Archive by Author

Is IT4IT the next threat to the IT Management market?

AAEAAQAAAAAAAALeAAAAJGU3ODBlNTE1LWY3OTItNDVmMy05M2VmLTA4NDgwNzU5OTQ1MQThe Open Group has adopted a new product: the IT4IT reference framework. The market seems to be responding well to this new leaf at the IT management tree.

As usual, consultants will be jumping the bandwagon to profit from from this great new opportunity to distinguish themselves from the competition, and to deliver the next big thing in their consultancy portfolio.Customers will simply have to follow up, as they really shouldn’t miss this great opportunity to solve all their problems with this magic stick.

 

Am I judging too hard? Too cynical? Maybe. But that may help to get the message across.

Why should a warning be in place here? After all:

  • the model works from an architecture point of view….
  • the model embraces popular frameworks and standards…
  • the model is supported by several large, global vendors…
  • the model is owned/managed by a global consortium of 450+ member organizations…

That should be a guarantee for success and value delivered, wouldn’t it? After all, ITIL (with the itSMF and now Axelos as the managing party) and COBIT (managed by ISACA) had the same signature, and these frameworks delivered great value to our world – in the sense that they delivered more value than cost. Haven’t they?

“The cost of ITIL and associated products can be ciphered in the order of 1 trillion dollars.”

And these illustrious frameworks were developed by the best minds available. The leading vendor companies in the market put all their knowedge together to bring us the solution. They provided the authors for the frameworks and the accompanying books. And they will provide the products that will help us solve it in our practice.

By the way – who created that mess? And who profits from it?

Now we have IT4IT. Initially set up by a number of vendors (Accenture, CapGemini, HP, PwC) and some user organizations (Shell a.o.), but then transferred to the Open Group, where it was handled by again some of the global leading consulting organizations and a number of user organizations (read Geoff Harmer’s analysis). The faces of IT4IT now are Accenture, HP, and of course a few customer organizations to avoid the idea of a commercial interest (Shell, Achmea).

Is IT4IT new?

Not really:

  • it adopts Porter’s Value Chain, published in 1985
  • it largely adopts the three-fold model of prof. Maarten Looijen, published in the late 1980’s (until recently a well-hidden asset of Dutch information management theory)
  • it follows the SAME model, documented as early as the mid 1990’s

Then why should this be the magic stick?

  • Because large vendors push it? History has demonstrated clearly that there is a huge risk in that strategy…
  • Because it embraces popular frameworks? If these frameworks have not delivered the solution, then why would you base a new one on the old ones? Adopting the popular frameworks unfortunately is a guarantee that the historical errors in terms of process management are inherited.
  • Because it is process-based? Unfortunatly, IT4IT also finds its roots in a best practice approach, where processes have essentially been ignored and results were based on procedure and work instruction level instead.
  • Because it adopts an architecture starting point? Now there we have an argument… At least this offers the opportunity of a more solid, principle-based approach that could align with any practice. A Service Management Architecture (SMA) has long been missing in this market.

How can we profit from this opportunity….?

  • as usual: be critical, beware of the hype
  • as usual: don’t trust the majority of vendors who want to sell you a solution, unless you have completely understood what they actually offer
  • as usual: find yourself a methodical approach, and then use the offered frameworks as references for your dot on the horizon.

Should you avoid IT4IT? Definitely not. It encompasses some major improvements compared to the ‘old school’ frameworks. I invite everyone to read more about it.

Should you adopt IT4IT as-is? Definitely not, like you should not adopt any of the other frameworks as-is. IT4IT is not a method (read “What is a method?”). It provides guidance, but you will only be able to achieve your result effectively and efficiently if you have your own management system firmly in place.

Is IT4IT a threat for the IT management market? For vendors, it’s a great new asset to profit from ignorant customers, delivering complexity that generates turn-over. For customers, it’s a great opportunity to adopt some architecture into their management system. For both, it’s a great opportunity to take a step forward towards value delivery, both in consulting and in IT service management. It can get you closer to the long desired business-IT alignment. But I’m afraid only a limited number of vendors and customers will be able to really profit from this – as history has shown so abundantly.

Hoe kunnen Nederlandse gemeenten aan BIG voldoen?

