18-09-2014
Security Management
Een principle-based aanpak met ISM & FSM
Jan van Bon @Servitect 18 september 2014 PvIB
Jan van Bon Ontwikkeling & verspreiding van kennis mbt Service Management
• • • • • • •
Dir. Inform-IT Manager Opleidingen en Kwaliteit @ Servitect Hoofdredacteur ITSM LIBRARY (80+ boeken) Hoofdredacteur ITSM PORTALs sinds 1996 Mede-oprichter itSMF-NL in 1993 Founder/Mgr Int. Publications C‟tee @ itSMF International Programma-mgr van 50+ congressen & seminars
www.itsmportal.com
www.Inform-IT.org
www.ITSMF.nl
www.we-share-it.nl
Linked
IPESC
De ISM-methode
ITSM Library
1
18-09-2014
Je rijdt in de verkeerde richting… Wat doe je dan?
Je rijdt in de verkeerde richting… Wat doe je dan?
2
18-09-2014
Omkeren Van kunstje naar kunde
Toezichthouders hanteren een rule-based benadering • Zorg: IGZ, CBP en overheid hanteren NEN7510
• Financiële sector: DNB hanteert COBIT met ISO27002
• Gemeentes: VNG hanteert BIG o.b.v. ISO27001/2
• IEDEREEN werkt met frameworks en normen: ITIL, COBIT, ASL, BiSL, MOF, ISO27000, ISO20000, NEN7510, etc.
Omkeren Van kunstje naar kunde
Toezichthouders hanteren een rule-based benadering • Zorg: IGZ, CBP en overheid hanteren NEN7510
PRINCIPLES
• Financiële sector:
DNB hanteert COBIT met ISO27002
• Gemeentes:
VNG hanteert BIG o.b.v. ISO27001/2
• IEDEREEN werkt met frameworks en normen: ITIL, COBIT, ASL, BiSL, MOF, ISO27000, ISO20000, NEN7510, etc.
3
18-09-2014
Omkeren Google: “security management process”
• Maar IB is helemaal geen proces … • IB is een functie … • … van processen …
Als je wil bouwen Waar begin je dan?
4
18-09-2014
Primaire en ondersteunende activiteiten Eerst terug naar af INFORMATIEVOORZIENING FACILITAIR BEHEER
PERSONEELSZAKEN
BEDRIJFSACTIVITEITEN
FINANCIEN
LOGISTIEK
….
Informatievoorziening Hoe kom je in control van dat domein?
“De business”
Informatievoorziening Functioneel beheer
Opdragen
Operationeel gebruik
IT-beheer
Specificeren
Bouwen
Supporten
Beheren
5
18-09-2014
Hoe kom je in control? Functiescheiding: creëer gescheiden verantwoordelijkheidsdomeinen
Informatievoorziening “De business”
Bedrijfsactiviteiten
Informatie
Technologie
Functioneel
IT-beheer
Specificeren & Supporten
Bouwen & Beheren
service Beheer (IM) service (IT-mgt)
Opdragen &
Operationeel gebruik
Negenvlaksmodel Er zijn vele vlakkenmodellen….
• Lees http://bit.ly/SAMart BUSINESS
OPERATIONEEL
REALISEREN
SPECIFICEREN/AANSTUREN
TACTISCH
ITMANAGEMENT
UITVOEREN
STRATEGISCH
SPECIFICEREN/AANSTUREN/ ONDERSTEUNEN
RICHTEN
BEPALEN/GEBRUIKEN
INFORMATIEMANAGEMENT
6
18-09-2014
Bedrijfsmiddelen van een dienstverlener Alle organisaties hebben dezelfde bedrijfsmiddelen
De 3 P‟s van de IT-serviceorganisatie Of “hoe vertaal ik een afspraak in een aantoonbare prestatie?”
Voorspelbaar resultaat
Variabele vraag
prestatie
afspraak
(IT-)serviceorganisatie
7
18-09-2014
Verbetering gaat via de werkwijze Managen v.d. organisatie = managen v.d. werkwijze
PEOPLE
PROCESS Procesmodel
Variable vragen
Proces
Afspraak
Processtap
Standaardisatie
Team
Functie/Rol
Medewerker
Voorspelbare resultaten
Prestatie Werkwijzen
Activiteit Helpdesktooling, templates
PRODUCT rapportage
Wat is een proces? Wereldwijd dezelfde definitie: “Een doelgerichte ordening van activiteiten”
Een serie activiteiten, met een trigger en een vooraf bepaalde uitkomst, voorzien van sturing op het halen van die uitkomst volgens de afgesproken wijze.
Een proces is dus een werkwoord….
8
18-09-2014
Een ITIL V2 „procesmodel‟ Voldoet niet aan de definitie
Een ITIL V3 „procesmodel‟ Voldoet niet aan de definitie
9
18-09-2014
Nog een ITIL V3 „procesmodel‟
En nog een…
10
18-09-2014
Voor functioneel beheer hetzelfde
Voor functioneel beheer hetzelfde
11
18-09-2014
Het ISM-Procesmodel Een universeel procesmodel: puur, simpel, geïntegreerd, compleet, compatibel met ITIL, ASL, BiSL, COBIT, …
EISEN/WENSEN RFP
AFSPREKEN
RFC
INCIDENTEN
VOORKOMEN
WIJZIGEN HERSTELLEN
INFORMEREN
LEVEREN
SERVICE REQUESTS
effectiviteitsprocessen efficiëntieprocessen
Functies Security management is een functie
“Een organisatorische functie is een onderdeel van een organisatie dat gespecialiseerd is in de uitvoering van een bepaald type werk en dat verantwoordelijk is voor specifieke eindresultaten.” Service management
Security management Capacity management
Servicedesk
Applicatiebeheer Systeembeheerder
“Functies gebruiken processen.”
