Nepotrebna standardizacija?
Gospodarske razmere so prisilile podjetja, da kar najbolj zmanjšajo stroške. Informacijska podpora je eno od področij, na katerih je iskanje »notranjih rezerv« najživahnejše. Med projekti, ki so med prvimi na udaru zmanjševanja stroškov, so pogosto projekti certificiranja, ki nimajo neposrednih vidnih učinkov na prihodke. Je od njih sploh kakšna korist? mag. Davor Hvala, 27.12.2011
Zaostrene gospodarske razmere, ki smo jim priča zadnja tri leta in za katere nič ne kaže, da jih bo kmalu konec, so prisilila podjetja, da kar najbolj zmanjšajo stroške in poskušajo povečati prihodke. V Sloveniji položaj glede tega seveda ni nič drugačen – prej bi lahko rekli, da je še bolj zapleten kot drugje po Evropi –, zato smo priča mrzličnemu iskanju področij, kjer je še mogoče privarčevati kakšen evro, ne da bi s tem preveč ogrozili delovanje podjetja. Informacijska podpora je (žal) eno od področij, na katerih je iskanje t. i. »notranjih rezerv« najživahnejše. Delno gre to pripisati dejstvu, da so oddelki IT v podjetjih pogosto res eden večjih porabnikov sredstev, delno pa nerazumevanju pomena kakovosti informacijske podpore za poslovanje podjetij.
V nadaljevanju se ne bomo ukvarjali z varčevanjem pri IT-podpori v splošnem, ampak bomo rekli nekaj besed na temo standardov in poskušali oceniti smisel tega, da se podjetje sploh certificira po enem ali več t. i. standardih IT. Res pa je, da ti projekti, če se v podjetjih že izvajajo, tudi med prvimi, ki so na udaru zmanjševanja stroškov. Običajno namreč gre za relativno drage projekte, ki nimajo neposrednih vidnih učinkov, v organizacijah pa po navadi niso deležni velike pozornosti. Izjeme so tiste organizacije, ki se morajo certificirati, da svojo dejavnost sploh lahko opravljajo – pri vseh drugih pa je dokazovanje smiselnosti (ali nesmiselnosti) certificiranja še toliko pomembnejše.
Splošno o standardih
Standardov je cel kup, nekaj manj pa je organizacij, ki jih izdajajo. Za področje informacijske tehnologije sta najbolj znani dve, in sicer ISO (International Standards Organization oziroma International Organizaton for Standardization), ki je združenje nacionalnih standardizacijskih teles iz nekaj več kot 150 držav. ISO večino svojih standardov s področja informacijske tehnologije izdaja skupaj z organizacijo IEC (International Electrotechnical Commission), ki sicer pokriva področje elektrotehnologije. Druga pomembna organizacija pa je BSI (British Standards Institution), najstarejša nacionalna organizacija. BSI velikokrat prednjači pri pripravi standardov, kasneje dopolnjenih in sprejetih pri ISO. Poleg teh glavnih organizacij svoje standarde izdajajo tudi nekatere druge. Pri tem gre običajno za bolj specializirana področja, kot so npr. vojaške organizacije ali specializirana združenja.
Organizacija, ki pridobi certifikat skladnosti z enim od družine standardov ISO/IEC 27000, s tem pokaže zunanjemu svetu, da izvaja svojo dejavnost na način, ki zagotavlja varnost podatkov in informacij, ki jih shranjuje in obdeluje.
Standardizacija in certifikacija sta pri nas postali priljubljeni v začetku devetdesetih let prejšnjega stoletja, ko se je začel uveljavljati skupina standardov ISO900X, ki pokrivajo področje kakovosti v organizaciji. Ta standard je precej splošen, uporaben za različne dejavnosti, tako tudi za IT. Vendar pa je veliko bolj smiselno, da IT-organizacije, torej oddelki znotraj podjetij ali celotna podjetja iz te branže, implementirajo nekaj drugih standardov, ki so specializirani za IT-področje. Preden jih na kratko opišemo, si poglejmo, kakšen smisel sploh ima, da neka organizacija pridobi dokazila o tem, da sledi nekemu standardu.
