People, Process, Technology

Posted on Posted in BCONN Nieuws

Artikel geschreven door Peter Leijdsman, Service Manager bij BCONN ICT.

Met enige regelmaat zie of hoor je het voorbij komen in presentaties of artikelen, mensen die refereren aan de termen, People, Process, Technology. Vaak in de context om de kritieke succes factoren bij organisatieverandering uit te leggen. Het model kent al een lange geschiedenis. De vraag is dan ook of dit model nog steeds van toepassing is in de huidige tijd van automatisering, AI, robotisering en machine learning.

De oorsprong van het model
De kreet “People, Process, Technology” (PPT) komt oorspronkelijk van Harold Leavitt’s paper “Applied Organization Change in Industry” uit 1964. Hierin heeft hij het over de vierdelige diamant als model voor het creëren van verandering in een organisatie.

  • Structure: Hoe een groep mensen is georganiseerd
  • Tasks: Wat een groep mensen doet
  • People: Wie de mensen zijn
  • Technology: Waar de mensen mee werken

Maar het model zoals we het nu kennen is eind jaren 90 vooral bekend gemaakt door de Amerikaanse cryptograaf, schrijver, computer security en privacy specialist Bruce Schneier. Het concept is van begin af aan één van de pijlers van ITIL geworden en is dat nog steeds. Het wordt ook wel de “Golden Triangle” genoemd, de 3 sleutels naar succesvolle project implementaties en organisatieveranderingen, en de “back-to-basics” aanpak bij het oplossen van complexe business problemen. De reden voor deze driehoekige focus komt neer op een zeer belangrijk feit: operationele efficiëntie vereist een aanpak die de relatie tussen mens, proces en technologie optimaliseert. Door te focussen op één of twee onderdelen ontstaat onevenwichtigheid. Neem bijvoorbeeld een nieuwe technologie. Veel organisaties denken dat door het in huis halen van een nieuwe tool alle problemen zullen verdwijnen. Wat dan wordt vergeten is dat technologie zo goed is als de bijbehorende geïmplementeerde processen, en de processen zijn zo goed als de mensen die ze uitvoeren. Technology is dus niet het wondermiddel. Het People, Process en Technology model is tijdloos door zijn eenvoud, maar één van de eigenaardigheden is dat het je alleen verteld wat de entiteiten zijn, niet wat ze doen of hoe ze op elkaar inwerken.

Hoe werken de entiteiten met elkaar samen?
Hoe werken de entiteiten, in Leavitt’s model, met elkaar samen en hoe kunnen we er gebruik van maken? Het is de mens die het werk moet doen. Hoe zij hun werk doen en waar zij hun werk mee doen is dan de vraag. Zelfs in dit tijdperk van AI is de mens nog steeds vereist voor het besturen van output van machines.
Processen helpen mensen hun werk beter te doen. Processen definiëren en standaardiseren werk, wat voorkomt dat mensen het wiel opnieuw moeten uitvinden iedere keer als ze beginnen met hun werk. Technologie helpt mensen hun werk sneller en innovatiever te doen. We geven vervelende taken of handelingen aan machines en computers.
Kort samengevat, als we denken aan werk, wat dan ook, van strategisch tot marketing tot productiewerk, dan willen we drie fundamentele resultaten: sneller, efficiënter en beter.

Verandering teweegbrengen, resultaten verbeteren
Als we kijken naar de interactie van mensen, processen en technologie, hoe zorgen deze entiteiten voor verandering en verbeteren de resultaten?

Als mensen met processen werken, dan passen we ons aan. Niet langer het wiel uitvinden, het proces helpt onze groei te versnellen. Eén persoon met één goed proces kan net zoveel als tien mensen zonder een proces. Kijk bijvoorbeeld naar fastfood organisaties die hun processen wereldwijd super strak gestandaardiseerd hebben.
Als mensen werken met technologie, dan innoveren we. We creëren nieuwe manieren door bekende dingen eerst te doen, daarna openen we onze ogen om op nieuwe manieren nieuwe dingen te doen.
Als processen in aanraking komen met technologie, dan automatiseren we. Machines werken op een heel andere snelheid dan mensen. En door de komst van machine learning en cloud computing kunnen machines processen veel sneller uitvoeren dan een mens. Als we dus alle drie de interacties succesvol kunnen managen dan groeien we.