12
18-09-2014
De Werkwijze Toepassing van het People/Process/Product paradigma
PROCESS
PEOPLE
PRODUCT
WAT
PROCES
WIE
PROCEDURE
HOE
WERKINSTRUCTIE
SOORTEN WERKWIJZEN
TEMPLATE
STANDAARDISATIE VAN WERKWIJZEN
De ISM-methode ISM is een methode, bestaande uit: • Het ISM-framework • De ISM-invoering • De ISM-support ISM maakt gebruik van bekende management-instrumenten. ISM is afgeleid van ESM, net als FSM. ©Servitect
13
18-09-2014
Het ISM-invoeringsproject Volledig gestandaardiseerde projecten
Business Case
PID Projectplan ISMScan
VOORBEREIDING
ISM & security management Security management is een functie, gedreven door een kwaliteitseis •
Organisatie – –
•
Afspreken (SLM) – – – –
•
Change-checklists bevatten security-aandachtspunten Security officer zit standaard in de CAB
Informeren (COM) – – –
•
Incidenten labelen als security-incidenten Rapportage security-incidenten aan security-officer, en aan servicemanager tbv klantrapportage
Wijzigen (CHM) – –
•
Er zijn dag-, week- en maandplannen voor security-specifiek onderhoud Monitoringplan bevat security-aspecten
Herstellen (INC) – –
•
Alle SLA‟s en UC‟s bevatten een Security-paragraaf Security-officer draagt bij aan servicespecificaties SLA beschrijft ook security-eisen aan gebruiker Security-kenmerken zijn opgenomen in servicecatalogus
Leveren (OPS) – –
•
TBV vaststellen, vastleggen en ontsluiten: wie is binnen IT-beheer verantwoordelijk voor security-doelen? Tooling inrichten t.a.v. procesondersteuning: welke security-kenmerken wil je in de tooling managen?
CMDB-model onderkent security-componenten zoals firewalls, antivirussoftware, etc., maar ook rollen en functies, en werkvoorschriften Regelmatige en planmatige verificatie van security-componenten Standaard-queries voor security-uitvraag
Voorkomen (QM) – – –
Security opgenomen in risico-inventarisatieplan Security als categorie voor risico‟s Security meewegen bij prioriteren
14
18-09-2014
Security managen Om security te kunnen managen… • moet je dus 6 processen managen… • m.b.t. het kwaliteitskenmerk security… • moet je je organisatie daarop inrichten • moet je je tooling inrichten • moet je je werkwijze optimaliseren • moet je rapporteren en bijsturen • moet je dus managen.
€35
En om integraal te kunnen managen moet je een integraal managementsysteem hebben, zowel voor IT-beheer als voor Functioneel Beheer.
DOMAIN
RICHTLIJNEN
SUBJECT
UITVOERING
CONTROL
VOORZIENING
REFERENCE
€35
WERKING
ISM-AANWIJZING
15
18-09-2014
Daarna omkeren Herordening volgens ISM-managementsysteem
• Herordening van alle acties volgens ISMprocesindeling • Projectgroep: organisatie, TBV, tooling • Procesgroepen: SLM-CHM-INC-OPS-COM-QM
• Elk ISM-projectteam managet z‟n acties en dekt daarmee de controls • Voortgangsbewakingstool • Auditen van voortgang • Voortgang van acties per ISM-projectteam • Voortgang per control
16
18-09-2014
Waarom zouden we stoppen bij IV? Enterprise Service Management (ESM) INFORMATIEVOORZIENING FACILITAIR BEHEER
PERSONEELSZAKEN
BEDRIJFSACTIVITEITEN
FINANCIEN
LOGISTIEK
….
Integratie vereist standaardisatie
STANDARDISATIE
PRODUCT
PEOPLE
PROCESS
PROCESSEN GEDEELD
EILANDEN - inefficient - ineffectief
NIETS GEDEELD
ORGANISATIE GEDEELD TOOL GEDEELD
ISM PROCESS MODEL
SSC, MDSU SPOC
Helpdesk tool BPM tool
SERVICE INTEGRATIE
17
18-09-2014
Integratie vereist eenvoud Invoeringsmodellen versus referentiemodellen Service level management
Quality management
Change management
Incident management
Configuration management
Operations management
Agreement management
Risk management
Specification management
Error management
Information model mgt
Support management
Security management INTEGRAAL, GEINTEGREERD, EENVOUDIG
Informatievoorziening “De business”
Informatie
Technologie
Security management
Afspreken
Voorkomen
Wijzigen
Herstellen
Informeren
Leveren
Agreement management
Risk management
Specification management
Error management
Information model mgt
Support management
Service level management
Quality management
Change management
Incident management
Configuration management
Operations management
Security Management: van Rule-based => Principle-based, met ISM & FSM
18
18-09-2014
Zijn er beperkingen? Keuzevrijheid door vele partners...
ITSM-tools
BPM-tools
‘X’ ‘X’
Invoeringspartners
Support
Wordt dat echt zo gedaan? ISM werkt in kleine en grote organisaties, in iedere branche
Geregistreerde ISM-gebruikers
19
18-09-2014
Vragen?
Servitect: – Mail:
[email protected] – Tel.: 050-579 13 87 – Gsm: 06-533 96 570
Of vraag de leden van de ISM-Groep….
20
