IT-documentatie wordt vaak onderbelicht bij kleine ondernemingen door een combinatie van beperkte middelen, andere prioriteiten, en een gebrek aan expertise. Deze bedrijven richten zich meer op directe bedrijfsdoelstellingen en hebben niet altijd de tijd, kennis of middelen om uitgebreide documentatie bij te houden (of er überhaupt bij stil te staan). Daarnaast werken deze ondernemingen vaak met ad-hoc IT-processen en onderschatten ze het belang, nut en de noodzaak van (gestructureerde) documentatie. Veranderende IT-omgevingen en de perceptie dat kennis direct toegankelijk is, dragen ook bij aan het gebrek aan formele documentatie. Dit kan echter, naast gedegradeerde efficiëntie, nadelige gevolgen hebben voor veiligheid en continuïteit.

Stimulans door vereisten

Tegenwoordig worden kleine en middelgrote ondernemingen steeds meer gestimuleerd om aandacht te besteden aan IT-documentatie door externe factoren. Wetgeving zoals de Algemene Verordening Gegevensbescherming (AVG) vereist dat bedrijven hun gegevensbeschermingsmaatregelen documenteren en aantoonbaar naleven. Daarnaast stellen externe belanghebbenden, zoals verzekeraars die cyberverzekeringen aanbieden, steeds vaker eisen aan de IT-inrichting en de beveiliging van de IT-omgeving. Ook accountants stellen steeds vaker vragen over de IT-omgeving, met name over zaken zoals back-ups en bescherming tegen ransomware. Deze externe druk zorgt ervoor dat kleine ondernemingen de noodzaak van goede IT-documentatie beginnen te erkennen en stappen ondernemen om hun documentatie op orde te brengen.

Dit soort vereisten kan een ondernemer verrassen, bijvoorbeeld wanneer zij zich willen indekken tegen cyberrisico's door middel van een verzekering. Voor het afsluiten van een cyberverzekering moeten aan acceptatievoorwaarden worden voldaan, zoals een adequaat softwarepatchbeleid, wachtwoordbeleid en back-upbeleid. De verzekeraar beoordeelt de IT-omgeving niet direct, maar legt de verantwoordelijkheid voor de IT-inrichting bij de verzekerde. Bij het indienen van een claim beoordeelt de verzekeraar de situatie. Als blijkt dat het beleid en de uitvoering niet overeenkomen met de acceptatievoorwaarden (of andere beoordelingsgronden), kan dit invloed hebben op de schadevergoeding of zelfs leiden tot afwijzing van de claim.

Externe druk zou echter niet de enige reden moeten zijn om na te denken over IT-beleid en de bijbehorende documentatie. Het is verstandig om proactief IT-beleid te formuleren, zelfs als een externe IT-leverancier wordt ingeschakeld. Het vaststellen en documenteren van verantwoordelijkheden blijft uiteindelijk de verantwoordelijkheid van de onderneming zelf (lees: een externe IT-leverancier zal zich uit eigen beweging niet bezig houden met een uitgebreide IT-documentatie voor een klant).

Beginpunt

De vraag rijst waar een onderneming moet beginnen met het opstellen of verbeteren van IT-documentatie. Een goed startpunt is het koppelen van IT-beleid aan het bedrijfsplan ofwel de bedrijfsdoelen. Daarnaast kan een IT-beheerkader (framework) zoals ITIL een nuttig hulpmiddel zijn om documentatievereisten af te leiden. ITIL (IT Infrastructure Library) biedt een duidelijke structuur met verschillende disciplines voor effectief IT-servicemanagement, waaronder strategie, ontwerp, dagelijkse operatie en continue verbetering. Het is belangrijk om de samenhang tussen de onderneming en IT te begrijpen. Meer hierover heb ik beschreven in mijn blogpost uit 2023 over IT-omgeving met structuur en samenhang.

Complexiteit

IT wordt vaak gezien als (te) complex en soms als een sluitpost. Bedrijven neigen ertoe om met IT-gerelateerde complexiteit om te gaan door externe expertise in te schakelen, vaak in de vorm van samenwerking met een IT-leverancier. Een uitdaging daarbij is dat IT-leveranciers vooral denken in termen van technische oplossingen, waardoor het vastleggen van verantwoordelijkheden en gedocumenteerde processen soms onderbelicht blijft vanwege de focus op technologie en kosten.

