Häromdagen skrev Stefan ett inlägg "Är nätverket en knarkarkvart?" där han sakligt och humoristiskt jämför den klassiska knarkarkvartens struktur med den IT-miljö som många verksamheter idag lever i. Om nätverket är en knarkarkvart? Svaret är nästan alltid "You bet!". Men varför? Stefan skriver "Varför det, trots detta, finns så många knarkarkvartar törs jag inte svara på." ...
Men det gör jag!! :>
<generaliseringsläge>
Grunden är enkel - Som Stefan pekar ut är IT-systemens brist på struktur och dokumentation något som är osynligt. Däremot finns det väl synliga faktorer så som
- kalendertid
- mantid
- upptid
- funktion
Att det sedan i längden medför att ALLA de där fyra faktorerna blir både billigare och bättre om man har en god struktur och dokumentation på rimlig nivå, spelar mindre roll av ett antal anledningar. Vi kan förenkla anledningarna till att de flesta människor saknar förmåga att tänka längre än fem minuter framåt i tiden, än mindre agera för att få det bättre i framtiden, och inte heller tolerera när andra gör det på bekostnad av det som är NU. Och det går bra till en början att strunta i det, men då ska man vara väl medveten om att det är en skuld man bygger upp som en dag inte bara SKA, utan även KOMMER betalas. [läsarfråga: vem får betala?]
Att det blir både billigare och bättre vet vi tack vare regelverk som KRÄVER viss kontroll. Både då Sarbanes-Oxley Act infördes och då PCI DSS nu införs alltmer ställs IT-avdelningarna inför den skuld som arbetats upp. Det tar mycket resurser att arbeta av den skulden och därav har det knorrats en hel del, men när den väl är betald upptäcker många hur mycket lättare arbetet plötsligt blev.
... så varför krävs det då inte mer från högre chefsnivå? Borde inte ekonomichefen förstå att det finns pengar att tjäna långsiktigt på att ha ordning på sina saker - det är trots allt en väl accepterad sanning för ekonomichefen att med ordning och reda på ekonomin så mår företaget bättre. Samma sak borde gälla IT-systemen?
Jodå, det borde de förstå. Men kontrollmekanismen saknas. En IT-chef kan pladdra lite jibber-jabber som ingen förstår men som verkar tillräckligt avancerat för att ge intrycket att läget är under kontroll. Men det är det sällan. Det är nämligen inte vad IT-chefen säger, utan vad denne inte säger som är den största indikatorn på om IT-miljön sköts väl.
Med en kontrollmekanism som PCI DSS, revisioner från en auktoriserad QSA som i sin tur har revisioner på sitt arbete, så blir det ruskigt svårt att komma undan utan att verkligen ha kontroll. Just PCI DSS är speciellt i det att man inte bara granskar dokumentation och genomför intervjuer, utan även gör omfattande kontroller direkt mot systemen.
</generaliseringsläge>
Det finns förstås en del komplexitet i det här ämnet, men en bra kontrollprocess skulle vara en infallsvinkel som synliggör och då ger förutsättningar att åtgärda de flesta problemen som finns, oavsett vad det är hos just verksamhet X. Gäller bara att hitta en lämplig sådan kontrollprocess då....
Inga kommentarer:
Skicka en kommentar