De VNG heeft op 29 november 2013 een resolutie aangenomen waarin de Nederlandse gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader onderschrijven en bij het Rijk en ketenpartners zullen bevorderen. De BIG beschrijft eisen waaraan een gemeente dient te voldoen, op straffe van bijvoorbeeld het afsluiten van DigiD.

In andere branches is een vergelijkbare ontwikkeling waar te nemen:

  • In de financiële sector is informatiebeveiliging een basisvereiste. Daar heeft De Nederlandsche Bank (DNB) een set van 54 practices (controls/eisen/maatregelen) voorgeschreven o.b.v. COBIT en ISO27002. Deze controls zijn rechtstreeks overgenomen uit de betreffende normdocumenten. COBIT zelf bevat 201 practices.
  • In de zorg is patiëntveiligheid en –privacy een hot item; daar werden in 2010 de informatiebeveiligingseisen door de Inspectie voor de Gezondheidszorg (IGZ) ingevuld door een sectie van 33 controls uit de Nederlandse standaard NEN7510 voor te schrijven aan de zorginstellingen. De norm NEN7510 zelf bevat 151 controls, en is grotendeels gebaseerd op de internationale norm ISO27001, en de bijbehorende concretisering in ISO27002. Per medio juli 2014 is het voor zorginstellingen bij wet verplicht om de integrale NEN7510-eisen te voldoen als ze in hun elektronisch patiëntendossier (EPD) gebruik willen maken van het burgerservicenummer.

Zowel DNB als de IGZ zouden graag zien dat de betrokken instellingen zelfstandig kunnen bepalen wat belangrijk voor hen is, en een voortdurende, gestructureerde verbetering in werking zetten. Ze hebben dus een voorkeur voor een principle based benadering in plaats van de huidige rule based benadering. De praktijk laat helaas nog zien dat dit zowel aan de kant van de toezichthouder als aan de kant van de uitvoerende partij veelal blijft steken in wishful thinking.

Hoe pakt de toezichthouder van de Nederlandse gemeenten dit nu aan? Is daar al sprake van een principle based benadering? Heeft men daar al geleerd van de ervaringen in de zorg en de financiële sector, en de rule based benadering achter zich gelaten? De rol van toezichthouder ligt in dit geval bij de staat, maar de aansturing wordt vanuit de sector zelf ondersteund door een combinatie van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Deze ondersteuning is concreet gemaakt in de vorm van een resolutie waarin de BIG wordt onderschreven door de VNG, en het instellen van een centraal ondersteunend orgaan van KING: de Informatiebeveiligingsdienst voor gemeenten (IBD). De BIG bestaat uit:

Een strategische BIG, waarin het belang van het herstel van veiligheidsincidenten centraal staat. Dit document benadrukt de schade die kan ontstaan bij veiligheidsincidenten, voor de burger, voor de overheid zelf, en het bedrijfsleven.

  • Een tactische BIG, een richtlijn met een totaalpakket aan informatiebeveiligingsmaatregelen die voor iedere gemeente geldt. Deze tactische BIG is opgezet rondom ISO 27001 en ISO 27002.
  • Een set van 303 controls als operationele uitwerking van de BIG

Wat valt op aan deze benadering:

  • Er is in de operationele controls geen zichtbare referentie gelegd naar een onderliggende formele norm.
  • Er is sprake van een enorm groot aantal, zeer gedetailleerd uitgewerkte controls: 303 stuks.
  • Deze controls zijn sterk gericht op technische uitvoering: werkzaamheden (“Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan met gecompromitteerde sleutels”) en voorzieningen (“Er zijn, waar mogelijk, voorzieningen om de actualiteit van anti-malware programmatuur op mobiele apparaten te garanderen”) worden in detail voorgeschreven.
  • Er is zeer weinig aandacht voor het managementsysteem waarmee die werkzaamheden en voorzieningen beheerd en geborgd worden.

De BIG is dus een typische rule based benadering.