Zakaj standardi
Standardi so običajno nabor dobrih praks, usmeritev in zahtev, kako opravljati neko dejavnost, da bodo rezultati dosegli določene kriterije in da bodo ponovljivi. Ponudijo torej neki okvir za delovanje, ki zagotavlja sistematično izvajanje in izboljševanje procesov. Razlog, zakaj je za organizacijo smiselno pridobiti dokazila, da spoštuje zahteve nekega standarda (da se »certificira«), je torej enostaven. Tako dokazilo, ki ga izda akreditirana organizacija, potrjuje, da nosilec izpolnjuje zahteve standarda, in je torej utemeljeno pričakovati, da bodo tudi njegovi izdelki ali storitve dosegali določeno raven kakovosti, varnostnih kriterijev ali kaj podobnega ter da bodo v teh svojih lastnostih ponovljivi. To je seveda pomembno sporočilo strankam in drugim poslovnim partnerjem ter zlasti v razvitem svetu lahko pomeni pomembno konkurenčno prednost ali celo tisto podrobnost, ki pretehta med obstojem in propadom nekega podjetja. Vse več je namreč podjetij in državnih organizacij, ki ne poslujejo s partnerji, če ti nimajo nepristranskega dokazila, da svojo dejavnost opravljajo v okviru pričakovanih standardov.
Ni pa to edini razlog. Ne gre namreč samo za zunanji vidik, ampak ima pridobitev nekega standarda pomemben pozitiven učinek tudi navznoter. Proces prilagajanja, ki se konča s certificiranjem, namreč prisili organizacijo, da analizira svoje procese, jih optimizira in naredi ponovljive. Ker je pomemben del vsakega standarda neprekinjeno izboljševanje procesov, to pomeni tudi, da bo optimizacija tekla naprej in bo organizacija v tem, kar počne, postajala vse boljša in boljša. To je tudi nujno, saj certifikata ne dobimo za vedno, ampak je običajno tako, da ga je treba osveževati na tri leta, vmes pa izvajati letne preglede, namenjene preventivnemu odkrivanju odstopanj, ki naj omogočijo njihovo pravočasno odpravo.
IT-standardi: ISO/IEC 27000
Standardov, ki jih lahko uvede IT-podjetje ali IT-oddelek znotraj nekega podjetja, je več, vendar pa sta zares razširjena predvsem dva. Prvi je družina standardov ISO/IEC 27000, ki se ukvarja z informacijsko varnostjo v najširšem pomenu, drugi pa je standard ISO/IEC 20000, katerega vsebina se dotika upravljanja informacijskih storitev.
Pri ISO/IEC 27000 gre za družino standardov, ki se nanašajo na informacijsko varnost. Varnost informacijskih virov, podatkov, komunikacij in drugih segmentov IT-okolja, je seveda nekaj, s čimer se informatiki ukvarjajo že zelo dolgo časa in kar postaja bolj in bolj pomembno, odkar je čim več našega vsakodnevnega življenja odvisnega od IT-podpore. Seveda vemo, da si že kar nekaj časa življenja brez informacijske podpore niti ne moremo več predstavljati, zato so varnostne rešitve že dlje časa sestavni del vsake IT-infrastrukture. Vendar pa te rešitve niso bile povsod enako dobre, velikokrat niso bile niti konsistentne, zato se je seveda pojavila potreba po nekem referenčnem merilu, s katerim bi lahko ocenjevali zrelost varnostnih rešitev v nekem okolju. S tako rekoč popolno komunikacijsko prepletenostjo današnjega sveta je nekaj takega nujno imeti, saj sicer ni moč oceniti, kolikšnega zaupanja je vreden partner, s katerimi se želimo povezati.
To so bili razlogi, ki so vodili k pripravi in objavi standardov družine ISO/IEC 27000. Organizacija, ki pridobi certifikat skladnosti z enim od teh standardov (običajno ISO/IEC 27001), s tem pokaže zunanjemu svetu, da spoštuje varnostne zahteve in da izvaja svojo dejavnost na način, ki zagotavlja varnost podatkov in informacij, ki jih shranjuje in obdeluje. To je seveda še posebej pomembno tam, kjer imamo opraviti z osebnimi podatki, zato ni čudno, da je ta standard zelo razširjen v bančnih, zavarovalniških in zdravstvenih krogih, nikakor pa ni omejen zgolj nanje. Pridobitev certifikata po tem standardu namreč običajno izboljša informacijsko varnost v organizaciji, kar je seveda dobrodošlo vsepovsod tam, kjer shranjujejo občutljive poslovne informacije, do katerih bi se radi dokopali tudi konkurenti.
