Kategoriarkiv: Informasjonssikkerhet

Relatert til risikostyring, men detaljer om hvordan vi gjør dette på IT siden.

Behovet for bedre intern IT

Dagens interne IT avdeling er stadig under press. Jeg vil si: «Mellom barken og veden». På den ene siden har man brukernes krav til moderne brukergrensesnitt, skyløsninger, tilkopling til mobile tjenester osv. På den andre siden virksomhetens tekniske gjeld – i form av gamle IT systemer, siloer av informasjon – mangel på informasjonsflyt mellom design og produksjon osv. Hva slags plan skal vi lage for å bøte på dette?

Finnes det en quick-fix? For mange er det å ty til skyløsning et bidrag. Vi trenger dele data, men resultatet er likevel en dobling av data, bilder, dokumenter osv.

Få vil unngå skyen om de starter en ny virksomhet idag? Tilgang til programlisenser er bare første fase, så er det deling i ulike form for skylagringsmedier. Vet du hvor mange steder bedriftens data ligger lagret?

I virkeligheten har mange bedrifter mye «in-house» data. Og det kreves interne IT ansatte, eller spesialister for å konvertere til riktig format av verdi. Hva med de 20 år gamle prosjektene og dokumentasjon som ligger på fjernlager? Hva er kravet på tilgangen til data –  nå og fremover – og hva slags kategorier av data finnes? Har du tenkt over om det er optimalt?

En handlingsplan for bedre intern IT vil ta hensyn til tilgang til data og en transformasjon av arbeidsoppgaver over tid; data og interne prosesser – fra gammelt til nytt. Kanskje vil man også legge opp til større grad av selvbetjening for brukerne. Det som ligger i bånn er hensynet til virksomhetsarkitekturen; Dette kan fort bli en unnskyldning for intern IT. Vi har så gamle IT systemer osv.

De fleste forbedringsprosjekt innen IT starter med kartlegging av behov. En kjent metode for kartlegging av virksomhetsarkitektur er metoden TOGAF, men det finnes også andre. TOGAF sikrer at man har med seg alle sider av virksomhetens behov. Det starter med krav til fremtidig IT løsninger – overordnede og med basale krav; Dernest dokumenteres dagens IT og systemløsninger, for til slutt å ende opp i en løsningsdiskusjon og et endringsønske.

Virksomhetsarkitektur som fag er ikke for hvem-som-helst. Det er en yppelig oppgave å kjøpe eksternt  både av hensyn til kvalitet og fordi man kan trenge en «uavhengig advokat» med spesialkompetanse på IT. Det finnes få om noen ansatte som har full oversikt over alle aspekter ved dagens muligheter på IT-infrastruktur, alle interne arbeidsprosesser – og ikke minst organisasjonens informasjonseierskap.

Jeg anbefaler en fasilitert forstudie med målsetting om «Bedre intern IT». Da vil også IT være en aktør på linje med brukermiljøene. Måle er å skille det vesentlige fra det mindre vesentlige og samtidig sikre seg informasjonssikkerhet på veien. IT sikkerhet er nemlig et særdeles viktig element i en endringsplan på IT – og ofte uteglemt. Hva med sårbarhet for data angrep? Ettersom skyløsninger gir bedriften global eksponering; Tilgang til data via Google, Amazon, Microsoft, Facebook osv. øker trusselen, men den kan samtidig enkelt skjermes ved en godt forankret IT strategi.

Til slutt: Skal du igang med å forbedre organiseringen av IT kommer du nok ikke utenom ITIL (standard leveransemodell for IT service organisasjoner). Har du planer om – eller vurderer outsourcing? Vil du se på fordelingen på hva du gjør internt og hva du kan kjøpe som en IT tjeneste? Da er det en fordel å forstå ITIL basis for å kunne stille krav til IT leveranser fra underleverandør. ITIL gjennomgås i separat artikkel. Det starter gjerne med å sende intern IT på ITIL kurs. Da får man både kunnskap om hvordan «beste praksis IT» bør leveres – og man kan stille krav om ITIL mot IT leverandører; Og kanskje er det en god målestokk for IT internt?

-Har du erfaring med ITIL?

Del dine erfaringer om intern IT og ITIL-prosesser via sosial kanaler.