ITILin palvelutransitio tukee tietosuojan tavoitteita

Tietosuoja-asetus astuu voimaan ensi vuoden toukokuussa. Kirjoitin jo aikaisemmin mitä ITILin palvelustrategiasta ja palvelusuunnitelusta voi hyödyntää tietosuojan saralla. Myös palvelutransitio-elinkaarivaiheesta löytyy paljon ideoita, joita voi hyödyntää tietosuojan parantamiseksi.

ITILin palvelutransitio opastaa, millä periaatteilla kannattaa hallita palveluiden ja prosessien rakentamista ja tuotantoon vientiä. Lisäksi se opastaa organisoimaan päätöksentekoa ja hallitsemaan palveluihin liittyvää tietoa sen kaikissa muodoissaan. Palvelutransition tavoitteena on systemaattinen muutoksia koskeva päätöksenteko sekä toteutus. Koska asiakastarpeet ja mahdollisuudet muuttuvat jatkuvasti, myös palvelutransitio on luonteeltaan jatkuvaa toimintaa.

Tietosuoja tulee huomioida sekä uuden palvelun teknisiä valintoja tehtäessä että uusien muutoksien yhteydessä. Muutoksen vaikutusta palveluun tietosuojan näkökulmasta tulee arvioida siinä missä vaikutusta tietoturvaan, jatkuvuuteen, kapasiteettiin tai saatavuuteen.

ITILin palvelutransitio tukee tietosuojan tavoitteita ja vaatimuksiin vastaamista mm. seuraavasti:

  • Suunnittelun koordinointi –prosessissa transitioiden toteuttamista mietitään prosessien rajat ylittävän kokonaisuutena. Kannattaa kerätä ja jakaa organisaatiokohtaisia parhaita käytäntöjä muutoksien läpiviennin kannalta. Palvelurajat ylittävien muutoksen toteuttaminen vaatii usein erillistä koordinointia. Muutoksia tekevillä henkilöillä on yleensä tekniikan kautta pääsy palveluitten dataan. Nämä kaikki ovat asioita, joita pitää miettiä myös tietosuojan näkökulmasta ja tietosuojaan koskevien muutoksien toteuttamisessa.
  • Muutoksenhallinnassa tehdään päätökset muutoksien rakentamisesta, tuotantoon viemisestä ja lopullisesta hyväksymisestä. Tietosuojaan liittyvät päätökset pitää tehdä sovitulla tavalla.  Muutoksien vaikutuksen analysoinnissa ja teknisissä vaatimuksissa pitää huomioida tietosuojan vaatimukset.
  • Palveluomaisuuden –ja konfiguraationhallinnassa pidetään yllä rakenteellista tietoa palveluista ja niiden rakenneosista sekä näiden välisistä suhteista. Sama lähestymistapa vastuineen sopii myös palveluiden tietosisällön kartoittamiseen ja hallintaan. Jos tietosuojan alaista tietoa pitää lähteä organisaatiosta etsimään niin tämän prosessin hallinnassa olevat tietosisällöt ovat hyvä paikka aloittaa.
  • Jakelun- ja käyttöönotonhallinnassa rakennetaan uusi toiminnallisuus ja viedään se tuotantoon. Certified Information Privacy Technologist –kurssi antaa eväitä minkälaisia teknologisia valintoja kannattaa tehdä tässä vaiheessa.
  • Palvelua validoitaessa ja testatessa kannattaa miettiä minkälaisella datalla testaus tehdään. Mitä enemmän testissä käytetään oikeaa tuotantodataa niin sitä luotettavampi testi on, mutta samalla pitää huomioida tuotantodatan käyttöön liittyvät tietosuojavaatimukset.
  • Tietämyksenhallinnassa kerätään ja jaetaan tietämystä palveluiden tuottamisen laadun parantamiseksi ja toiminnan tehostamiseksi. Organisaatiossa käytettävät tiedon jakamisen työkalut pitää määrittää ja samalla on hyvä tarkastella minkälaisia asioita kuhunkin työkaluun saa ja kannattaa kirjata.