ISO/IEC 20000 in ITIL
ISO/IEC 20000 je prvi standard, ki se ukvarja izključno z upravljanjem IT-storitev. Vsem, ki delamo v IT-dejavnosti, postaja vse bolj jasno, da je to področje, ki izrazito pridobiva pomembnost. Čeprav ima največji pomen pri tistih organizacijah, ki svoje IT-storitve ponujajo zunanjim strankam (zunanje izvajanje, finančne storitve, storitve v oblaku), pa ga ne gre zanemariti niti v IT-oddelkih, ki svoje storitve ponujajo notranjim odjemalcem, torej poslovnemu delu organizacije. Kot smo ugotovili zgoraj, jih namreč proces pridobivanja certifikata prisili, da preučijo, prilagodijo in optimizirajo svoje procese ter jih potem tudi stalno izboljšujejo. Potencialnim odjemalcem storitev pa zagotavlja, da bodo dobavljene storitve na dogovorjeni kakovostni ravni in da bodo take vedno znova in znova.
Standardu ISO/IEC 20000 je soroden ITIL (IT Infrastructure Library), vendar pa ta ni standard. Ker gre za nabor dobrih praks, ki jih je v zadnjih treh desetletjih zbral Urad britanske vlade za trgovino (OGC - Office of Government Commerce), se v ITIL-u ne da certificirati, lahko smo z njim le skladni. Je pa ITIL osnova za standard ISO/IEC 20000, zato velja, da je tista organizacija, ki je skladna z ITIL-om, na dobri poti, da pridobi tudi certifikat po tem standardu. Samodejnosti pa tu ni, saj je med ITIL-om in standardom pomembna razlika: medtem ko ITIL sledi filozofiji »prevzemi ali prilagodi« (adopt or adapt) in se vsaka organizacija lahko sama odloči, koliko ITIL-a bo uvedla v svoje delovanje, pa je standard veliko bolj formalen in ne dopušča izbire pri tem, kaj bomo in česa ne bomo uveljavili.
Za katerega od obeh se torej odločiti? Pravila tukaj ni, smiselno pa je – če seveda mislimo resno – izvajati oba. ITIL, ki je veliko bolj praktično usmerjen, nam bo pomagal, da bolje razumemo delovanje IT-okolja in storitve, ki jih IT ponuja (notranjim ali zunanjim) strankam, ne bo pa nam na koncu dodelil potrdila o skladnosti. To bomo dobili pri certificiranju po standardu ISO/IEC 20000, ki postavlja formalen okvir, znotraj katerega organizacija mora biti, če naj bo skladna s standardom. Ker tako ITIL kot standard predpostavljata neprekinjeno izboljševanje procesov, sta v tem združljiva in lahko razvijamo oba hkrati.
Kako do certifikata
Preden se lotimo postopka certificiranja, si moramo odgovoriti na pomembno vprašanje o tem, kaj je pravi cilj tega: ali je cilj le pridobiti certifikat ali pa je cilj predvsem to, da začnemo delovati na drugačen, boljši način, potem pa pridobimo še dokazilo o tem? Vsekakor gre upati, da si večina organizacij na to vprašanje odgovori z drugim odgovorom, čeprav gre pri njem za daljšo in bolj mukotrpno pot. Vsekakor pa ta pripelje na koncu do boljših in trajnejših rezultatov.
Že kar na začetku je treba povedati, da pot do dokazila o skladnosti z nekim standardom običajno ni niti kratka niti lahka in običajno tudi ne poceni. Konkretno je to seveda odvisno od zrelosti procesov, ki se razlikuje od organizacije do organizacije, vendar pa zrelost v okoljih, ki se še niso srečala niti z ITIL-om niti s standardom, običajno ni na prav visoki ravni. Velja tudi, da običajno v organizaciji ni dovolj znanja s tega področja, da bi lahko tovrsten projekt izvedli sami, zato je potrebno angažiranje zunanjih strokovnjakov. Tudi v primeru, da znanje obstaja znotraj hiše, je tak angažma – sicer manjši – smiseln, saj ponujajo zunanji strokovnjaki neodvisen, bolj nepristranski pogled na problematiko, ki ga tisti, ki so tudi sicer udeleženi v pripravo in izvajanje procesov, običajno niso zmožni.
