Interim-manager Rink de Haan over fijne kneepjes van programmamanagement. Boardroom spil in strijd tegen cyberrisico s. Big data en dataprivacy

Transcriptie

1 augustus 2014 jaargang 7 technologie beheer security 3 Security Interim-manager Rink de Haan over fijne kneepjes van programmamanagement Boardroom spil in strijd tegen cyberrisico s Big data en dataprivacy

2 WE HEBBEN VEEL GOEDE PRODUCTEN DIE WE U NIET VERKOPEN Bij Enterprise Solutions geloven we niet dat u meer succes heeft als u meer van onze producten koopt. We zoeken samen met u de juiste balans tussen uw ambities, uw bestaande systemen en onze innovaties. Zo kunt u probleemloos blijven ondernemen. Ons glasvezel- en mobiele 4G-netwerk bieden u daarvoor bijzonder veel mogelijkheden. Mag ik u nog meer vertellen? fedor.hoevenaars@tele2.com ENTERPRISE SOLUTIONS

3

4 Inhoudsopgave Thema: Security Security, het thema van dit nummer van TITM, staat prominenter op de agenda van de IT-manager dan ooit. Was informatiebeveiliging voorheen altijd iets wat je nu eenmaal moet doen en het terrein van een hoop bangmakerij door leveranciers, nu is het een van de belangrijkste aandachtsgebieden van de IT-afdeling en de CIO-office. Want Everything is connected heeft ook zo zijn nadelen. 16 Cyber-espionage as a service Hoe veilig of onveilig is het Nederlandse deel van cyberspace? In Cyber Security Perspectives 2013 trekken het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie, politie, TNO en KPN een positieve conclusie. Nederland is een van de veiligste landen op het gebied van cyber-security. Wat niet wil zeggen dat we opgelucht kunnen ademhalen Visie en overzicht gevraagd Om security-uitdagingen het hoofd te bieden, blijken IT-beheerders met name naar hun management te kijken. Daar moet security nóg hoger op de agenda komen. Terwijl de IT-beheerder het technisch allemaal aan zou moeten kunnen, blijkt hij in de praktijk vooral naar zijn manager te kijken als het om beslissingen over securitymanagement gaat. Wat moeten IT-managers weten, om hun personeel beter te kunnen aansturen op dit vlak? Boardroom spil in de strijd tegen cyberrisico s Dat cybersecurity veel aandacht van bedrijven en overheden eist, is een understatement. In de praktijk blijkt het lastig om digitale veiligheid effectief in te richten. Bijna dagelijks verschijnen er berichten in de media over cyberaanvallen. Louter technische oplossingen en compliance blijken onvoldoende bescherming te bieden. Het nieuwe cybersecurityraamwerk PAS 555 geeft de top van organisaties grip op hun weerbaarheid in de digitale wereld. 32 Big data en dataprivacy Recent hebben meerdere gevallen het nieuws gehaald waarin het gebruik van (big) data en het recht op dataprivacy met elkaar botsten. Aangezien we pas aan het begin staan van grootschalig gebruik van big data, zullen dit soort botsingen voorlopig alleen nog maar toenemen. Want hoe zit het ook alweer met big data en dataprivacy? Over interpretaties, cookies en de Consumer Privacy Bill meer business-changemanagers die zorg dragen voor de uitvoering. Cover: De fijne kneepjes van programmamanagement Sturen op een valide businesscase, verankering in de board en een of Daarmee heb je volgens ervaringsdeskundige Rink de Haan de drie hoofdkarakteristieken van een succesvol programma wel te pakken. Een interview met de bij Eneco, Delta, Nuon, RWE, Stedin en Vattenfall door de wol geverfde interimexecutive over het wel en wee van gedegen programmamanagement. 4 t i j d s c h r i f t i t m a n a g e m e n t

