opdrachtgever? Borging in de organisatie is van belang om ervoor te zorgen dat het systeem ook zijn werk blijft doen.
Niet makkelijk, maar wel een heel belangrijke stap. Zonder formele eigenaar zouden we een nieuw systeem nooit in de lucht moeten brengen. Overigens zien we hier dat IT vaak verantwoordelijk gesteld wordt, toch is de vraag of dat juist is. Het systeem ondersteund een bedrijfsproces, wie is verantwoordelijk voor dat bedrijfsproces en zou diegene ook niet (functioneel) verantwoordelijk moeten zijn voor dat systeem?
Lastiger wordt het natuurlijk als we met systemen te maken krijgen die meerdere processen ondersteunen. Denk alleen maar eens aan het emailsysteem. Welk proces ondersteund dat? Denk ook maar aan het hele netwerk. Wie is daar verantwoordelijk voor? Het eigenaarschap voor dergelijke systemen is nog weleens niet duidelijk belegd. Misschien toch goed om eens naar de verantwoordelijkheden te kijken. Niet alleen naar de taken, bevoegdheden en verantwoordelijkheden voor de informatiebeveiliging dus (zoals we in eerdere stappen al gedaan hebben) maar ook naar de taken, bevoegdheden en verantwoordelijkheden voor de bedrijfsprocessen en de informatiesystemen.
Hoe we dit exact binnen de organisatie beleggen is niet eens zo relevant. Van belang is dat we keuzes maken, die keuzes vastleggen en dat degene die verantwoordelijk is dat ook weet. Dan kunnen we de discussie verder intern wel voeren.