Waar ligt het Probleem?
Hoe kunnen we gebruik gaan maken van de interactie tussen de PPT-entiteiten? Om dat te beantwoorden moeten we nagaan welk probleem er is. Zijn we niet snel genoeg? Zijn we niet efficiënt genoeg? Creëren we geen of te weinig waarde?
Als we niet snel genoeg zijn, moeten we kijken naar wat we niet of niet goed geautomatiseerd hebben, de interactie tussen process en technology. Als we niet efficiënt genoeg zijn, moeten we kijken naar waar we ons niet aangepast hebben, de interactie tussen people en process. Als we geen nieuwe waarde creëren, moeten we kijken naar wat we nalaten te innoveren, de interactie tussen people en technology. Dit framework kun je toepassen op ieder probleem of uitdaging dat je in je werk tegenkomt en ontdek dan niet alleen wat er fout is, maar ook waar je moet beginnen met het op te lossen.

PPT toegepast
In de onderstaande paragrafen gaan we kijken we waar en hoe het PPT-model kan worden toegepast.

Verandertrajecten
Hoe krijg je de juiste balans in verandertrajecten met behulp van het PPT-model? We starten uiteraard weer met de mensen. Stel vast wie de sleutelfiguren zijn en ga na wat zij allemaal mee kunnen brengen. Zorg dat er van het begin af aan steun is vanuit het senior management, zonder dat wordt het een kansloos verhaal. Zorg dat je team bestaat uit de juiste mensen met de juiste skills, ervaring en houding die jou gaan helpen je probleem op te lossen. Om het klassieke businessboek Good to Great van John Collins te quoten, “getting the right people on the bus” is een belangrijke stap voor ieder initiatief.

Als de mensen zich eenmaal gecommitteerd hebben aan het doel ga dan nadenken over het proces. Een proces is gedefinieerd als een serie acties of stappen die genomen worden om een bepaald resultaat te behalen. De vraag is dus, welke processen hebben we nodig om een bepaald business probleem op te lossen? Een goed startpunt hiervoor is het vaststellen van de voornaamste stappen. Als die eenmaal duidelijk zijn dan kun je je richten op een ander detailniveau, de procesvariaties, uitzonderingen, onderlinge afhankelijkheden en ondersteunende processen. Ga vervolgens de processen reviewen met je stakeholders en zorg dat zij weten wat er van hen verwacht wordt en laat ze jou de mogelijke gaps en issues vertellen.

Tot slot de technologie. Met de juiste mensen en processen op hun plaats kun je vervolgens kijken hoe de technologie dit kan ondersteunen. Het is nooit een goed idee om een bepaald stuk technologie ergens door te drukken en vervolgens te kijken hoe je de mensen en processen er omheen kunt krijgen. Technologie zal altijd het sluitstuk moeten zijn als het probleem of vraagstuk eenmaal duidelijk is en de requirements voor de oplossing duidelijk zijn vastgesteld.

Security
Het PPT-model kan ook goed worden toegepast binnen het security domein. Als je start met security is het belangrijk te weten wie de eigenaren en stakeholders zijn en wie dus geïnformeerd moeten worden zodat zij hun werk beter kunnen doen. Dit betekent dat de juiste informatie van en naar de juiste mensen moet stromen (met duidelijk vastgestelde rollen en verantwoordelijkheden) en waarmee vervolgens de juiste beslissingen kunnen worden genomen, de juiste technologie worden geselecteerd en de juiste training in overeenstemming is met de gestelde doelen. Communicatie is zoals zo vaak van groot belang. Beslissingen worden te vaak binnen een silo gemaakt waarbij het doel, van bijvoorbeeld de aanschaf van een nieuwe tool, niet goed gecommuniceerd wordt met als gevolg een mager resultaat: slechte ondersteuning, trage adoptie door de organisatie, en het gebruik is suboptimaal. Het begint dus allemaal met het betrekken van de juiste mensen bij het project, en daarna gedurende de hele lifecycle.

Processen brengen mensen samen en brengen tevens de security visie tot leven. Om security goed in de organisatie in te bedden zijn een aantal processen van belang waaronder training/awareness, automation, en continuous improvement. Training: Security awareness vereist dat je security een onderdeel van je organisatiecultuur maakt en dat medewerkers begrijpen waarom het belangrijk is voor de business. Automatiseren: Automatiseren kan fouten minimaliseren en zorgen voor consistentie en snelheid. Waarschuwingen voor verdachte activiteiten kunnen geautomatiseerd worden, code reviews, monitoring, en operationele taken. Kortom, het grote voordeel zal je duidelijk zijn, het verkleint de kans op menselijke fouten en kwetsbaarheden. Er blijft natuurlijk altijd wel iemand nodig die de automatisering van dit soort processen overziet en bewaakt! Continuous Improvement: Securitymaatregelen vereisen monitoring, evaluatie, en verbetering. Maar voordat je kunt verbeteren moet je weten waar je staat. Dus voer eerst een audit uit zodat je weet wat goed werkt, wat moet worden verbeterd en wat ontbreekt. Ook daar kan het PPT-model weer hulp bieden, waarover later meer.