Pri izbiri svetovalcev za ITIL in ISO 20000 pa je tako kot pri drugih podobnih stvareh potrebna previdnost. Nujno je dobiti strokovnjake, ki imajo po eni strani ustrezne certifikate, hkrati pa tudi praktične izkušnje. V Sloveniji takih ljudi ni prav veliko, vendar pa jih nekaj je, zato izbira kljub vsemu ne bi smela biti pretežka. Zaradi gospodarskih razmer so tudi svetovalne cene rahlo upadle, zato je zdaj morda še posebej primeren čas za tovrstne projekte.
Pridobitev certifikata mora biti obvezno izvajana kot projekt, z določenim projektnim vodjem, s člani ekipe in z jasnim mandatom vodstva. Opraviti imamo namreč z optimizacijo procesov, to pa so aktivnosti, ki jih je vedno treba izvajati po t. i. top-down načelu, iniciativa in podpora morata torej priti z vrha. Če ni tako, se verjetnost uspešnega zaključka drastično zmanjša.
Pred izvedbo projekta sta vsekakor potrebni začetna ocena zrelosti procesov in analiza odstopanj od standarda. Tej sledi identifikacija nalog, ki jih je treba izvesti, določitev nosilcev aktivnosti in potem seveda njihova izvedba. To se sliši enostavneje, kot v resnici je, saj vsi ti koraki vključujejo precej pogovorov, analiz, definiranja, usklajevanja in spremljanja implementacije. Pri standardu je treba k temu dodati še pripravo dokumentacije, ki je je zaradi njegove formalnosti precej, običajno pa je v organizacijah še ni in jo je treba pred pridobitvijo certifikata pripraviti. Zelo pomembno je tudi, da imamo za trditve, ki jih postavljamo v tej dokumentaciji (pravilniki, postopki, procesi), tudi dokazila, saj so ta nujna za pridobitev potrdila o skladnosti s standardom. Dokazila vključujejo zapise, zapisnike, pogodbe, dogovore in vse, kar lahko podkrepi naše trditve, da stvari počnemo na ustrezen način.
Zadnji korak je presoja, ki jo mora seveda izvesti zunanji presojevalec iz akreditirane organizacije, ki bo izdala certifikat. Presoja traja običajno nekaj dni, kako podrobna bo, pa je odvisno od presojevalca, čeprav morajo neko minimalno raven seveda vsi spoštovati. Ker čisto vsega običajno ne morejo preveriti, pregledujejo dokumentacijo in procese na preskok. Od tega, kaj pri tem odkrijejo, je odvisno, kako globoko bodo kopali v nadaljevanju. V vsakem primeru se je smiselno dobro pripraviti in ne računati na srečo, saj so presojevalci usposobljeni, da najdejo take »srečne točke«. Omeniti velja še to, da že pri odločitvi za certificiranje določimo njegov obseg, ki ni nujno celotna organizacija, ampak je lahko le njen del, ki pa mora biti seveda dovolj zaokrožena celota, sicer taka certifikacija ni smiselna ali je celo neizvedljiva.
Če smo bili pri presoji uspešni v dokazovanju in pojasnjevanju, je zadnje dejanje izdaja certifikata, ki dokazuje, da je IT-organizacija ali tisti njen del, ki smo ga določili v obsegu, skladna s standardom. To dokazilo je dragoceno, saj pot do njegove pridobitve običajno ni enostavna, zato ga velja uokviriti in obesiti na steno ter vključiti v celostno grafično podobo. Ne sme pa s tem biti konec aktivnosti, saj je treba, kot smo že pojasnili, certifikate obnavljati vsakih nekaj let, zato moramo poskrbeti, da vsaj vzdržujemo doseženo raven storitev. No, če so bili razlogi za certificiranje pravi, torej da resnično želimo začeti delati bolje in bolj konsistentno, potem s tem ne bi smelo biti težav.