5 40 Connected enterprise wordt connected business Hoe belangrijk is het thema connectiviteit voor de IT-manager, vroeg ICT Media-CEO Rob Beijleveld zich retorisch af bij de aftrap van het dit voorjaar gehouden Jaarcongres Connected Enterprise. Hoe ver gaat de rol van de technologie en de CIO als je het perspectief uitzoomt van applicaties en infrastructuur naar auto s, vliegtuigen en zelfs vissen? Dankzij de koppeling van informatiesystemen worden nieuwe efficiëntieniveaus aangetikt cloud biedt het beste van beide: de schaalvoordelen van een publieke Hybride cloud: geen noodoplossing, maar uitgangspunt Waarom kiezen voor een publieke óf private cloud? Een hybride cloud en de robuustheid en veiligheid van een private cloud. Een onderneming die te maken heeft met big data, internationale uitbreiding of strenge wet- en regelgeving kan haast niet meer om een hybride cloudarchitectuur heen. Welke voordelen biedt deze architectuur? operator, staat bij bedrijven steeds vaker op de agenda. Ze zien deze Enterprise cloud computing voor DevOps-omgevingen DevOps, een samenvoeging van software- developer en system- ontwikkelmethode, waarbij op een agile manier nieuwe code wordt geschreven, als middel om de efficiëntie te verbeteren en de time-to-market te versnellen. De bekendheid van DevOps groeide tijdens de economische recessie. Werken in de cloud blijkt een goede zet voor DevOps-omgevingen. Inhoud Ik en mijn klant 30 Overview 59 Thema: Security Cyber-espionage as a service 16 Visie en overzicht gevraagd 22 Boardroom spil in strijd tegen cyberrisico s 26 Big data en dataprivacy 32 Rubrieken Redactioneel 7 Kort nieuws 8 Column: Arjan Zwanenburg 14 Research 21 Vak De fijne kneepjes van programmamanagement 10 Augmented reality vereenvoudigt beheer 35 Hoe veilig is data in de cloud? 36 Hybride cloud: noodoplossing of uitgangspunt? 46 Enterprise cloud computing voor DevOps-omgevingen 52 Verslag Connected enterprise wordt connected business 40 Rondetafel: Contentdistributie en security 48 Rondetafel: Connected business 54 a u g u s t u s

6 Koester uw dienstverlening Uw hele ICT-proces op orde met TOPdesk Met TOPdesk heeft u alles in huis om incidenten, wijzigingen en operationele taken razendsnel af te handelen. Bovendien is TOPdesk de enige tool die ICT, FM en HRM perfect integreert. U hoeft alle informatie slechts op één plek te beheren, terwijl elke afdeling zijn eigen veilige werkomgeving behoudt. Met de nieuwste versie van TOPdesk profiteert u van functionaliteiten die uw werk eenvoudiger maken. U kunt in het vernieuwde Contractbeheer en SLM (Service Level Management) helemaal zelf uw producten- en dienstencatalogus inrichten, beheren en toezien op de naleving. En behandelaars op locatie kunnen met TOPdesk Mobile taken inzien en ter plekke incidenten aanmaken. Meer weten? Bezoek Service Management Simplified

7 van TITM Het kan geen kwaad Security staat centraal in dit nummer van TITM. Er wordt steeds meer geschreven over het onderwerp dat verlost lijkt te zijn van een imago dat nog het meest leek op elk halfjaar voor controle naar de tandarts. Iedereen vond informatiebeveiliging een verstandige activiteit, maar om nou te zeggen dat men zich er graag in verdiepte... nee. Hiermee wil ik niet beweren dat securitymanagement opeens een populaire bezigheid is geworden. Maar actueel is het wel! Er zijn niet zoveel mensen meer die het een saai onderwerp vinden misschien is dat het verschil. Nu we toch met z n allen zo bezig zijn met het onderwerp, wordt het wel tijd voor wat serieuze informatie-uitwisseling. Nog steeds is het zo dat we het moeten doen met een vaag bericht over een DDoS-aanval als de website van onze bank er uren uitligt. Ik begrijp wel dat het de consument worst zal wezen wat de oorzaak van het uitvallen is, maar de vakpers en de meeste securitymanagers in het bedrijfsleven en bij de overheid zouden graag wat meer weten. Wat is de herkomst van de aanval? De motieven ervoor? In hoeverre lukte het de aanval op te vangen? Wat kunnen we leren? Securitymanagement mag dan van z n saaiheid zijn verlost, er hangt nog steeds een grauwsluier van geheimzinnigheid omheen. Een inbreuk op de beveiliging wordt nog altijd als een schande gezien. Niet alles hoeft aan de grote klok, maar een dosis transparantie kan geen kwaad. Een kennismonopolie van een beperkt aantal experts is in niemands belang. We willen leren! Een belangrijk fenomeen in dit verband is de securitystandaard PAS 555, die zich vooral richt op de governance en het management van informatiebeveiliging. In het artikel Boardroom spil in de strijd tegen cyberrisico s van Natasja Stet, elders in dit nummer, wordt mooi uitgelegd waarom dit zo belangrijk is. Cybersecurity draait niet alleen om technologie en het afvinken van checklists. [...] Effectieve cybersecurity is alleen te bereiken als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten. Het gaat ook over governance, leiderschap, cultuur, bewustzijn, gedrag, fysieke veiligheid, intelligence, onderzoek, detectie, respons en herstel na een incident. Dit alles binnen de organisatie en in relatie met leveranciers, partners en klanten. Die integrale aanpak is wat bij veel organisaties momenteel nog ontbreekt. De Cyber Alliance, met bedrijven als Cisco, Symantec en PA Consulting Group, pakte de handschoen op om alle dimensies van cybersecurity vast te leggen in een nieuw, overzichtelijk cybersecurity raamwerk. Het resultaat is de PAS 555 Cyber security risk Governance and management-standaard van het Britse Standards Institute (BSi), die inmiddels ook door de Nederlandse Cyber Security Raad wordt aanbevolen. Graag maken we in komende nummers van TITM ruimte om de ervaringen met PAS 555 te delen. Transparantie kan geen kwaad! Arnoud van Gemeren (arnoud@ictmedia.nl), hoofdredacteur Tijdschrift IT Management a u g u s t u s