Technocratie
Gemeentes die enthousiast beginnen met het realiseren van deze 303 controls lijken daarmee een technocratische aanpak te gaan volgen: gedetailleerde technische voorschriften en gedragsregels vormen het hoofdbestanddeel van de aanpak. Die technocratische benadering is al jaren één van de hoofdoorzaken voor de uiterst complexe en moeilijk beheersbare situatie waar de gemeentes zich (net als een groot deel van het bedrijfsleven) momenteel in bevinden: er is jarenlang vooral gekoerst op de “T” van technologie, waarbij de aandacht voor het managementsysteem ver achter bleef. Als nu opnieuw eenzelfde benadering wordt gevolgd, ligt het voor de hand dat je dezelfde resultaten krijgt als voorheen: veel inspanningen die weinig borging in een managementsysteem hebben, zodat er veel energie wordt besteed waar slechts weinig blijvende resultaten uit voortkomen. Een technocratische aanpak lost het probleem tijdelijk op maar leert de organisaties niet omgaan met soortgelijke situaties. Er is onvoldoende sprake van borging. Het invoeren van de 303 BIG-controls leidt dus niet tot een principle based benadering die de borging en de continue verbetering centraal stelt. En daar zijn we nu toch zo langzamerhand wel aan toe….

Gebrek aan processturing
Een procesmatige onderbouwing van alle in de BIG opgesomde activiteiten ontbreekt. Er is wel een zwakke verwijzing naar het herstellen en wijzigen van de informatiesystemen, maar daarmee is het ook wel zo’n beetje gedaan. Processen zoals afspreken en voorkomen komen slechts fragmentarisch in beeld, en informeren en leveren worden al helemaal niet in een procesmatige context aangesproken. Veruit het grootste deel van de eisen gaat over technische voorzieningen of gedragsregels. Maar, stel je voor dat je die allemaal een keer geregeld hebt, hoe zorg je er dan voor dat je bij een volgende ontwikkeling in de markt de dan noodzakelijke voorzieningen of gedragsregels signaleert en invoert? Daar heb je toch een onderliggend proces voor nodig? Dat proces is hier duidelijk niet de grondslag geweest voor de ontwikkeling van het eisenpakket. Actuele technologie en actuele praktijk wel. Die technologie en praktijk zijn echter voortdurend in beweging, dus deze aanpak lijkt een garantie om op afzienbare termijn weer achter de feiten aan te lopen.

Wat kan een gemeentelijke I&A-organisatie met de BIG-controls?
Zoals altijd met dit soort eisenpakketten vindt slechts een deel van de informatiebeveiliging (IB) plaats binnen de scope van de IT-beheerafdeling (I&A). Wat er buiten valt is vooral te scharen onder de noemer Personeelszaken (PZ) en Facilitair beheer (FACB). Die twee moeten dus hoe dan ook worden gedekt als je aan de BIG wil voldoen. Dat kan op twee manieren:

  1. Door 3 gescheiden servicedomeinen te hanteren: I&A, PZ, en FACB. Elk van die domeinen probeert z’n eigen zaken uit het eisenpakket op eigen houtje te regelen, en de Chief Information Security Officer (CISO) treedt op als externe aanjager. De CISO is meestal ondergebracht in een stafafdeling, dus buiten I&A, PZ en FACB, soms zelfs in een bovengemeentelijk samenwerkingsverband.
  2. Door de IB-targets vanuit één domein te managen. Omdat veruit de meeste eisen binnen het domein I&A vallen is dat het voor de hand liggende sturingsdomein. De PZ- en FACB-taken op het gebied van de IB kunnen dan vanuit dat I&A-domein worden aangestuurd. Een CISO kan dan (functioneel binnen de groep I&A) het integrale eisenpakket en de bijbehorende projectmatige realisatie onder één sturing brengen.

Optie 1 leidt tot sturing vanuit een zijlijn, in een gefragmenteerd project met 3 uitvoerende domeinen. Die situatie komt in de praktijk vaak voor. De CISO moet dan mandaat genoeg hebben om alle 3 domeinen aan te kunnen sturen. Dat mandaat is in de praktijk vaak slechts beperkt aanwezig.