IT-kerndocumentatie

Een belangrijke vraag is hoe een organisatie kan komen tot een kernset van IT-documenten. IT-documentatie kan bestaan uit verschillende categorieën, waaronder strategie, infrastructuur, operationele procedures, compliance en risicobeheer, training en gebruiker ondersteuning, en datamanagement. Naast systemen voor het beheren van IT-activa, is het cruciaal om documentatie bij te houden over IT-beleid, informatiebeveiliging, netwerken, samenwerkingsovereenkomsten (SLA's), incident- en probleembeheerprocedures, IT-continuïteit en herstel (ofwel een IT-noodplan), en configuratiebeheer. In de huidige tijd zijn compliance, datamanagement en privacy essentiële onderwerpen. Het is ook belangrijk om projecten en veranderingen gedocumenteerd te houden, evenals gebruikershandleidingen en trainingsmaterialen voor zowel eindgebruikers als IT-medewerkers, of ze nu intern of extern zijn.

Het beschrijven van bijvoorbeeld de visie, missie, strategische doelen, een investeringsrichtlijn en verantwoordelijkheden (IT-beleid) brengt het vormen van de perceptie op IT op gang. Wanneer gekeken wordt naar beveiligingsdoelen, een risicobeoordeling, incidentrespons en te nemen beveiligingsmaatregelen (informatiebeveiligingsbeleid), wordt al snel duidelijk hoe waardevol de informatie van de onderneming zijn. Deze onderdelen zijn essentieel voor compliance en IT-continuïteit, inclusief een back-up en restore- of herstelplan.

Naast het niet compliant zijn met wetgeving en vereisten van externe belanghebbenden kan gebrekkige IT-kerndocumentatie leiden tot aanmerkelijke schade of zelfs het voorbestaan van de organisatie bedreigen. Een concreet voorbeeld hiervan is een IT-continuïteitsplan waarin beschreven staat hoe de back-ups geregeld zijn en hoe deze regelmatig getest worden. Een organisatie die geen gedetailleerde documentatie bijhoudt over haar back-up en restoreprocedures loopt het risico op onverwacht dataverlies. Een eenvoudige restore-test kan veel onthullen over de kwaliteit van de back-ups en de herstelbaarheid van de IT-omgeving. Een onvermogen om snel en effectief gegevens te herstellen kan ernstige operationele verstoringen veroorzaken, klantverlies tot gevolg hebben en het vertrouwen van belanghebbenden schaden.

Praktijk

Bedrijven hebben een sterke afhankelijkheid met IT. Hoewel sommige zeer kleine bedrijven misschien nog steeds bepaalde activiteiten zonder IT kunnen uitvoeren, wordt IT steeds meer gezien als een integraal onderdeel van zakelijke operaties in de moderne economie. Zelfs wanneer bedrijven geen uitgebreide IT-infrastructuur hebben, gebruiken ze vaak op zijn minst basale IT-tools zoals computers, internettoegang en mobiele apparaten om dagelijkse taken uit te voeren, zoals het verzenden en ontvangen van berichten via e-mail. Ook de communicatie met de overheid verloopt tegenwoordig grotendeels via de digitale snelweg.

Ervaringen

Als netwerk- en systeembeheerder merk ik dat onderwerpen zoals privacy (AVG), beveiliging (inclusief netwerksegmentatie en functionele scheiding inclusief mitigatie van risico's bij legacy software), cyberweerbaarheid, cyberverzekeringen, IT-continuïteit en IT-kerndocumentatie steeds belangrijker worden. Bedrijven realiseren zich steeds meer dat een goed ingerichte IT-omgeving essentieel is voor hun operationele succes. IT-documentatie wordt steeds vaker gezien als een kernonderdeel, waarin niet alleen het IT-beleid wordt vastgelegd maar ook de feitelijke IT-omgeving wordt gedefinieerd. Het valt op dat veel organisaties aanpassingen aan hun IT-omgeving vaak uitstellen, zelfs als de vereisten door de tijd worden bijgesteld. Dit kan leiden tot uitdagingen, vooral bij groei of na een impactvol incident, waarbij de noodzaak voor gedocumenteerde processen en IT-continuïteitsplannen duidelijker naar voren komt.

Bovendien is er bij groeiende organisaties een toenemende behoefte aan duidelijkheid over IT, zodat de focus zoveel mogelijk op de kerntaken kan liggen. IT-taken worden vaak gezien als bijzaken. Een effectieve onboardingsprocedure kan helpen door nieuwe medewerkers sneller te voorzien van IT-middelen en hen vlotter in te werken dankzij beschikbare gebruikersdocumentatie.