8 kort nieuws Cybercrime remt wereldeconomie De schade van online criminaliteit loopt in de honderden miljarden, zo blijkt uit onderzoek door het Amerikaanse Center for Strategic and International Studies (CSIS). CSIS concludeert dat de wereldwijde schade ongeveer 327 miljard euro bedraagt. Voor West-Europa komt het bedrag op bijna 53 miljard euro, wat men omrekent in niet-gecreëerde banen. Cybercrime heeft een negatief effect op handel, concurrentievermogen, innovatie en economische groei. Voor Nederland komt de jaarlijkse schade uit op ruim 8 miljard euro. Vooral op het gebied van intellectueel eigendom zijn de gevolgen van cybercriminaliteit groot. Organisaties hebben op verschillende manieren te lijden onder cybercriminaliteit. Zo ontdekte een Europees bedrijf tijdens de onderhandelingen over een contract dat de andere partij al precies wist wat zijn ondergrens was. Een ander gebied waar cybercriminelen zich op richten, is het gebruik van gestolen bedrijfsinformatie om beurskoersen te beïnvloeden bijvoorbeeld door informatie over voorgenomen overnames, of kwartaal- of jaarcijfers naar buiten te brengen. Olaf Kolkman wordt nieuwe CITO Internet Society De Nederlander Olaf Kolkman, CEO van de non-profitorganisatie NLnet Labs, gaat het leidinggevende team van de Internet Society (ISOC) versterken. Hij wordt verantwoordelijk voor strategische initiatieven die te maken hebben met de evolutie en verdere ontwikkeling van internet. Kolkman was eerder voorzitter van de Internet Architecture Board, draagt actief bij aan de Internet Engineering Task Force (IETF), heeft vele RFC s op zijn naam staan en hij vertegenwoordigde de technische internetgemeenschap in zijn diverse rollen op internetgovernancefora wereldwijd. Kolkman begint bij ISOC op 14 juli Hij blijft tegelijkertijd CEO van NLnet Labs, dat zich bezighoudt met de ontwikkeling van nieuwe internetprotocollen. BT opent derde Nederlandse datacenter in Rotterdam BT heeft sinds kort een derde datacenter in Nederland met een serverruimte van vierkante meter met een maximaal vermogen van kw. Hiermee vergroot BT zijn capaciteit in de Benelux met bijna 50 procent, inspelend op de toegenomen vraag naar cloudgebaseerde diensten. De locatie ondersteunt standaard 6 kw per rack en meer op verzoek. De keuze voor het nieuwe datacenter viel op Rotterdam vanwege de aanwezigheid van veel grote nationale en internationale bedrijven in de regio en de gunstige ligging ten opzichte van BT s eigen netwerk en de datacentra in Amsterdam en Nieuwegein. Hierdoor ontstaat een dual datacenterconcept, wat belangrijk is voor de toegang tot en continuïteit van kritieke bedrijfsapplicaties en -data. Het datacenter voldoet aan de Europese datacenter-energiegedragscode. De failover-veiligheid van het datacenter komt overeen met categorie Tier III+-eisen. Om de maximaal mogelijke failover-veiligheid te bereiken (Tier IV) kunnen IT-applicaties verdeeld worden over andere BT-locaties binnen en buiten Nederland. In Outsource Magazine Waar zit de grootste pijn? Bij de homo faber, de werkende mens. We hebben het over voortschrijdende technologie, maar eigenlijk alles gaat over de mens, over u en ik. Mensen worden net zo overbodig als de gedateerde hardware. Ietwat oudere mensen worden geconfronteerd met de technologische ontwikkelingen en zijn gedwongen te veranderen. Sterker, het hele bedrijf wordt gedwongen te veranderen. Maar het vermogen van de homo faber om te veranderen gaat langzamer dan de snelheid van de technologie. Paul Cornelisse, director bij Metri Group, in Outsource Magazine nr. 1/ t i j d s c h r i f t i t m a n a g e m e n t