Als die drie domeinen elk een gestructureerd managementsysteem hanteren, dan heeft de CISO daar groot voordeel van: hij kan veel beter schakelen met elk domein, omdat elk domein alle taken binnen haar grenzen kan aansturen in haar managementsysteem. Deze situatie wordt in de zorg en in de financiële sector door een aantal IT-afdelingen ingevuld met de ISM-methode. ISM voorziet in een Information Security Management System (ISMS), biedt tooling voor de planning, aansturing, voortgangsbewaking en compliancy-meting van de betreffende controls, en brengt deze in een eenvoudige en integrale managementaanpak onder. ISM ondersteunt een principle based benadering. De CISO kan zich in zo’n geval vooral concentreren op de overige domeinen, en op de integratie tussen de 3 domeinen. Vanuit een zijlijnpositie zonder formeel mandaat is dat een forse opgaaf. Deze aanpak vergt dus een stevige visie en leiderschap op bestuurlijk niveau binnen de gemeente.

Optie 2 heeft als voordeel dat er vanuit het domein waar de meerderheid van het werk ligt centraal kan worden gestuurd op de uitvoering van taken in beide ondersteunende domeinen (PZ/FACB), in eerste instantie vanuit een projectmatige aanpak. I ndie andere domeinen kunnen organisaties de USM-methode inzetten, in een ‘algemene’ vorm, zonder verbijzondering naar IT.

Optie 2 kan in de praktijk echter tegen dezelfde autoriteitsproblemen aanlopen: het vergt de medewerking van de manager PZ en de manager FACB, alsmede van hun medewerkers. Deze optie vergt dus feitelijk de sturing vanuit de eersthogere managementlaag: de manager die verantwoordelijk is voor zowel I&A als PZ en FACB. En ook dat vereist weer een stevige visie en leiderschap.

Een derde factor die feitelijk buiten beeld is vanuit de positie van I&A is de gebruiker. Een deel van de BIG-controls komt voor rekening van die gebruiker, waar I&A geen managementverantwoordelijkheid heeft: dat valt immers onder de lijntaak van de gemeentelijke organisatie. I&A kan wel eisen stellen, om de sturing op de activiteiten van die gebruiker te voeden. Zulke eisen vinden dan hun plek in de SLA (als die er is), in de servicecatalogus (als die er is), en in gemeentelijke richtlijnen die voor alle medewerkers gelden (als die er zijn). Dat vergt opnieuw de actieve inzet van de verantwoordelijke lijnmanager op het eersthogere niveau. Omdat die rol boven PZ, FACB, I&A en de gebruikers ligt zal dat veelal de gemeentesecretaris zijn. Die gemeentesecretaris heeft echter z’n handen vol aan de komende decentralisatie, en IT stond toch al niet zo hoog op de agenda. Een centrale afdeling Bedrijfsondersteuning o.i.d. zou hier soelaas kunnen bieden, mits het mandaat goed belegd wordt en er (alweer) leiderschap en visie aanwezig is.

Centrale, procesmatige aanpak is onontkoombaar
Om op een efficiënte en effectieve wijze te voldoen aan de doelstellingen van de BIG is dus centrale sturing in de organisatie een vereiste. Oftewel, als de gemeentesecretaris niet het voortouw neemt bij de invoering van de BIG, en de sturing daarop in het gemeentelijk apparaat managet of delegeert aan een gemandateerde afdeling Bedrijfsondersteuning, dan gaat de betreffende gemeente niet zo erg ver komen met de BIG. Of dat dan komt door problemen met leiderschap, visie, tijd, kennis van IT, of aandacht, maakt in de praktijk niet veel uit.

Een tweede minimale vereiste is dat de gemeente werkt vanuit een efficiënte procesmatige managementaanpak zoals in het bedrijfsleven al lang gebruikelijk is, en niet verzeild raakt in een technocratische benadering. Anders kun je de gevolgen wel weer uittekenen.

Het is vijf voor twaalf, en gegeven de enorme druk die er door de komende decentralisatie op gemeentes ligt, zal er snel en hard gewerkt moeten worden om te voorkomen dat die klok straks toch het volle uur slaat.

