BLOG

IT control frameworks zoals COBIT, ISO 27001/2, PCI DSS en andere worden in Nederland veel gebruikt. Toch worden deze niet altijd begrepen en daarom goed toegepast binnen IT afdelingen. CIO’s worstelen veelal met de vraag hoe ze zo’n IT control framework moeten toepassen. Dat is best logisch, want CIO’s richten zich op performance en goed IT beheer en gebruiken daarom liever ITIL of een ander IT inrichtingsmodel.

Mismatch 1: Control frameworks zijn voor controleurs

IT control & risk frameworks zijn vooral opgezet voor de controleurs zoals IT auditors, risk en compliance afdelingen en certificeerders (vooral ISO en PCI DSS). Zij begrijpen precies de taal vanuit de controle en op welke wijze zij de IT organisatie moeten toetsten met welke controls en risico verminderende maatregelen. En aangezien maar liefst 14% van de beroepsbevolking controlerend is krijgt het veel aandacht. Wat wij hiermee eigenlijk zeggen is dat deze IT Control & Risk frameworks leidraden zijn voor de controleurs en geen implementatiemodellen voor de IT organisatie. De CIO krijgt dus eigenlijk een aap op de mouw om de interpretatieslag tussen  de IT managementprocessen en de controls vanuit de control frameworks. De CIO is natuurlijk wel verantwoordelijk voor de kwaliteit en risico beheersing van de eigen IT organisatie en dus zelf moet zorgen dat zijn IT organisatie ‘in control’ is.

Mismatch 2: IT ‘Implementatie best practices zijn voor IT’ers

Aan de andere kant van het spectrum zijn er best practices zoals ITIL, CMMi, BiSL, SCRUM/Agile, ASL, MSP, Prince2 etc. Deze modellen helpen de IT-organisatie om bijvoorbeeld IT projecten te realiseren en hoe de processen Incident Management en Change Management het beste kunnen worden ingericht. Deze modellen zijn praktisch, gericht op performance en helpen de IT organisatie procesmatig te werken en de kwaliteit te verbeteren. Dit ligt dicht bij de kennis, kunde en taalgebruik van de IT organisaties en zijn derhalve goed door de CIO te realiseren. Nadeel is echter dat deze modellen niet leiden tot ‘in control’ zijn en zoals de controleurs kijken naar kwaliteit van IT.

 

 

Eigen framework in de taal van de IT’er

De CIO en de controleurs spreken ieder een andere taal en begrijpen elkaar daarom niet goed. Er is dus sprake van een mismatch of misalignment. Het gevolg daarvan is dat de CIO dan ook vaak ‘geholpen’ wordt door Risk en Compliance die dan gaat ‘voorschijven’ wat de IT organisatie moet doen om in control te zijn. Dit is vaak ad hoc en de controls zijn vaak in de taal van de controleurs en niet integraal opgesteld. Daarnaast leidt dit regelmatig tot te veel en overbodige controls en niet geheel onbelangrijk, specifieke controls voor ISO27001 en/of specifieke controls voor COBIT en/of specifieke controls voor bijvoorbeeld PCI/DSS. Dit terwijl de controls binnen deze raamwerken veel overlap hebben. Het zomaar implementeren leidt dan tot efficiencyverlies en bureaucratie!

Om dit op te lossen dient IT haar eigen IT Control Framework te realiseren dat begrijpelijk is voor IT’ers en voldoet aan de eisen die de controleurs aan de IT stellen. Om daadwerkelijk effectief ‘in control’ te zijn dient het beheersen van IT risico’s vanuit de IT medewerkers zelf te komen. Dit kan alleen als zij het “waarom” en het “hoe” goed begrijpen.

Binnen ItQ4Y beschikken wij over een Integrated® Control Framework dat “praat” in taken en activiteiten die een medewerker snapt en aansluit bij alle voornoemde control frameworks.