9 powered by IT-executive.nl Richtlijn databescherming onbekend Onderzoek van Trend Micro, leverancier van beveiligingsoplossingen, duidt erop dat vier op de tien bedrijven in de Benelux zich niet bewust is van nieuwe Europese wetgeving voor databescherming. De EU General Data Protection Regulation is opgesteld om één lijn te trekken in de wetgeving over databescherming. Het onderzoek (uitgevoerd onder 850 Europese organisaties, waarvan 100 in de Benelux) toont aan dat slechts 15 procent van de ondervraagde bedrijven in de Benelux weet welke concrete stappen er moeten worden genomen om te voldoen aan deze wetgeving. Slechts de helft denkt dat het realistisch is om te voldoen aan deze nieuwe wetgeving. De respondenten gaven daarnaast aan dat ze verwachten gemiddeld twee jaar nodig te hebben om conform de wetgeving te opereren. Een kwart van de respondenten laat weten niet op de hoogte te zijn van boetes die betaald moeten worden als niet voldaan wordt aan de wettelijke eisen. Toepassing Lean in IT-partnerships Lean production, de methode die het realiseren van maximale waarde nastreeft met zo min mogelijk verspilling, is al decennia in gebruik in sectoren als de automobielindustrie, waar het zijn oorsprong heeft. Pas de laatste jaren heeft Lean de aandacht van de IT-dienstensector. Recent verscheen het boek Lean IT-Partnering met wetenschappelijk onderzoek en praktijkcases. In het boek wordt de eerste multi-clientstudie over Leanpartnering in IT-services beschreven. Door problemen in de samenwerking tussen klant en leverancier stagneert het implementeren van de Lean-filosofie in organisaties, zegt prof. dr. Han van der Zee, auteur van het boek en hoofd van het researchcluster Lean Transformation with and in IT van het Lean Education & Research Network (LEArN) aan Nyenrode Business Universiteit. Steeds meer IT-toeleveranciers en gebruikers van IT-services onderkennen het belang van Lean en gaan er strategisch mee aan de slag. Er waren echter weinig succesvolle voorbeelden beschikbaar van toepassing van Lean in IT-partnerships. Dat leidt tot de Lean IT-partnering paradox. Dit boek onderzoekt deze paradox en biedt referenties naar praktijkvoorbeelden en onderzoek. Beveiliging topprioriteit voor cloud Een op de vijf bedrijven ondervindt problemen met zijn aanbieder van cloudopslag - denk aan gegevensverlies en gebrekkige beveiliging - zo blijkt uit een wereldwijde enquête door leverancier Barracuda Networks. Bedrijven zijn terughoudend om cloudservices volledig te omarmen, hoewel 83 procent van de respondenten back-ups van hun bedrijfsgegevens in de cloud opslaat. Van de bedrijven die gebruikmaken van een oplossing voor cloudopslag gaf iets meer dan twee derde aan dat hierbij sprake is van vertrouwelijke gegevens. Desondanks heeft 16 procent van de respondenten problemen ondervonden met zijn cloudaanbieder. 42 procent van de respondenten constateerde dat de gegevens die zij bij hun leverancier onderbrachten niet afdoende waren beveiligd, 40 procent gaf aan dat gegevens in de cloud niet toegankelijk waren toen zij die nodig hadden en meer dan een derde meldde zelfs dat hun cloudaanbieder gegevens was kwijtgeraakt. Portfoliomanagement wordt vaak knullig gedaan. Op basis van een businessplan wordt een jaarplan met IT-projecten gemaakt. Maar in 90 procent van de gevallen is een portfolio niet gedekt door het budget. Met andere woorden: de meeste bedrijven kunnen geen echte prioriteiten stellen. quote vvan de maand an de maand Interim-manager Rink de Haan, in het coverinterview elders in dit nummer. a u g u s t u s