Noot van de auteur d.d. 29-11-2017: de zienswijze van ISM/FSM – zoals Inform-IT die in de periode 2005-2014 heeft ontwikkeld – is onderdeel geworden van de laatste stap in de evolutie van servicemanagementmethodes: USM, Universeel Service Management.
In USM komt alle servicemanagement-kennis van de laatste decennia bij elkaar, in een geheel geactualiseerde en eenvoudig leerbare methode, die op alle dienstverlenende domeinen van toepassing is.
Met USM zijn bij uitstek integraties van service-taakgebieden te ondersteunen, in de vorm van shared service centers, is een veel hoger rendement uit servicemanagement-tooling te halen, en zijn organisatieverbeterprojecten sneller en goedkoper uit te voeren, met blijvende effecten.

The wrong end of the stick: rules vs. principles

ICT regulators and controllers tend to follow a rule-based approach. Although – if asked – they soon enough admit that they actually don’t believe it is the right approach. They would love to see their target audience being so well organized that they can stand up to any test. They know that a rule-based approach starts at the wrong end of the stick. But still – they always start at that end. Makes you wonder why….

Healthcare

Healthcare institutions are increasingly facing tough demands in the field of information security. In practice this is often expressed in terms of ISO27001 controls. Dutch healthcare regulators use a local standard, NEN7510, which is almost identical to ISO27001. In 2010, the regulators decreed that all healthcare institutions had to meet a subset of 33 controls, out of the full set of 125 controls in NEN7510. This NEN standard was recently updated to follow ISO27001:2013, but the set of controls used for healthcare institutions is still largely the same.

In their audits, the regulators didn’t demand hard scores, instead they emphasized that the organization should rather be able to show that they were systematically working towards a better score on the selected controls. In fact, the regulators stimulated the institutions to improve their quality in a methodical way, so that they would improve their assessment score in the next audit. In practice however, they are still auditing against the same set of controls. This approach is now stimulated even further, because the full set of NEN7510 requirements was recently promoted to law for any healthcare organization using the unique citizen registration number in their systems.

Finance

This approach is very similar to what is currently happening in the financial world: in the Netherlands, that sector is also sampled by means of a (self) assessment. The supervisor in this case is the Dutch national bank (De Nederlandsche Bank, DNB), and the controls they use are derived from COBIT, enriched with guidance from ISO27002. But the situation is essentially the same: a control-based approach (rule-based) does not lead to the desired result. Instead, banks, pension funds and insurance companies should turn to a quality management approach that produces the desired information security assurance inside-out.

In the mean time, healthcare institutions have learned to achieve at least maturity level 3 (CMMI), with a methodical approach based on the ISM Method, within a year, and level 4 is within reach shortly after. Not by following a rule-based approach, but by means of gradual improvement. “Old wine in new bottles, PDCA, been there, done that….”. The standard response. But when you look at the daily practice of our most elusive experts, with all the certificates you can think of on their wall, they always start on the rules end of the stick, using best practice guidance from sources like ITIL, COBIT, ASL, BiSL, and other frameworks. Hey, and why not? Nobody ever got fired for hiring an ITIL consultant, or a COBIT consultant, or ….

Dot on the horizon

The essence is that the road to information security is not walked by trying to start at the controls end of the stick – whether there are 33 or 125, they still represent tricks. And the real trick is that you should turn it around: if you manage to teach the organization an integrated and systematic way of managing their work, you are leading them to a dot on the horizon.

“If you want to build a ship, don’t drum up people to collect wood and don’t assign them tasks and work, but rather teach them to long for the endless immensity of the sea.”

This is ‘ancient wisdom’, words spoken by Antoine de Saint Exupéry. Each seriously educated expert must have heard that line before. Nevertheless, consultants are taught to apply best practices to their clients, and they honestly believe it’s the best they can do for them. But best practices are the result of (hopefully) a systematical approach that can (hopefully) be replicated in the environment of their clients. And you cannot start with results when improving the structure of an organization: you cannot start at the wrong end of the stick. They should focus on finding the approach that delivered these practices, and then replicating these practices by using that approach – or at least by teaching the organization to work with the approach.

Dots on the horizon will be changing all the time, but walking the road to the horizon will largely stay the same.

The method

The method Dutch organizations have learned to use is the USM Method – Unified Service Management. USM is a method to get in control of any type of service organization, or any combination of service sections in an organization. The information management domain has proven to be a very grateful domain for USM, because organizations had to gain ultimate control over their IT services, as a result of the ever growing dependency on IT. In practice, USM is applied to various other service domains, including the “business information management” domain, and to combinations of IT and other service sections (e.g. medical technology, education).

