Nu de puţine ori am afirmat o banalitate: orice lucru de pe Pămînt are un început şi un sfîrşit: este conceput, se naşte, trăieşte şi moare. Artificial sau natural, orice lucru are un „ciclu de viaţă”.

La fel se întîmplă şi în societate, în general, sau într-o organizaţie în particular. Activităţilor sau sarcinilor structurate care produc un rezultat specific, ştiinţa le-a spus „proces”. Wikipedia ne pune la dispoziţie o enumerare cuprinzătoare a semnificaţiilor acestui cuvînt.

Indiferent de subiectul tehnic pe care sunt nevoit să îl abordez în organizaţie, procesul ar trebui să fie punctul de început. Procesul economic.

COBIT 5 defineşte procesul:

o colecţie de practici influenţată de politicile şi procedurile întreprinderii şi care primeşte intrări dintr-un număr de surse (inclusiv alte procese), le manipulează şi produce ieşiri (produse, servicii).

ITIL v3:

un set de activităţi structurate proiectate pentru a realiza un obiectiv specific. Un proces preia una saumai multe intrări deifnite şi le transformă în rezultate definite.

Să rezumăm procesul:

• are activităţi (structurate)
• are beneficiari
• are obiective
• are un ciclu de viaţă
• are practici de lucru
• are intrări şi ieşiri

Un proces funcţionează aşa după cum a fost proiectat dacă îşi atinge obiectivele. În acest caz vom avea nevoie de indicatori.

Are nevoie o organizaţie de ISO 27001? Poate da, poate nu. Are nevoie o organizaţie de „outsourcing”? Poate da, poate nu. De „cloud”? Cine îmi spune ce îi trebuie unei organizaţii?  Nevoile acţionarului/investitorului. Care nevoi sunt „traduse” în obiective – beneficii maximale cu riscuri şi resurse optime.

Nu am nevoie de securitatea informaţiilor pentru că aşa doreşte CISO. Nu am nevoie de „audit” pentru că ISACA spune că e frumos să fii auditat. Sau de ITIL pentru că tocmai m-am certificat. În general nu am nevoie de nici un produs/serviciu care nu contribuie la obţinerea beneficiilor.

Dar, indiferent dacă avem în vedere „procesul economic” sau „procesul IT” (via COBIT 5):

• procesele au nevoie de informaţii şi pot produce informaţii
• procesele au nevoie de structuri organizatorice şi roluri pentru a funcţiona
• procesele produc şi au nevoie de capabilităţi (infrastructură, aplicaţie etc)
• Procesele depind şi vor depinde de alte procese
• Procesele produc sau au nevoie de politici şi proceduri pentru a asigura consistenţa implementării şi execuţiei.

Avem deci nevoie de atîta şi de acea securitate/tehnologie/aplicaţie/echipament/oameni  etc.  care îmi asigură…atingerea obiectivelor.

De exemplu, ISO 27001 face referire la „controale documentate” doar în clauzele A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1 (sper să nu fi omis ceva). Asta înseamnă că celelalte clauze pot fi implementate fără a fi documentate? Teoretic da. În practică însă voi şti foarte puţine lucruri despre „procese”….

Pot pune în practică „Incident Management” fără Service Desk/Problem/Change/Release/Configuration/Security/Service Level/Capacity/Availability/Service Continuity/Finacial Management şi să sper că voi avea „valoare” („fit for use+purpose)?