ITILin palvelutransitiossa rakennetaan ja muokataan palveluita, joiden tietosisällön tietosuojasta pitää huolehtia. Tietosuojan vaatimukset pitää toteuttaa palveluita rakennettaessa ja vaatimuksista täytyy pitää kiinni myös palveluita muutettaessa. Palvelutransition työkaluista löytyy paljon apuja tietosuojan hallinnointiin ja hahmottamiseen. Lopputuloksena on uusi tai muuttunut palvelu, joka täyttää vaatimukset myös tietosuojan näkökulmasta.

Jos aihepiiri kiinnostaa, suosittelen tutustumaan seuraaviin kursseihin:
ITIL perus- ja jatkokoulutukset
Privacy-koulutukset

Ilmoittaudu myös maksuttomaan webinaariin: Turvallisuus kilpailuetuna – harjoittelu tekee mestarin 24.03.2017 Puhumassa kyberturvallisuusjohtaja Jarno Limnéll (Insta Group Oy) sekä asiakkuus- ja kehitysjohtaja Martti Setälä (Insta Trust Oy).

aaeaaqaaaaaaaal8aaaajdjimgq0nzmxltewn2utngi1yi05ndm2lwu0ngixmzm2mdyyna

Lari Peltoniemi

Kirjoittaja on työskennellyt prosessien ja toiminnan kehittämisen ja arvioinnin alueella yli 10 vuotta. Päätoimisesti IT-palveluiden prosessien määrittelyn, kehittämisen ja johtamisen alueella hän on toiminut vuodesta 2005. Hän on konsultoinut ja valmentanut useita suomalaisia ja kansainvälisiä yrityksiä ja organisaatioita ITIL/ITSM prosessien määrittelyihin, käyttöönottoon ja kehittämiseen liittyen. Lari on myös Suomen ensimmäinen sertifioitu ITIL Practitioner -kouluttaja. 

Lisää tietoa tästä ja muista mielenkiintoisista aiheista löydät Oppia.fi > koulutukset

Kysymyksiä kirjoittajalle? Laita viestiä lari.peltoniemi@wakaru.fi

Konfiguraationhallinta ja Gordionin solmu

On vanha vitsi, että jos suunnitelmissa on konfiguraationhallinnan prosessin ja CMDB-työkalun käyttöönotto, nopein ratkaisu selvitä tilanteesta ehjänä on unohtaa koko juttu. Aiheesta onkin muodostunut varsinainen Gordionin solmu.

Aihealueesta jotain tietävät ihmiset jakautuvat usein erilaisiin arkkityyppeihin:

  • ITSM PRO: ”Kun katsot vaan ITIL:stä hyvät käytännöt, hankit Gartnerin suositteleman työkalun, jossa tarvittavat vimpaimet on saatavilla OOB (out-of-the-box), määrittelet ja raportoit KPIt, parannat CSI-prosessilla sekä huolehdit kunnollisesta jalkautuksesta, niin kaiken pitäisi olla ihan no problem!”
  • CMDB GURU: ”Se on kuule monimutkainen juttu, mutta mahdollista tehdä kun ymmärtää monimutkaisia teknisiä juttuja, kysy vaan multa!”
  • KYYNINEN KONSULTTI: ”Yritetty on ja aina tullut pelkkää kuraa lopputuloksena, unohda koko juttu. Keskity mieluummin parantamaan asiakaskokemusta!”
  • BUSINESS MAN: ”Meilläkin ne yritti, puhui jostain business impact analyyseistä, työtunteja ja rahaa paloi ja tosi hyvää dataa on nyt kuulemma jossain BCMD-järjestelmässä?”

Kun katson omaa työhistoriaa ajassa taaksepäin, tunnistan itseni ainakin kolmesta ensimmäisestä arkkityypistä. Viitekehyksillä on tullut brassailtua, teknologiapornossa on pyöriskelty ja kyynisyyskin on joskus työntynyt ihon alle.