In IT organizations, the USM Method focuses on the management system (the engine), and on the turnaround the management and staff need to make to adopt a systematic approach to their work. In a standard USM introduction project it takes a few weeks to get all (existing) instruments in place in a fully standardized project, and then a few months are spent teaching the organization to apply the method and to get used to a systematic step-by-step improvement approach. External consultants can coach the organization through this project, but a do-it-yourself approach is preferred (check the book The USM Method).

The big turnaround

The major advantage of starting at the other end of the stick is that you invest in an efficient and effective systematic approach, that can be applied again and again in a cyclic improvement strategy – as Shewhart and Deming taught us half a century ago. The new IT world is full of that approach, but only as long as it concerns technology: SCRUM, LEAN, DEVOPS…. It’s about time the management consultants join the bandwagon and pick up what Eliyahu Goldratt wrote down on the Theory of Constraints.

And following a rule-based approach is not what Goldratt, Deming and Shewhart meant.

In the Netherlands, the first finance organizations now work on their management system from a systematic inside-out approach, starting at the other end of the stick – even though their regulators confront them with rules to be followed and controls to be achieved – preferably by the letter, if you believe your auditor. Within a year they grow 2 levels on a 5-level maturity scale. Their road is the same, even though their dot on the horizon will differ.

Banks, insurance companies, pension funds, hospitals, nursing homes, care clinics, most of them still need to make the big turnaround to a systematically assured quality management. Luckily, they all aim for the same (improvement) and they all can use the same trail to their dot on the horizon following a standardized methodical approach that saves time, money, and worries. But the biggest advantage lies in the simplicity that it buys you. If your ‘inside’ is put together well enough, it doesn’t matter much what stick they use to measure you.

ITIL, or rather ITSL, or even ITSML?

Should ITIL change its name from IT Infrastructure Library to IT Service Library? Or should the M for Management be added to it, to cover ITSML, IT Service Management Library?

The statement that ITIL would only be about infrastructure management and used by infrastructure service providers is a fundamental misunderstanding. ITIL has been about service management from day 1. It describes practices and – to some level – processes and generic procedures that are commonly used for delivering IT services. And yes – there has been a focus on the IT component of the services for some time, but it has always been in the context of service management. So the I for Infrastructure, in ITIL, is no more than a historical artifact from a time that the difference wasn’t perceived so heavily.

In the Netherlands some competing – or rather complementary – frameworks were developed, reusing ITIL practices: ASL and BiSL. The ASL framework – the Application Services Library – added guidance for the specific domain of application management, copying a lot of generic content from ITIL. This again illustrates ITIL’s lack of focus on technology and infrastructure, and emphasizes that it has always been a service management framework. ASL adds value to ITIL, adding guidance on application management, but it also overlaps with it and it doesn’t cover the full extent of ITIL’s primary domain: IT services. Both ITIL and ASL are based on best practices, and require an implementation management method. The Dutch also provided that: the ISM method – Integrated Service Management – a generic method to implement ITIL and ASL guidance, in a standardized way with a predictable result.

Another Dutch framework, BiSL (the Business Information Services Library), also added value to the scope of ITIL by providing guidance on what we now use to call “business information management”, a domain that is only very partially covered by ITIL. This framework originates from a specific view that is unique for the Netherlands. I’ve visited many countries and always inquired the way people look at this domain, but I’ve never found it in any country but the Netherlands. It is based on the Separation of Duty principle in the information domain, as first applied by prof. Maarten Looijen in the late eighties. If you want to learn how this principle had led to the domains where ASL, ITIL and BiSL are finding their positions as best practice frameworks, describing activities in the various domains, I advise you to read the SAME Model (free download). Once you understand the nature of the two domains, you can immediately see the value and the position of the three frameworks mentioned above:

  1. ITIL describes the service management practices of an IT service provider in the information supply domain
  2. ASL describes the service management practices of an IT service provider in the information supply domain focused on application management
  3. BiSL describes the practices of a service provider in the information demand domain.

