procesautomatisering

Inhoud Als het afgelopen jaar ons één ding heeft geleerd, dan is het dat automatisering en digitalisering bij de overheid enorme potentie heeft en zelfs essentieel is om een duurzame organisatie te realiseren voor de toekomst. De urgentie is namelijk groot om het huidige takenpakket effectiever en efficiënter uit te voeren om financieel gezond te blijven. Het standaardiseren en automatiseren van routinematig en repeterende werkzaamheden is een manier op deze doelen te realiseren. Uit onderzoek blijkt dat door automatisering tot wel 60% efficiënter en effectiever gewerkt kan worden.   Wat de productiefactor op peil houdt De afgelopen jaren hebben we natuurlijk al gezien hoe digitalisering en data de organisatie kan ondersteunen, bijvoorbeeld bij het online aanvragen van vergunningen, maar ook de scanauto’s op straat voor parkeercontroles. Op deze manier zal een investering in de technologische capaciteit bijdragen aan de productiefactor van een organisatie. Dit betekent echter wel dat er meer nadruk binnen publieke organisaties komt te liggen op de IT-zijde van de organisatie om primaire processen te ondersteunen. Hierbij vervaagt het onderscheid tussen de bedrijfsvoering en technische ondersteuning, wat sturing van de organisatie bemoeilijkt. De vraag naar technische ondersteuning zal namelijk extra kosten met zich meebrengen. Toch blijkt uit onderzoek dat dit de meest effectieve investering is om de productiefactor van een bestuurlijke organisatie op peil te houden.   Nieuw tijdperk, nieuwe kansen Zoals hierboven beschreven kunnen investeringen in IT-oplossingen zowel de interne organisatie helpen verbeteren door de procesvoering op orde te krijgen, maar ook door maatschappelijke vraagstukken beter het hoofd te kunnen bieden. De stijgende IT-kosten zijn dan ook niet zozeer het gevolg van gerichte investeringen om een specifieke uitdaging te tackelen, maar door een gebrek aan inzicht op de digitale organisatie. Door een toenemende mate van digitalisering zijn organisaties genoodzaakt om zich aan te passen aan het nieuwe tijdperk, omdat er nieuwe processen en functies bij komen op het gebied van privacy en beveiliging (denk aan een privacy officer en CISO), maar ook door de opkomst van datalabs en data gedreven werken en het op orde brengen van de (digitale) informatievoorziening.   Verbind bedrijfsvoering en I(C)T Het is duidelijk dat ook publieke organisaties gebaat zijn bij verdere digitale transformatie, maar dat dit grote veranderingen voor zowel de digitale- als fysieke omgeving van de organisatie met zich meebrengt. Om hier gericht sturing aan te kunnen geven, is daarom een verbinding nodig tussen de bedrijfsvoering en IT.  Een versterkte samenwerking tussen beide partijen zal namelijk leiden tot gerichte (IT) oplossingen, met overzichtelijke gevolgen voor de bedrijfsvoering en het IT-landschap. De basis van deze samenwerking ligt in het samenbrengen van processen, mensen en IT in één centraal informatieplatform, zodat er een betrouwbare en consistente informatievoorziening ontstaat. Op deze manier kan er inzicht en overzicht verkregen worden in de verschillende onderdelen van de organisatie, omdat er verschillende views gemaakt kunnen worden die voor verschillende disciplines bruikbaar zijn. Zo krijgt de businessmanager zijn dashboard met prestaties van de processen en krijgen de medewerkers krijgen via een ‘process portal’ toegang tot hun werk. Architecten krijgen de informatie voorgeschoteld in de taal die door hen gewenst is. Dit geeft de kans om de impact van verandering te blijven overzien en tijdig te sturen op het behalen van kwalitatieve en kwantitatieve doelstellingen.   Wil jij weten hoe je het inzicht in jouw organisatie vergroot door IT en bedrijfsvoering samen te brengen? Neem vrijblijvend contact op voor een online kop koffie!

Inhoud Hoe veilig is procesautomatisering? Waterschappen, energiebedrijven, fabrieken, logistieke organisaties: het klinkt als organisaties die niet veel gemeen hebben. Toch zijn er nadrukkelijke overeenkomsten: ze maken allemaal gebruik van machines die aangestuurd worden door IT. De zogenaamde Operationele Techniek (OT). En dat is nadrukkelijk een specifieke en andere tak van sport! Het uitvallen of gehackt worden van OT, ook wel procesautomatisering genoemd, kan desastreuze gevolgen hebben. Denk aan het door criminelen openzetten van sluizen, ransomware in de systemen van fabrieken, infecties in waterleidingsystemen.   Hacks We hebben het de afgelopen jaren vaker gezien. Zo werd een Noors aluminiumbedrijf gehackt en onlangs een drinkwaterbedrijf in Florida, USA. Voor het Noorse bedrijf betekende het dat zij wekenlang hun productie moesten staken en hun IT van de grond af opnieuw op moesten bouwen. De schade was naar schatting € 31.1 miljoen. Voor het waterbedrijf in Florida waren de mogelijke gevolgen nog groter: de hackers verhoogden de hoeveelheid chemicaliën met meer dan 100 keer, wat desastreuze gevolgen kon hebben voor de gezondheid van de bevolking. De verhoging werd op tijd gezien door een medewerker van het drinkwaterbedrijf en weer teruggedraaid. De complexiteit van technische installaties neemt hand over hand toe. Niet alleen in fabrieken, maar denk ook aan Internet of Things (IoT). Dat sluit aan bij een steeds breder toepassingsgebied: denk bijvoorbeeld aan Smart City initiatieven die nu opgezet zijn en uitgerold worden. Maar hoe zorg je dan dat de security van productieomgevingen op orde is en blijft?   Toetsingskader Er zijn frameworks en toetsingskaders die zorgen dat je op het gebied van procesautomatisering je informatiebeveiliging op orde kan brengen. De IEC 62443 is daar een goed voorbeeld van. De IEC 62443 is een internationale reeks normen voor industriële communicatienetwerken. De norm is onderverdeeld in verschillende secties en beschrijft zowel technische als procesgerelateerde aspecten van industriële cybersecurity. Waar de ISO27001 een meer generieke aanpak voor informatiebeveiliging behelst, is de IEC 62443 specifiek voor IACS-toepassingen. Het mooie van deze aanpak is dat deze zich richt op twee groepen gebruikers: de eindgebruikers en de solution providers: de softwarebedrijven die leveren, de system integrators en vendors. Gelukkig gaat de IEC 62443 verder dan een boodschappenlijst met maatregelen: de ruggengraat is het Cyber Security Management System (CSMS), vergelijkbaar met het Information Security Management System (ISMS) wat in de ISO27001 is beschreven. Voor veel organisaties is de OT-security een gebied waar de technische security hoogtij viert en waar een goed en doordacht management framework nog wordt gemist. De IEC 62443 kan hierin veel structuur geven. Goed om te zien is dat ook in Nederland steeds meer organisaties de IEC 62443 omarmen. Ik kan het dan ook van harte aanbevelen om de IEC62443 in te zetten, te meten en verbeteren. Combineer dit met een uitstekende governance rondom de ISO27000 en NEN7510 want alleen zo kom je echt in control over de security van je procesautomatisering!   Auteur, Jorrit van de Walle | Audittrail   Over de auteur Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.