Door de prestaties van je eigen bedrijf te vergelijken met anderen, kun je jezelf verbeteren.
Je kunt als bedrijf of organisatie natuurlijk uitgaan van je eigen kracht en je vooral niets aantrekken van wat vergelijkbare bedrijven presteren. Je kunt het ook wel doen en dan heet het benchmarking. “Benchmarking is het vergelijken van de prestaties van een onderneming ten opzichte van soortgenoten”, geeft Michiel Steltman een korte maar krachtige definitie. Steltman is directeur van de stichting DHPA, Dutch Hosting Provider Association, de sectororganisatie van marktleiders onder hosting providers.
Anders dan in andere industrietakken ontbreken in de IT harde en duidelijk gedefinieerde normen. “Er zijn geen makkelijke meetinstrumenten om de prestaties van IT af te lezen ten opzichte van anderen. De criteria die er zijn, zijn vaak een slechte weergave van hoe goed een dienstverlener werkelijk is.”
Meer dienstverlening
Het probleem is gelegen in het feit dat een dienst -en IT is tegenwoordig veel meer dienstverlening dan de levering van hardware- en de waarde die er aan gehecht wordt, afhankelijk is van de beleving van de eindgebruiker. “En dat maakt benchmarking dus lastig. Het hele fenomeen van ‘as a service’ en cloud zijn uitingen van het feit dat IT als dienst wordt geleverd. Hoe ervaart de eindgebruiker die dienst? Dat is veel meer een kwestie van perceptie dan van een hard criterium. De beschikbaarheid kan bewezen 99,5% zijn, maar als die ene halve procent standaard elke maandag om negen uur ‘s morgens optreedt, zal de beschikbaarheid toch niet als goed worden beoordeeld. Ondanks het voldoen aan de norm, zul je te maken hebben met een zeer ontevreden klant.”
Security benchmarken
Met andere woorden: een IT-bedrijf heeft meer aan de mate waarin eindgebruikers aangeven dat ze tevreden zijn over de performance. Ondanks de lastige benchmarking kun je wel performance-indicatoren bepalen. “Er zijn normen voor informatiebeveiliging, een code of conduct, hou je je aan afspraken in de sector, doe je iets voor de omgeving, hoe vaak innoveer je je product. Dat zijn dingen die je als dienstverlener kunt laten zien en die bijdragen aan de klanttevredenheid. Certificering bijvoorbeeld is een goed instrument om aan te tonen dat je je processen op orde hebt”, licht Michiel Steltman toe. Als het gaat om het benchmarken van informatiebeveiliging, is dat het beste extern te benaderen. “Dat is een belangrijk element voor het vertrouwen dat ondernemers in je hebben. Daarom kun je je beleid het beste laten beoordelen door een externe partij, bijvoorbeeld door het doen van een audit.” Een auditor kan prima beoordelen of je je eigen beleid goed toepast. Een ISO-27001 certificering is goed, maar misschien nog beter is een ISAE 3402-verklaring, een audit standaard waarbij de auditor vaststelt of het uitgezette security beleid ook daadwerkelijk effectief is geweest. “Op informatiebeveiliging is een goede benchmarking dankzij dit soort standaards nog wel te doen, maar de kwaliteit van de dienst zelf is en blijft onderwerp van subjectiviteit.”
Snel groeiend
Afnemers vragen steeds meer om duidelijkheid en een goede beoordeling van de security. Reden waarom benchmarking daar een snel groeiende tak van sport is. De DHPA juicht dat van harte toe. “Benchmarking kan er voor zorgen dat je als leverancier beter wordt. In de kwaliteitssystemen zitten feedback-loops, die je verplichten om metingen te doen, te evalueren en deze evaluaties om te zetten in verbeter plannen. Een auditor let daar ook op: heb je geleerd van incidenten uit het verleden?” Zo’n audit is behoorlijk streng. Toch valt er nog wel het nodige te verbeteren, vindt Michiel Steltman. “Je zou meer moeten kijken naar complete ketens. Eén goede schakel maakt nog geen goede keten en de huidige kaders lopen daar wat op achter. De huidige benchmark gaat nog uit van de volledige controle over een informatiesysteem door één bedrijf. De praktijk is anders.”
Hogere lat
Dus: de behoefte aan goede benchmarking en audits groeit, tegelijkertijd is dit zelf ook onderhevig aan verbetering. Het ECP heeft een project, ‘Veilig Verbinden’, dat is geïnitieerd door het ministerie van Economische Zaken. Dit project gaat in op die kwestie van keten partners in de branche. “In de foodbranche is voortdurende controle van de totale keten heel vanzelfsprekend, maar in de IT niet. Daar valt nog veel te verbeteren.” Tegelijkertijd wordt de lat van de benchmark steeds hoger gelegd. Nieuwe eisen dienen zich aan, die nieuwe uitdagingen betekenen om je als IT-bedrijf te kunnen onderscheiden. Ook het bewustzijn van eindgebruikers rondom continuïteit groeit. “We kijken steeds meer naar security. Maar een benchmark op continuïteit speelt ook een rol. Want wat gebeurt er met je informatie als bijvoorbeeld je leverancier falliet gaat? Ook daar komen steeds betere oplossingen voor.”
No comments!
There are no comments yet, but you can be first to comment this article.