Miksi aihe sitten on niin haastava? Yksinkertainen vastaus on konfiguraationhallinnan prosessin monimutkaisuus verrattuna muihin tyypillisiin palvelunhallinnan prosesseihin. ITIL-kirjojen konfiguraationhallinnan prosessi on vaikeaselkoisesti kuvattu ja prosessi jääkin harmittavan usein vähemmälle huomiolle.

  • Työkalu- ja teknologiaspekti on korostunut. Käytännössä prosessia ei voi ottaa käyttöön ilman soveltuvaa työkalua, joka tukee kaikkia alla mainittuja vaatimuksia.
  • Vaadittava datamalli relaatioineen ja viittauksineen liiketoimintatietoihin kuten asiakas- ja sopimustietoihin on usein hyvin monimutkainen ja vaatii hyvää suunnittelua ja kommunikaatiota organisaatiossa.
  • Prosessilla on monimutkaiset sidokset sisarprosesseihin. Konfiguraationhallinnan prosessi yksin ei pysty ylläpitämään tietoja CMDB:ssä, vaan se tarvitsee tukea muilta prosesseilta kuten muutoshallinnalta ja palvelupyyntöjenhallinnalta. Prosessin hyödyt eivät myöskään realisoidu, mikäli konfiguraatiotietoja ei käytä kukaan (tai tiedot eivät ole hyödyllisiä muille prosesseille).
  • Asetetut tavoitteet ja odotukset prosessille johtavat usein hyvin siihen, että toteutuksen laajuus paisuu. Toteutus taas täytyy tehdä pienissä askelissa, jotta pysytään järjellisissä aikatauluissa. Kehityssuunnitelman teko onki kaiken A ja O kun mietitään, mitä asioita halutaan ja voidaan nostaa toiveiden tynnyristä ensimmäisenä.
  • Niin kuin kollega Peltoniemi osuvasti aiemmin kuvasi, CMDB ja konfiguraationhallinta ei koskaan tule valmiiksi, se elää ja kehittyy palveluorganisaation ja sen palveluiden mukana. Tämä edellyttää, että prosessi on kyvykäs kommunikoimaan eri sidosryhmien kanssa, tunnistamaan uudet tarpeet ja vaatimukset ja viemään muutokset käytäntöön. Päivästä ja vuodesta toiseen.

Eli pitäisikö kyynistä konsulttia kuulla ja jättää konfiguraationhallinta väliin ja keskittyä muihin prosesseihin? Konfiguraatiotietoa ylläpidetään palvelutehtaassa joka tapauksessa erilaisissa tietojärjestelmissä, excel–lomakkeilla, jne. Kyse on yksinkertaisesta päätöksestä:

  • Halutaanko konfiguraatiotietoja ylläpitää keskitetyssä tietovarastossa yhdenmukaisten prosessien mukaisesti?
  • Vai annetaanko sidosryhmien organisaatiossa hoitaa tietojen ylläpito haluamallaan tavalla?

Jos päädytään ensin mainittuun vaihtoehtoon, oikotietä onneen ei ole. Konfiguraationhallinnan kehittäminen tulee aloittaa suunnittelutyöllä, joka kattaa käytettävät teknologiat, prosessit, datamallin sekä kehityksen tiekartan suunnittelun jossa kunkin vaiheen tuotokset ja saavutettavat hyödyt ovat selkeästi tunnistettuna, sovittuna ja kuvattuna.

Justin Group Oy kouluttaa käytännön konfiguraationhallintaa ja kuuluu Oppia.fi-verkostoon. Uusimmat kurssitoteutukset nähtävissä täältä.

 

aki

Aki Lähteenmäki

Kirjoittaja on vuodesta -98 työskennellyt monissa eri rooleissa palvelunhallinnan ympärillä.

Ennen JustInin perustamista Aki työskenteli 8 vuotta konsulttina eri yrityksissä. Hän on myös suomen ITSMF:n CMDB ja palveluportfolio SIG:n (special interest group) puheenjohtaja.

