|  |
IT-Kontrollen - das Geheimnis erfolgreich operierender Unternehmen
Unternehmen müssen heute flexibel und wettbewerbsfähig sein, um in einem Umfeld ständiger Veränderung bestehen zu können. Hierbei sind IT-Investitionen die entscheidende Komponente. Der harte Wettbewerb zwingt Unternehmen dazu, IT Best Practices zu implementieren und ihre Infrastruktur transparenter zu gestalten. Oft betreiben sie zunehmend komplexere Systeme auf einer 24-Stunden-Basis, während sie gleichzeitig die Kosten reduzieren müssen, um im globalen Markt konkurrenzfähig zu bleiben.
(Abb. 1: Vier Schritte in Richtung High Performance>
Führungskräfte achten auf einen effizienten Einsatz von Unternehmens-Ressourcen und müssen daher in der Lage sein, zu erkennen, wie ihre IT zum Wettbewerbsvorteil werden kann.
Um diesen Herausforderungen gewachsen zu sein, muss die IT ihre Ressourcen so effizient wie möglich einsetzen. Doch viele IT-Abteilungen, insbesondere in kleinen Unternehmen, verwenden mehr als die Hälfte ihrer Zeit und Ressourcen für die Behebung unvorhergesehener Probleme. Strategische Aktivitäten bleiben so auf der Strecke. Dies liegt zum großen Teil daran, dass Änderungen nicht ausreichend kontrolliert werden.
SECURITYMANAGER: Warum ist die Kontrolle von Änderungen so kritisch?
JOACHIM BRANDT, Tripwire: Änderungen bergen in Bezug auf Compliance-Vorgaben, Servicequalität und Sicherheit des IT-Systems große Risiken in sich. Um diese zu verringern, müssen die Parameter einer Konfiguration kontrolliert werden. Rund 80 Prozent aller Systemausfälle oder -gefährdungen sind auf interne Ereignisse zurückzuführen. Dabei spielen Änder¬ungen eine zentrale Rolle – ganz gleich, ob sie versehentlich oder mutwillig erfolgen. Interne Bedrohungen sind nicht nur wegen der Beeinträchtigung der IT-Systeme ein ernstes Problem für jedes Unternehmen, sondern erhöhen auch die Gefahr kritischer Verstöße gegen Vorschriften und Richtlinien. Präventive Kontrollen reichen nicht aus, es bedarf auch nachträglicher Kontrollen von Änderungen sowie der Fähigkeit, alle Änderungen rückgängig zu machen, seien sie autorisiert oder nicht.
Informationsmanagement-Verfahren gewinnen in Unternehmen jeder Größe immer mehr an Bedeutung, sodass auch der Bedarf nach Auswertbarkeit und Einhaltung der IT-Richtlinien kontinuierlich steigt. Strenge interne Kontrollmechanismen bestärken Management und Auditoren und liefern ihnen zudem die Beweise dafür, dass ihre Sicherheitsmaßnahmen effektiv sind sowie die Integrität ihrer IT-Systeme gewährleistet ist.
IT Change Management und Betriebsstabilität gehen Hand in Hand. Zuverlässige Geschäftsvorgänge – und letztlich die Geschäftskontinuität – hängen von der Fähigkeit ab, Änderungen wirksam über eine Unternehmensinfrastruktur zu verwalten. Change Management kann wiederum nur stattfinden, wenn IT-Manager in der Lage sind, zu erkennen, wann Änderungen auftreten und ob sie sowohl autorisiert als auch sinnvoll sind. Unbefugte Änderungen sind die Hauptursache für ungeplante Arbeiten, unerwartete Systemausfälle sowie Sicherheits- und Compliance-Probleme.
SECURITYMANAGER. Was sind „ungeplante Arbeiten“ und wie beeinflussen sie ein Unternehmen?
JOACHIM BRANDT: Bei ungeplanter Arbeit handelt es sich um jede Aktivität innerhalb des Unternehmens, die nicht auf ein autorisiertes Projekt, Verfahren oder Änderungsauftrag zurückgeführt werden kann. Jede Unterbrechung des Betriebs, fehlgeschlagene Änderung, Änderung bei einer Notsituation sowie alle Patch- oder Sicherheitsvorfälle schaffen außerplanmäßige Arbeit.
Der Prozentsatz an Zeit, der mit außerplanmäßiger Arbeit verbracht wird, ist ein auffallend genauer Indikator und deutlicher Messwert für IT-Effizienz. Tatsächlich ergaben Studien vom IT Process Institute (ITPI) und Tripwire, dass es eine Gruppe hoch-effizienter IT-Abteilungen gibt, die weniger als fünf Prozent ihrer Zeit mit dringender und ungeplanter Arbeit verbringen. Zudem haben sie ein äußerst hohes Niveau hinsichtlich innerbetrieblicher Abläufe, Compliance und Sicherheit, einschließlich einer guten Beziehung zu ihren Auditoren. Das ITPI ist eine gemeinnützige Organisation und hat sich darauf spezialisiert, die Arbeit von IT-Abteilungen zu untersuchen sowie deren Best Practices zu verbreiten.
SECURITYMANAGER. Was zeichnet eine hoch-effiziente IT-Abteilung aus und wie weiß man, ob das eigene Unternehmen wirklich eine besitzt?
JOACHIM BRANDT. In den letzten Jahren wurde mehrfach der kausale Zusammenhang zwischen elementaren IT-Kontrollen und IT-Effizienz untersucht. Das ITPI, das in diesem Bereich vornehmlich die Forschung durchführt, stellte fest, dass hoch-effiziente IT-Abteilungen 30 bis 40 Prozent weniger Zeit und Ressourcen für ungeplante Arbeiten aufwenden, die Hälfte weniger in Compliance investieren, doppelt so viel Leistung für Ihre Ausgaben im Bereich Sicherheit bekommen und ein vier Mal höheres Server- zu Systemadministrator-Verhältnis aufweisen als durchschnittliche IT-Abteilungen. Der wesentliche Unterschied zwischen IT-Abteilungen mit hoher und mittlerer Performance ist die Fähigkeit, Änderungen effektiv zu verwalten.