10 interview 10 t i j d s c h r i f t i t m a n a g e m e n t

11 van onze redactie Fotografie: Roelof Pot Rink de Haan, interim-cio en partner IXM Group De fijne kneepjes van programmamanagement Sturen op een valide businesscase, verankering in de board en een of meer business-changemanagers die zorg dragen voor de uitvoering. Daarmee heb je volgens ervaringsdeskundige Rink de Haan de drie belangrijkste kenmerken van een succesvol programma wel te pakken. Een interview met de bij Eneco, Delta, Nuon, RWE, Stedin en Vattenfall door de wol geverfde interim-executive over het wel en wee van gedegen programmamanagement. J Haan. Soms gaat het om een e hebt eigenlijk twee benaderingen van programma s, zegt De samenhang van tientallen projecten en een groot budget. Er zijn maar heel weinig organisaties die het zo insteken. Je moet namelijk echt goede redenen en uitgangspunten hebben om iets onder een dergelijk grote vlag te doen. De tweede benadering ligt meer in de lijn van MSP (managing successful programs, red.). Daarbij wordt businesscasegedreven gewerkt en is een grote rol weggelegd voor de business-changemanagers, die tevens verantwoordelijk zijn voor het realiseren van de benefits. Hier is de uitdaging dat veel organisaties niet volwassen genoeg zijn om prestatiegedreven te werken. Het is bovendien persoonsgebonden, veel businessmanagers zijn niet geschikt of getraind voor zo n voortrekkersrol. Echt goede projectmanagers vormen volgens Rink de Haan een belangrijke basisvereiste voor een succesvol programma. Maar een echt cruciale voorwaarde is commitment van de top. Die staat standaard in alle lijstjes, maar het is zelden de realiteit, aldus de bij een groot landelijk opererend installatiebedrijf werkzame interim-cio van de IXM Group. Bij de IT-splitsing van een van de grote Nederlandse energiebedrijven, waarvoor hij als programmamanager verantwoordelijk was, was dat destijds wel het geval. Alles klopte daar: het commitment, de kwaliteit van de organisatie, inclusief een goed ontwikkelde IT met goede mensen, processen en procedures. Terminologie Een graadmeter voor succes of falen is de terminologie: wordt er bijvoorbeeld nog gesproken over business- óf ITprojecten, dan is er meestal ellende te verwachten. Het gaat namelijk om een evenwicht tussen deze twee dingen; vanuit een jaarplan moeten zowel businessdoelstellingen als projecten worden geformuleerd die waarde toevoegen aan het bedrijf. De Haan: Daar zit veelal een belangrijke IT-component in, wat het tot een gedeelde verantwoordelijkheid maakt. Nogmaals: je moet changemanagers in de business hebben die zich verantwoordelijk voelen voor het realiseren en monitoren van de beoogde benefits. Dat maak je zelden mee. Meestal wordt de businesscase slechts gebruikt als legitimering voor de start van een project. Een andere graadmeter is de rapportagelijn. Bij een IT-afdeling die onder de CFO hangt, is er vaak een duidelijke risicofactor voor succesvolle ITprojecten. Kort door de bocht: kosten kunnen daar de primaire drijfveer zijn en niet de businesswaarde. Veel CIO s voelen zich onder de CFO terecht niet op hun plek. Ook dat is een kwestie van volwassenheid: organisaties die nog in dergelijke lijnen denken, doen zichzelf tekort omdat er altijd wel iets suboptimaal is ingericht. Rink de Haan illustreert de mismatch a u g u s t u s