Documentatie en Structuur

Wat mij opvalt, is dat wanneer documentatie ontbreekt, het eerste document vaak erg uitgebreid wordt opgesteld. Later blijkt het noodzakelijk om delen van dit document te consolideren en te structureren om de essentiële kern van het onderwerp goed bij te houden. Dit probleem wordt vooral zichtbaar tijdens risicobeoordelingen en bij het opstellen van IT-continuïteits- en herstelplannen, waarbij er vaak overlap ontstaat met andere onderwerpen.

Het is cruciaal om een balans te vinden tussen gedetailleerde documentatie en een heldere structuur, om zo efficiëntie en effectiviteit te waarborgen binnen de IT-omgeving van een organisatie. Daarom is het van groot belang om van tevoren goed te bepalen welke onderwerpen moeten worden gedocumenteerd, zodat het aantal documenten per onderwerp van tevoren kan worden vastgesteld.

Samenvatting

Door praktijkervaringen zoals deze wordt duidelijk dat IT-documentatie niet alleen een noodzaak is om te voldoen aan regelgeving en verzekeringseisen, maar ook om operationele risico's te beheersen en bedrijfscontinuïteit te waarborgen. Het opstellen en onderhouden van gedocumenteerde processen en procedures is daarom een investering die zichzelf terugbetaalt, zelfs in kleine en middelgrote ondernemingen.

Het is verstandig om te investeren in goede IT-kerndocumentatie. Dit beschut uw onderneming tegen onvoorziene uitdagingen en verhoogt de operationele efficiëntie. Gedocumenteerde processen en procedures zijn niet alleen cruciaal voor het voldoen aan wettelijke vereisten zoals de AVG, maar vormen ook de basis voor veilige en efficiënte bedrijfsvoering. Door te investeren in heldere IT-documentatie kunt u niet alleen de operationele kosten verlagen en de productiviteit van medewerkers verbeteren, maar ook uw bedrijf positioneren voor duurzame groei en concurrentievoordeel in de moderne digitale economie, door IT-oplossingen beter te benutten of door betere IT-oplossingen te selecteren en te implementeren.

Hieronder wordt het effect op operationele kosten en op productiviteit door goede IT-kerndocumentatie toegelicht.

1. Verlagen van operationele kosten:

   • Efficiëntieverbetering
     Gedocumenteerde processen zorgen ervoor dat taken gestroomlijnd worden uitgevoerd, zonder dubbel werk of onnodige stappen. Dit vermindert verspilling van middelen, zoals tijd en materiaal.
   • Minder fouten en herstelwerk
     Duidelijke documentatie helpt bij het verminderen van fouten en problemen die anders zouden leiden tot extra kosten voor herstel en reparatie.
   • Snellere probleemoplossing
     Goede documentatie maakt het gemakkelijker om problemen snel te identificeren en op te lossen, wat downtime minimaliseert en dus kosten bespaart.
   • Inzicht in kosten
     Gedetailleerde documentatie van de IT-omgeving biedt transparantie en minimaliseert verborgen kosten.

2. Verhogen van productiviteit

   • Snellere onboarding en training
     Nieuwe medewerkers kunnen sneller worden ingewerkt omdat ze toegang hebben tot goed gedocumenteerde procedures en processen.
   • Minder tijd besteed aan zoeken naar informatie
     Werknemers verspillen minder tijd aan het zoeken naar de juiste informatie, omdat alles goed gedocumenteerd en gemakkelijk toegankelijk is.
   • Focus op kernactiviteiten
     Met duidelijke IT-documentatie kunnen medewerkers zich meer richten op hun kerntaken in plaats van tijd te besteden aan het oplossen van IT-gerelateerde problemen.

Kortom, goede IT-documentatie verbetert de efficiëntie van uw bedrijfsprocessen, vermindert operationele kosten door het minimaliseren van fouten en downtime, en verhoogt de productiviteit door snellere onboarding en betere toegang tot informatie. Dit alles draagt bij aan een verbeterde algehele bedrijfsprestatie en concurrentievermogen.

Meer informatie

Neem voor meer informatie contact op met Oké-PC IT. Oké-PC IT is gespecialiseerd in IT-diensten aan het MKB.