Se izplača?
Pridobitev certifikata o skladnosti s standardom običajno ni poceni. Upoštevati je treba strošek zunanjih svetovalcev, strošek presojevalca in presoje, pa tudi porabo časa zaposlenih, ki morajo biti vključeni v vse faze projekta. Odvisno od velikosti organizacije in zrelosti procesov taki projekti lahko trajajo tudi eno leto ali več, kar seveda na koncu nanese kar precej človek-mesecev, ki jih vložijo sodelavci. K temu dodajmo še stroške izobraževanj in končna številka je lahko kar visoka. Ali se torej izplača?
Na to vprašanje ne moremo natančno odgovoriti, saj tovrstni projekti spadajo v kategorijo, o kateri smo pisali v eni prejšnjih številk: medtem ko ni težko sešteti končnih stroškov – malo težje jih je oceniti na začetku projekta –, pa je zelo težko ali celo nemogoče vrednostno ovrednotiti koristi. Zato je odgovor na zgornje vprašanje tako težak.
Pri nekaterih tipih organizacij je seveda odgovor zelo enostaven. Če je pridobitev certifikata o skladnosti s tem ali z onim standardom zakonska ali regulatorna zahteva, potem dileme ni. Če dokazila o skladnosti ni, potem organizacija ne more delovati, torej se pridobitev vsekakor izplača. Malo težji je odgovor pri organizacijah, ki delujejo na zelo konkurenčnih področjih. Tam je vsaka podrobnost, po kateri se lahko ločijo od konkurentov, dobrodošla in lahko pomeni razliko med pridobitvijo in izgubo posla. Nemogoče je seveda reči, koliko poslov bomo dodatno pridobili, če bomo imeli neki certifikat, vendar ta razlika zagotovo obstaja. V primeru, da se je za pridobitev certifikata odločila večina konkurentov, prave dileme spet ni, saj potem to velja za (neformalno) nujnost, ki jo je treba izpolniti.
Najtežji pa je odgovor pri preostalih tipih organizacij, kjer v pridobitev certifikata torej ne silijo niti zakonodajalec niti regulator niti konkurenca. Na prvi pogled bi lahko rekli, da je torej to le nepotreben strošek, ki se mu je treba izogniti, še zlasti v teh težkih časih, v katerih živimo zadnjih nekaj let. Taka miselnost je žal prevladujoča med slovenskimi direktorji in nadzornimi sveti, prevečkrat pa tudi med direktorji in vodji IT-oddelkov, ki si pač ne želijo nakopati dodatnega dela. Nekoliko presenetljivo pa je dejstvo, da je tako gledanje moč najti tudi med revizorji informacijskih sistemov, za katere bi človek mislil, da bodo pozdravili vsako formalizacijo procesov.
Vsaka iniciativa, ki prispeva k optimiziranju in ponovljivosti delovanja ter zagotavlja izboljšano kakovost rezultatov, je dobrodošla, saj celotno organizacijo sili k neprestanemu izboljševanju in zagotavlja, da ljudje ne zaspimo v lastnem udobju. To pa je eden od pogojev, da smo lahko konkurenčni in lažje obstanemo. S tega vidika je torej tudi uvedba standardov ali priporočil ITIL koristna in smiselna, četudi je morda ne moremo ovrednotiti do zadnjega centa. Naj bo le narejena iz pravih razlogov in izvedena strogo po principih projektnega dela, pa bi koristi morale biti kmalu vidne. Le upamo lahko, da bi več naših direktorjev ali predsednikov uprav imelo dovolj razumevanja in pokazalo dovolj poguma, da bi se lotevali tudi tovrstnih podvigov.
Organizacija, ki pridobi certifikat skladnosti z enim od družine standardov ISO/IEC 27000, s tem pokaže zunanjemu svetu, da izvaja svojo dejavnost na način, ki zagotavlja varnost podatkov in informacij, ki jih shranjuje in obdeluje.
Komentarji
Bodite prvi in dodajte svoj komentar.
Komentiraj prispevek
Za komentiranje morate biti prijavljeni
Komentarji