«Over halvparten av bedriftene angrer på IT-kjøp», skrev Digi.no i sommer, og jeg må innrømme at jeg som representant for et av Nordens største IT-selskap får en dårlig smak i munnen når jeg ser denne overskriften.
Videre står det: «I en undersøkelse gjennomført av analyseselskapet Gartner kommer det frem at 56 prosent av selskapene angrer på store IT-innkjøp».
Er det like ille i Norge?
Det første som slår meg, er at undersøkelsen ikke er lokal og ikke tar med seg Norden. Men er vi bedre her? Her hvor Ola Nordmann naivt stoler på hverandre? Jeg tror det er like mange frustrerte IT-avdelinger og styrerom som sitter og lurer på hvorfor lovet løsning ikke er som forventet. Implementeringen går for sakte, eller man sliter med å finne intern eller ekstern kompetanse, ofte er det begge deler.
Å kjøpe IT er ikke bare-bare
Kompleksiteten og behovet for IT- og prosjektkompetanse øker drastisk når vi beveger oss over til programvare og tjenester.
Det er sannsynligvis dette Gartner-undersøkelsen viser til. Her i Norge ser vi stor forskjell på kundetilfredsheten i de prosjektene der handelen begynner med en avdekkende modenhetsanalyse i forkant av innkjøpene. En modenhetsanalyse er en kartlegging av hva man har, hva man ønsker og hvordan man kommer dit. Dette er spesielt viktig når det gjelder IT-sikkerhet.
Jeg anbefaler at man tør utfordre og stille krav. Det er vesentlig at produktet eller tjenesten gir verdi i form av å redusere risikoen. Derfor er det selvfølgelig viktig at man gjør forarbeidet.
Hvordan virker dette sammen?
Når det kommer til innkjøp av IT-sikkerhet, enten det er programvare eller tjenester, er bildet langt mer komplekst enn for eksempel bilbransjens krav til nybilgarantien og myndighetenes EU-kontroll. Når man kjøper en bil i dag, kan man få fem til åtte års garanti med på kjøpet. Bilindustrien har alltid funnet frem til gode løsninger som faller i god smak hos kundene. Men det er ikke slik at man får garantiene uten at man selv påtar seg noen forpliktelser, som å følge serviceintervallene.
For IT er det mer «lovløse tilstander», og i utgangspunktet kan hvem som helst kjøpe eller selge hva som helst uten like tydelige krav til eget ansvar for service og vedlikehold. Man kan faktisk la være å gjøre noe som helst, og enhetene vil kunne fungere lenge etter det vi i bransjen kaller «end of life», som er når produsenten av programvaren slutter å lage oppdateringer.
En appell til alle
Vi i IT-bransjen må også bli flinkere rådgivere i leveranseprosessen. Vi må gjøre grundig forarbeid og utføre modenhetsanalyser. Ja, dette medfører som regel en liten ekstrakostnad og kan ta litt lenger tid i startfasen, men leveransekvaliteten øker. Du henter inn tidsbruken i bedre planlagt implementering, og kundetilfredsheten skyter i været.
I tillegg ivaretar vi ofte sikkerheten i anskaffelsen på en mye bedre måte. Eksempelvis vet vi alle at gammelt IT-utstyr kan være en utfordring når det kommer til både funksjonalitet og ikke minst sikkerhetsaspektet. Det er ofte her det går opp et lys for ledelsen om uhellet skulle være ute og uvedkommende kommer seg inn i systemet. Det er nemlig øverste leder og styret som har ansvaret for at IT-sikkerheten i virksomheten er ivaretatt.
Gjøre det selv eller benytte eksperter?
Jeg har aldri hørt om noen som ikke stoler på ingeniørene hos bilfabrikantene og derfor velger å bygge all sikkerheten i bilen sin selv. Slik er det også når det kommer til IT-sikkerhet. Dette er komplekst, og du trenger et stort team med eksperter i eget hus for å ivareta oppdateringer, overvåking, analyse og respons når virksomheten har glemt en dør på gløtt og blir «hacket».
I situasjoner der man har mistanke eller opplever at man er kompromittert og har behov for spesialkompetanse, bør man kjøpe tjenestene fra eksperter. Myndighetene anerkjenner mangelen på IT-sikkerhetsressurser i Norge. De har flere ganger uttalt at virksomheter uten nok interne ressurser bør samarbeide med bedrifter som har spesialisert seg på IT-sikkerhetstjenester.
Stalltips til norske myndigheter
Jeg mener vi kan lære noe av britene. I Storbritannia har man innført Cyber Security Essential-sertifiseringer. Dette ville gjort det lettere både å vite hvem som har ting på stell og hvilke områder man burde ta tak i selv. Inntil dette er på plass anbefaler jeg å begynne alle investeringer med å utføre en modenhetsanalyse.
Digitalisering: Mer styring fra toppen er feil svar