12 interview qua verantwoordelijkheden en visie met een ervaring uit zijn eigen verleden. Als je een CEO of CIO vraagt naar de karakterisering van een netbeheerder, dan zul je al snel horen dat het gaat om een IT-gedreven organisatie. Dat heeft niet alleen te maken met de primaire processen en dienstverlening, maar bijvoorbeeld ook met het meer klantgericht en selfservice maken van zulke organisaties. De businessstrategie vraagt om een hiermee corresponderende IT-strategie, geen IT die slechts faciliteert. Track-record Rink de Haan heeft een omvangrijk track-record in de energiesector. Na eerder als consultant en projectmanager te hebben gewerkt werd hij kort na de eeuwwisseling IT-baas bij het backofficebedrijf van het Utrechtse energiebedrijf REMU. Daar kreeg hij de kans om de IT-afdeling helemaal vanaf scratch op te bouwen: In 2002 werden we door Eneco overgenomen. Als overgenomen partij word je normaal gesproken opgerold, geknipt en geschoren. Maar het leuke was dat de echte asset in onze IT-organisatie zat. Tot 2006 heb ik de REMU en Eneco-IT geïntegreerd binnen de club die ik zelf had opgezet. Dat traject had alles in zich: strategie, lijnmanagement, het begeleiden en opleiden van mensen, harmonisering van processen. Omdat we ook nog volop in de derde fase van de liberalisering zaten, kwam alles samen. Na Eneco begon hij voor zichzelf. Ik begon als transitiemanager binnen een uitbestedingstraject van Delta Energie naar Atos. Een machtig werkgebied, waarin je veel kunt leren. Zo is mij gebleken dat je als organisatie ontzettend goed moet zijn om te kunnen outsourcen. Meestal is het een CFO-gedreven ding, waarvoor men bij onvoldoende voorbereiding de rekening gepresenteerd krijgt. Begin 2008 kwam ik bij een ander groot energiebedrijf terecht. Na zes maanden gewerkt te hebben als interim-manager van de projectenafdeling, heb ik daar met succes de basis gelegd voor de IT-splitsing van dat bedrijf. Een megaprogramma met zeventig deelprojecten en een totaal budget van vele miljoenen, dat in twee jaar op tijd, binnen budget en on-scope is afgerond. Dat is een van de mooiste dingen die ik gedaan heb. Vervolgens heb ik projecten uitgevoerd bij de internationale trade-afdeling van een groot Duits energiebedrijf, en een aantal ERP-implementaties bij een Nederlandse netbeheerder en een internationale energiereus. En nu dus een interim- CIO-functie in de installatiesector. Een IT-afdeling die onder de CFO hangt, is vaak een risicofactor voor IT-projecten Bestuursniveau De Haan beaamt op basis van zijn ervaringen dat programmamanagement vanuit het bestuur geredeneerd vaak een gedelegeerd onderwerp is. Niet de CIO maar de programmamanager doet de klus. Toch valt of staat een grootscheeps traject met de actieve betrokkenheid van het bestuur. Programma s doe je per definitie niet voor heel kleine dingetjes. De hoofddoelstelling is de diverse businesscases en bedrijfsstrategieën zo goed mogelijk te realiseren. Dat kost veelal veel geld, veel tijd en heeft een grote impact. Dat krijg je niet voor elkaar als je het te laag in de organisatie belegt. Mijn voorlaatste programma bij een groot internationaal energiebedrijf betrof het centraliseren van het ERP-systeem voor de gehele groep, vervolgt de interim-cio. Daarbij waren net als bij het IT-splitsingsproject volop bedrijfspolitieke hobbels te overwinnen. Dat kan alleen bij een goede verankering op bestuursniveau; een strategisch commitment dat bovendien operationeel gemaakt moet worden, met een van de CxO s als voorzitter van de stuurgroep. De Haan gelooft daarbij niet in een CIO als enige verantwoordelijke voor de IT-strategie. Een CIO moet zich vooral verantwoordelijk voelen voor de operationele IT. Ik geloof niet in CIO s die met vijf stafmedewerkers in het hoofdkantoor zitten en vanaf afstand oordelen over budgetbeperkingen en dergelijke. Je moet direct verbonden zijn met de dagelijkse IT-voorziening en bijbehorende uitdagingen. Hardop denkend: Je zou dit kunnen oplossen door onder een CIO een IT-directeur neer te zetten; maar dat doorkruist weer de gedachte van de korte lijnen. Hoofdkarakteristieken Sturen op een valide businesscase, verankering in de board en een of meer business-changemanagers die zorg dragen voor de uitvoering: dat zijn de drie belangrijkste kenmerken van een succesvol programma. Het is in hoofdlijnen een strategisch verhaal, maar op projectniveau zullen operationele aspecten altijd een rol spelen. Waar een project echter eindigt wanneer het is opgeleverd, stopt een programma niet wanneer het project is afgerond. Het is klaar wanneer de benefits gerealiseerd zijn. Ik heb hier een regelkring voor ontworpen, vervolgt De Haan. Stel dat de businesscase het efficiënter definiëren en inrichten van de processen is, en wel zodanig dat er minder mensen voor nodig zijn. Wat je meestal ziet, is dat die mensen vervolgens de organisatie niet uitgaan. Bij mijn laatste programma s hebben we de ontwerpen laten toetsen, om voortijdig te beoordelen of de efficiencyslag in het proces daadwerkelijk kon worden gemaakt, zodat deze kon worden afgetekend door de business-changemanager. Dat laatste betekent een enorme steun in de rug voor de project- of programmamanager. Methodiek Een van de kernvoorwaarden bij grote programma s is het op orde hebben van de controlemechanismen: financiële rapportages, de uren die mensen factureren en een goede inschatting. Een estimate to complete is het doelbedrag minus de uitgave. Aan zo n ETC heb je feitelijk niet veel. Natuurlijk moet je weten wat je budget en de spend zijn. Maar het is vooral belangrijk dat je daadwerkelijk weet wat er moet gebeuren. Mijn ervaring is dat het project vaak uit de bocht vliegt. Het valt voor projectleiders namelijk niet mee om een goede breakdown te maken van alle benodigde effort. Het selecteren van de juiste projectleiders die hierin mee kunnen komen, is dan 12 t i j d s c h r i f t i t m a n a g e m e n t