In spite of this historical head start, the third domain is still not completely professionalized in Netherlands. It still lacks well known organization structures that deliver easily understood contributions to the information services in an organization. Most of the support for this domain – like in the supply domain – is limited to best practices. And best practice frameworks act as reference models rather than implementation methods. So this again requires an implementation management method to bring the guidance alive and working consistently. As can be expected, The Dutch provided that too, in the FSM Method (Functional Service Management), similar to the ISM method.

So the elements seem to be there to profit from the valuable guidance in ITIL and its companions. But shouldn’t we first rename ITIL to ITSM or even to ITSML?

SLA or BLA? Or would you prefer ISA?

A posting in one of the many ITIL groups at Linkedin said “Service Level Agreement vs. Business Level Agreement. There is an new trend where for definition of value and benefits of ICT for business is considered BLA instead of SLA. In other words measuring of ICT performance by real business achievements and goals fulfillment. What’s your views and experience on this area?”

The question illustrates how IT organizations still deliver technology “services” instead of business values. And they all talk about business IT alignment, customer focus, etc….

Some of the responses even said that you should never agree on a BLA at all, only use an SLA according to ITIL. That only confirmed my statement that most IT organizations are still technology focused, and haven’t mastered the services level, let alone the customer level.

The initial question in the forum is justified. ITIL simply doesn’t cover this, and we need better practices. But practices should always work within a conceptual model of reality. That’s where this goes wrong.

The initial question could easily be answered with “BLA is what the SLA should have been all the time“. But then you only say that ITIL practices are not really current best practice. And on itself, that doesn’t help you any further.

Imho, a much better approach is this:

  1. information support for business processes is a responsibility domain
  2. to gain control over such a domain, separation of duty is the most elementary instrument
  3. this leads to 2 separated domains. Let’s call them Information Management (IM) and IT management (ITM). Adding the term ‘business’ would be meaningless, because we already confirmed that all was created on behalf of ‘business’.
  4. the chain of command runs from left to right in these domains: Business => IM => ITM
  5. the BLA should cover the relationship between Business and IM; the SLA should cover the relationship between IM and ITM.

You now have three separated domains with very clear responsibilities that can be managed in a systematic way.

The described approach is very common in the Netherlands, although only few organizations really have their IM and BLA in place.

In the Netherlands a standardized systematic approach is available in the form of the USM Method. It supports the application of a Dutch standard set of best practices: BiSL. USM is a standardized method for designing and improving IM organizations. The BLA is defined in the USM Method as the ISA, the Information Service Agreement. The SLA is what ITIL defined as such, but in this model the SLA is limited to the relationship between IM and ITM. Note: the “who” is not relevant here. Whoever executes the responsibilities, be it an internal team or an external provider, doesn’t change the nature of the responsibilities.

Tools to support the management of IM organizations can easily be made available, as they fully resemble the tooling for the ITM environment, or any other service domain. And we have many hundreds of tools that compete in the “red ocean” of the ITM domain, even a huge number of open source tools.

The BLA, or rather the ISA, should indeed cover meaningful business terms for the information support that is delivered. But that requires quite a higher level of “value maturity” than most of the providers have in practice. In fact, only very few will even have slightly approached this level in their practice. There’s still a long way to go if we want to deliver real information value to “the business”.

More info:

  • the SAME Model describes the three domains.
  • the USM Method is document only available in Dutch, but there is some documentation in English. FSM fully aligns to ISM (dedicated to the ITM domain), so the ISM book actually covers this to a large extent

Noot van de auteur d.d. 29-11-2017: de zienswijze van ISM/FSM – zoals Inform-IT die in de periode 2005-2014 heeft ontwikkeld – is onderdeel geworden van de laatste stap in de evolutie van servicemanagementmethodes: USM, Universeel Service Management. In USM komt alle servicemanagement-kennis van de laatste decennia bij elkaar, in een geheel geactualiseerde en eenvoudig leerbare methode, die op alle dienstverlenende domeinen van toepassing is. Met USM zijn bij uitstek integraties van service-taakgebieden te ondersteunen, in de vorm van shared service centers, is een veel hoger rendement uit servicemanagement-tooling te halen, en zijn organisatieverbeterprojecten sneller en goedkoper uit te voeren, met blijvende effecten.