 

 

LinkedIn

 

Uudelleen implementoinnin ihanuus

Puhuin viime viikolla ITSMF ”IT Feels Good!” vuosikonferenssissa aiheella ”Ensi-ilta tulossa, mutta kässäri vielä puuttuu”. Pohdin, miksi palvelujohtamisen hankkeissa lopputulema on harvemmin hyvä kuin tyydyttävä tai huono.

Esitykseni aikana pyysin yleisöä viittaamaan, mikäli heidän organisaatiossaan on viimeisen viiden vuoden aikana uudelleen implementoitu ITSM työkalu. Muutamaa poikkeusta lukuun ottamatta kaikki kädet nousivat. Mistä tämä kertoo? Se kertoo siitä, että vaikka ensimmäisen käyttöönottoprojektin tavoitteet olisikin saavutettu, todelliset tulokset näkyvät vasta usean vuoden päästä, kun projektitiimi on irtautunut ja operatiivisen henkilöstön tulisi elää tulosten kanssa. Kun uudelleen implementointiin lähdetään, voidaan lähtökohtaisesti todeta että ensimmäinen yritys ei ole onnistunut.

Miksi näin käy?

Hankkeisiin lähdetään liian kevyin eväin. Rahat ja resurssit varataan systemaattisesti. Aikataulu ja koulutukset suunnitellaan huolella ja kaikki on näennäisesti hyvin, mutta.. Kun projektille asetetaan tavoitteita ja vaatimuksia, liian usein törmätään 200 rivin listauksiin, jotka pelottavan usein ovat kopio kilpailutuskonsultin edellisestä toimeksiannosta. ”Eihän pyörää tarvitse joka kerta keksiä uudestaan, joku on nämä jo kertaalleen tehnyt”.

Väärin!

Pyörä pitää joka kerta vähintäänkin sovittaa haarukkaan ja kaiken lisäksi vielä miettiä ajetaanko pyörällä maastossa vai kadulla, kesällä vai talvella. Palvelujohtamisessa tämä tarkoittaa sitä, että jokaisen projektin tavoitteet ja vaatimukset pitää sovittaa organisaation ja organisaation osien omaan tilanteeseen. Tämä on ehdottomasti se piste mikä on jo vuosia mättänyt palvelujohtamisen projektien käynnistyksessä. Tämä on myös yksi suurimmista syistä sille, että usea organisaatio on ajautunut uudelleen implementointiprojekteihin.

Palvelumuotoilu. Olen sen tuomiin mahdollisuuksiin niin ihastunut, että viljelen sitä kyllästymiseen asti. Palvelumuotoilu kehittää kaupalliset tekijät huomioivia palveluita käyttäjille. Yksinkertaisen kaunista. Palvelumuotoilu korostaa ympäristön ymmärtämisen ja konseptisuunnittelun merkitystä. Nämä molemmat olemme palvelujohtamisen projektien alkupäästä unohtaneet ja siinä se vika on! Prosessikehykset, teknologiaratkaisut ja muutostyökalut ovat kunnossa. Olemme vain käyttäneet niitä väärin.

Nyt ryhtiä hankkeisiin kunnon taustatyön kautta ja suunta kohti kestävien ratkaisujen kehitystä.

Justin Group Oy kouluttaa käytännön konfiguraationhallintaa ja tulevat toteutukset löydät Wakarun kurssikalenterista.

 

jani_palmu_ITSM

Jani Palmu

Kirjoittaja on innostunut palveluista ja niiden kehittämisestä teknologiaa hyödyntäen. Hän on toiminut palvelujohtamisen kehitystehtävissä vuodesta 2003 lähtien eri rooleissa integraatioasiantuntijasta Pohjoismaisen konsulttiorganisaation vetäjän tehtäviin. Harrastukselta tuntuvan työn ulkopuolella hän puuhastelee pihapiirissä Nurmijärven Perttulassa omakotitaloa viimeistellen.