13 ook niet zo makkelijk. Certificering zegt ook niet zo veel, het is veel meer een persoonlijkheidskwestie. Verder is het in De Haans ogen zowel een voordeel als nadeel als projectleiders heel erg in de materie zitten. Als je er niet boven kunt staan, ben je een risicogeval. Mensen worden dan een onderdeel van de discussie in plaats van deze te drijven. Kortom: je moet als projectleider heel erg gericht zijn op geld, tijd en kwaliteit. Ja, het gaat om de functionaliteit, maar vooral om taaken resultaatgedrevenheid. Dat type projectmanager is dus schaars, en soms moet je binnen grote programma s mensen gewoon durven vervangen. Van ondersteunende tooling verwacht de interim-cio weinig. Ik ben er eens heel onaangenaam door verrast bij een van mijn grootste programma s. Het project was zes maanden in voorbereiding geweest en er was een heel team van consultants betrokken dat via Microsoft Projects de planning had gedaan. Dat leverde over tientallen deelprojecten een muur vol zwarte lijntjes op. Toen ik op een gegeven moment de vraag stelde waar we precies stonden, kon men het antwoord niet geven. Een van de belangrijkste stuurelementen bij een groot programma is het kritieke pad: de kruisende lijnen en afhankelijkheden tussen deelprojecten. Je moet zeker weten dat die grote trein langs geweest is als die andere eraan komt. Ik denk dat tooling vooral handig is op dat bewuste niveau. Voorwaarden Andere voorwaarden voor succes zijn een PMO en wat hij een solution architecture team noemt. In een project worden issues veelal laat ontdekt en blijven ze bovendien te lang binnen het project hangen, terwijl het projectteam niet in staat is om zo n noot te kraken. Daarvoor is een superspecialist nodig, iemand die boven de materie kan staan. Deze mensen kunnen in een vroeg stadium issues identificeren op het gebied van zowel business als harde IT. Het is een soort bezemwagen die vooruit rijdt, of beter: een mijnenveger. Naast de businesscase is gedegen portfoliomanagement fundamenteel. Ook dat wordt vaak knullig gedaan. Op basis van een businessplan wordt een jaarplan met IT-projecten gemaakt. Maar in 90 procent van de gevallen is een portfolio niet gedekt door het budget. Met andere woorden: de meeste bedrijven kunnen geen echte prioriteiten stellen. Terwijl het ongelooflijk veel rust geeft als je dit goed geregeld hebt. Verder moet de rest van de basis op orde zijn: een heldere scopedefinitie, een topteam en een wisselwerking tussen business en IT. Het draait ook om de juiste partnerkeuze. Zo is het Het selecteren van projectleiders die mee kunnen komen, is niet zo makkelijk niet altijd productief om een consultancypartij in huis te halen. Hetzelfde geldt voor uitbesteding en offshoring. De Haan: Ik sta er niet negatief tegenover, want ik begrijp best dat niet iedere organisatie een eigen IT-team kan hebben. Maar ik ben er ook geen overtuigd voorstander van omdat ik althans bij de grotere partijen nooit de kwaliteit ben tegengekomen die we mochten verwachten. We doen ook onszelf als land en bedrijven tekort door bepaalde kennis niet in ons domein te hebben. a u g u s t u s