Veel organisaties besteden te weinig tijd aan voorbereidingen bij het investeren in nieuwe security technologieën. Gevolg hiervan is dat ze omkomen in de tools die ook nog eens niet optimaal gebruikt worden. Om dit te voorkomen is het belangrijk om een securitystrategie te hebben waarin aandacht voor het volgende is opgenomen, de security doelstellingen en risico tolerantie, welk soort data je wilt of moet monitoren, welke security gerelateerde events je wilt zien en de risico’s die voor jouw organisatie relevant zijn. Op basis daarvan kun je het gesprek op gang brengen om de juiste tools te vinden voor de aanwezige problemen.

Security Maturity Assessment
Wil je weten waar je als organisatie staat qua volwassenheid m.b.t. cybersecurity dan is het PPT-model ook te gebruiken voor een security maturity assessment. Middels interviews zal je dan per entiteit moeten nagaan waar de organisatie zich bevindt. Het tot stand brengen en onderhouden van cybersecurity capabilities vereist People, de experts. Process, die een leidraad voor de experts vormen. En Technology, dat vervolgens de ontwerpen van de experts automatiseert.

Een cybersecurityprogramma moet met een sponsor beginnen, dit is meestal iemand vanuit het senior management die (eind)verantwoordelijk is voor (cyber)security.

Was security eerst nog een bijkomstigheid, nu is het binnen veel organisaties een hot topic. Oplossingen voor nieuwe security bedreigingen worden veelal aangepakt met traditionele IT-methodes, door nieuwe of meer tools, of door het uitbreiden van bestaande processen.

De trend om nieuwe bedreigingen op te pakken met reeds bestaande capabilities gaat door in de context van people. Security binnen het senior management leiderschap wordt meestal bereikt door additionele verantwoordelijkheden bij reeds bestaande rollen te plaatsen zoals de manager IT of de CFO. Deze aanpak is over het algemeen een tijdelijke aanpak omdat deze personen meestal al een overvolle agenda hebben. Tegelijkertijd zijn de operationele security capabilities aanzienlijk gegroeid, firewall engineers zijn security analisten geworden en supportteams zijn incident responsteams geworden. In sommige gevallen hebben technische IT-teams de noodzaak van security gezien en op dat moment worden nieuwe security rollen geboren. Dit is een klassieke bottom-up benadering en zeker niet het top-down leiderschap waarmee een organisatie een basisniveau van security volwassenheid bereikt.

Uitdagingen
Uit onderzoek blijkt dat resourcing bij veel organisaties de hoogste aandacht heeft als het gaat om te voldoen aan het gebied People van security operations. De business as usual zal altijd geprioriteerd worden boven major changes in de operatie, gebrek aan passend en gekwalificeerd personeel kan een organisatie beperken om bedreigingen te voorkomen, er op te reageren of te detecteren. Meestal wordt er gekozen voor een oplossing om de ‘nieuwe taken’ toe te voegen aan die van de beheerder. Met als gevolg dat deze of andere taken naar de achtergrond verdwijnen. Een eerste stap in een verandering naar een hoger volwassenheidsniveau is een review van de eigen resources. Stel vast wie je hebt en of deze kunnen bijdragen aan een effectieve securitystrategie. De vastgestelde gap kun je aanvullen met eigen personeel, of door resources van een leverancier.

Process
Bij het vaststellen van de volwassenheid op dit onderdeel wordt gekeken naar preventieve, detectieve en responsieve elementen. Het change managementproces is in dit geval een preventief proces, incident management responsief en bij detectieve processen gaat het om security monitoring, vulnerability management en security awareness. Uit onderzoek blijkt dat de uitdaging op dit onderdeel ligt in het vinden en behouden van personeel met de juiste skills. Daarnaast zijn effectieve en gedocumenteerde securityprocessen essentieel voor het verbeteren van de volwassenheid van een organisatie.