14 column Arjan Zwanenburg De autoband aan het touw IT is inmiddels een dusdanig belangrijk onderdeel in de bedrijfsvoering van menig onderneming, dat zij niet meer als ondersteunende dienstverlening kan worden afgedaan. De CIO heeft zijn plaats in de boardroom gevonden en spreekt daar als volwaardig partner met de businessvertegenwoordigers over de in te vullen strategie voor de toekomst. De business onderkent de rol van IT inmiddels ook en ziet steeds meer de toegevoegde waarde van de kennis binnen de IT-afdeling over het bedrijfsproces en de manier waarop dit vanuit IT zo optimaal mogelijk ondersteund kan worden. Arjan Zwanenburg is Service Delivery Manager Business Services bij ABN AMRO. Deze column bevat zijn persoonlijke observaties over application delivery, maar ook over de rol van IT in een grote organisatie en de ins & outs van het IT-manager zijn. Maar we zijn er nog niet! We kennen allemaal de cartoon van de autoband aan het touw aan de boom. (Niet bekend? Kijk dan hier: Marketing, management, architecten en ontwikkelaars hebben allemaal zo hun perceptie van wat er wordt gevraagd, maar de verschillen met wat de klant wil kunnen hemelsbreed zijn. Wat de klant nodig heeft, is niet altijd wat hij vraagt, laat staan wat de ontwikkelaar begrepen heeft van de werkelijke klantbehoefte. In zulke gevallen worden allerlei luxe variaties ontworpen. Daarna worden allerlei voor het uiteindelijke doel onnodige beheereisen opgesteld en ingevuld. De klant zit met een te duur systeem en IT begrijpt niet waarom er toch nog geklaagd wordt na alle inspanningen om het mooist mogelijke product op te leveren. Dit schrikbeeld kan vandaag de dag worden voorkomen door IT en business samen in de stuurgroep te zetten die van meet af aan de businessbehoefte onderzoekt en vanaf het begin rekening houdt met de servicelevels die na oplevering waargemaakt moeten worden. Men leert elkaars taal spreken, men leert elkaar begrijpen en men leert anticiperen op de behoefte van de partner. Het samen optrekken ten tijde van opbouw en implementatie zorgt vervolgens ook voor een goede samenwerking in tijden van crisis als de productie even faalt. Er is gezamenlijk voor de applicatie gekozen, er is samen aan de implementatie gebouwd en er wordt dus ook samen aan het oplossen van het issue gewerkt. Niet alleen de techniek van de onderliggende IT wordt als boosdoener gezien, ook opleiding en begeleiding van gebruikers en het businessprocesmodel kunnen als veroorzakers worden gezien van de onderhavige problemen. Als voorbeeld hiervan kan een marketingafdeling graag zien dat veel meer gegevens van een klant worden vastgelegd om later gerichter te kunnen aanbieden, maar de extra invoer kost de gebruiker veel meer tijd. Nu is de operationele afdeling tegelijk de efficiency aan het verhogen en verwacht zij van dezelfde medewerker dat hij veel meer klanten in dezelfde tijd afhandelt. IT kan het systeem optimaliseren, maar uiteindelijk wordt de tijd per klant bepaald door de tijd die nodig is om alle extra gegevens te verzamelen en in te voeren. De veranderingen in de relaties tussen business en IT maken deze bedrijfsonderdelen tot gelijkwaardige partners in de strijd om de gunsten van de klant. Een belangrijke wijziging in de bedrijfsvoering die vanuit beide partijen wordt omhelsd, omdat we uiteindelijk krijgen wat we werkelijk wilden: een autoband aan een touwtje in de schaduw van de boom om lekker van de vruchten van onze samenwerking te genieten 14 t i j d s c h r i f t i t m a n a g e m e n t