Technology
De technologie is de afgelopen jaren erg veranderd. Software defined networks en security hebben samen met virtualisatie en cloudadoptie het ontwerp en de implementatie van technologie sterk veranderd. Maar alle virtuele en/of fysieke appliances zijn nog steeds nodig. Ze moeten up-to-date, goed beheerd en proactief worden gemonitord en bediend.
Maar technologie kan niet alles oplossen, denk hierbij aan datalekken en URL-filtering. Feit is wel dat technologie zo goed mogelijk, en met de best mogelijke middelen moet worden geïmplementeerd omdat het geldt als fundament waar al het andere op wordt gebouwd, ook al staat alles geheel of gedeeltelijk in de cloud.

Security volwassenheid is een reis die, in tegenstelling met andere PPT-benaderingen, begint met technologie. Uiteindelijk moet de gehele infrastructuur goed beveiligd zijn om de organisatie te beschermen tegen bedreigingen. Daarna volgen de processen en de mensen. Om vast te stellen waar zich de gaps bevinden kun je het PPT-model gebruiken om een assessment op de huidige situatie uit te voeren. Hiermee onderzoek je hoe de capabilities zijn ingericht en op basis daarvan kun je een verbeterplan kunt opstellen om op een hoger volwassenheidsniveau te komen en dat taken en rollen goed zijn belegd. Zonder al die basiselementen kun je geen veilige omgeving creëren.

Digitale transformatie
Tot slot van dit artikel nog een laatste toepassing, het pad naar de digitale transformatie, een hot item vandaag de dag waar technologie en innovatie de businesswereld snel doen veranderen.
De disruptieve bedrijven van deze tijd hebben op vele fronten een grote impact gehad op verwachtingen van de klant. Deze innovatieve bedrijven vinden oplossingen op problemen waarvan we het bestaan niet eens wisten. Gevolg hiervan is dat de gevestigde industrie zich moest aanpassen of zelfs kopje onder ging. Dit zorgde vervolgens weer voor een enorme hoeveelheid digitale transformatie projecten binnen die organisaties.
Het overstappen naar digitale diensten in de Cloud heeft dus alles te maken digitale transformatie. Een succesvol digitaal transformatie project reikt veel verder dan alleen technologie, het is een business brede cultuurverandering, zowel in de organisatie als in de ICT-infrastructuur. En ook hier zijn er weer drie onderwerpen waar aandacht aan moet worden gegeven om tot een succesvol resultaat te komen: People, Process en Technology.
People gaat over leiderschap, alignment, en skills. Een cultuurverandering start met de mensen. Een digitale transformatie zal alleen plaatsvinden als de juiste mensen bij het proces betrokken zijn en als iedereen aan boord is bij de verandering die staat te gebeuren in de gehele business. Voor ieder transformatie traject geldt dat wil het slagen, het geleid zal moeten worden door het senior management. Zonder de juiste mensen op de juiste plek zal iedere poging de volgende twee stappen te implementeren, proces en technologie, mislukken.
Process heeft betrekking op de manier van werken die gaat veranderen. Een digitaal transformatie project gaat in werkelijkheid om mensen effectiever te laten denken en werken, slimmer besluiten te laten nemen en de juiste tool(s) voor het werk te laten gebruiken. Het is een kans om te zien welke processen kunnen worden geautomatiseerd en nader te onderzoeken wat data allemaal nog meer voor de business kan betekenen. In plaats van een poging te doen om technologie toe te voegen in een bestaand proces, is dit het moment om vast te stellen wat er verbeterd zou kunnen worden.
Technology is de enabler van verandering. Technologie maakt proces transformatie mogelijk. Een mooi voorbeeld is Uber, waar een App een platform creëerde om bestuurders en klanten met elkaar te verbinden. En zo gaat het ook met allerlei technologie die de businesswereld binnen komt zetten. De Cloud is niet een nieuwe technologie maar het biedt de business wel een manier waarop het zich kan blijven ontwikkelen. Een succesvolle digitale transformatie vereist dus een flexibele Cloud architectuur die makkelijk aanpasbaar is aan reguleringen en business requirements.

Tot slot
Er zijn de afgelopen jaren pogingen gedaan het model uit te breiden. Met name door enkele consultancybureaus die pogingen hebben gedaan het model uit te breiden met een component als data, content of informatie. Voor bepaalde projecten kan het nuttig zijn om extra focus aan te brengen en Content als onderdeel toe te voegen. Maar ik ben van mening dat het People, Process, Technology model in al zijn eenvoud nog steeds zeer goed bruikbaar is. Het biedt hulp bij verbeter- of verandertrajecten, het analyseren van problemen of om na te gaan waar je staat. Gebruik het!

Dit artikel is geschreven door:


Peter Leijdsman
Service Manager bij BCONN ICT
peter.leijdsman@bconn.nl