Während 93 Prozent der High Performer ihre Systeme hinsichtlich unautorisierter Änderungen überwachen, wird dieser Prozess von nur 21 Prozent der Medium Performer ausgeführt.
Weiterhin setzen die hoch-performanten IT-Abteilungen mit Hilfe dieser Überwachung Änderungskontrollen durch, wobei 83 Prozent von ihnen klare Konsequenzen für unautorisierte Änderungen definieren. Dagegen verfügen lediglich 32 Prozent der Abteilungen mit mittlerer Performance über ähnliche Mechanismen – und ohne passende Tools, um den Änderungsprozess zu überwachen, lassen sich diese Vorschriften kaum durchzusetzen.
Unternehmen mit schwacher Performance wenden mehr als die Hälfte ihrer Zeit und Ressourcen für die Behebung unvorhergesehener Probleme auf. Damit nehmen sie sich selbst sowohl die notwendigen Ressourcen als auch die Fähigkeit, strategisch zu handeln und zu planen.
Während in den meisten Industrien Top-Performer im Durchschnitt zwei bis drei Mal effizienter sind als die übrigen Unternehmen, sind die Top-IT-Abteilungen bis zu fünfzehn Mal besser.
Das ist mehr als nur eine Größenordnung, die den signifikanten Unterschied in der Performance unterstreicht.
SECURITYMANAGER. Wie kann ein Unternehmen besser werden als der Durchschnitt?
JOACHIM BRANDT: Das ITPI hat herausgefunden, dass alle hoch-performanten IT-Abteilungen eines gemeinsam haben: Eine Firmenkultur des Change Managements, die unautorisierte Veränderungen verhindert. Der Schlüssel, um Effizienz und Effektivität gleichzeitig zu steigern, ist zum einen, die Mitarbeiter für ihr Handeln zur Verantwortung zu ziehen und zum anderen Kontrollmechanismen für IT-Änderungen zu implementieren.
Im Wesentlichen konzentrieren sich IT-Abteilungen mit hoher Performance auf die Organisation ihrer Arbeitsabläufe und auf die Frage, wer zu welcher Arbeit befugt ist. Anschließend teilen sie die entsprechende Verantwortung den einzelnen Personen zu. So wird sicher gestellt, dass Änderungen nur im Rahmen der Unternehmens-Policies durchgeführt werden. Das Ergebnis ist, dass High Performer die niedrigsten IT-Ausgaben pro Angestellten haben und mehr als 90 Prozent ihrer Zeit für strategische Projekte aufwenden – und nicht für ungeplante Arbeit.
SECURITYMANAGER. Worauf muss man achten, um sicher sein zu können, dass das IT Change Management effektiv ist?
JOACHIM BRANDT: Die einfachste Art, die Effektivität des Change- Management-Prozesses abzuschätzen, ist, sich die Frage zu stellen, "Was passiert, wenn jemand eine Änderung vornimmt, ohne die richtigen Abläufe einzuhalten?" Auf welchem Weg und in welcher Zeit würden die Verantwortlichen von der unbefugten Änderung erfahren? Gibt es Nachverfolgungsmethoden, um das Management zu informieren? Werden die Personen für ihre Systemänderungen zur Verantwortung gezogen?
Trotz der Vorteile eines effektiven Change Managements und der Notwendigkeit, Änderungen an der Systemkonfiguration zu überwachen, scheitern weiterhin viele Unternehmen in diesem Bereich. Tatsächlich ist die Hälfte aller Mängel beim IT Auditing auf Änderungen zurückzuführen. Dies liegt daran, dass viele IT-Abteilungen die Existenz eines Prozesses mit der Effektivität eines Prozesses verwechseln.
Leider sind viele IT-Abteilungen nicht in der Lage, den Unterschied zwischen einem effektiven und einem ineffektiven Change Management zu erkennen. Dennoch führen erfolgreiche Änderungs-Revisions-Prozesse zu einem effektiven Change Management, welches zum Erfolg des Unternehmens beiträgt.
SECURITYMANAGER. Was genau beinhaltet Configuration Audit & Control und warum ist es notwendig?
JOACHIM BRANDT: Unberechtigte Änderungen sind die Hauptursache für ungeplante Arbeiten, unerwartete Systemausfälle und geschäftliche Risiken. Auditoren fordern daher zunehmend nach Wegen für eine unabhängige und objektive Erkennung und Verifizierung von Änderungen in IT-Landschaften.
Ein vor kurzem von Gartner definiertes Markt- und Produkt-Segment, Configuration Audit & Control, gleicht erkannte Änderungen mit aufgestellten Vorschriften ab und gibt bei unberechtigten Änderungsaktivitäten Warnungen aus. Alle Änderungsaktivitäten – ob autorisiert oder unautorisiert – werden automatisch gemeldet. So sind die IT-Verantwortlichen in der Lage, ihre Kontrollmechanismen lückenlos zu belegen und in den Änderungs-Management-Prozess einzupassen. Mit den Configuration Audit & Control-Lösungen können Sicherheits- und Compliance-Prozesse umgesetzt werden. Dabei wird jeder Versuch, sie zu umgehen, aufgedeckt.
Wenn diese Lösungen mit einem Change-Approval-Prozess kombiniert werden, der nur genehmigte und geprüfte Änderungen zulässt, steigert die Configuration Audit & Control die Verfügbarkeit von Informationssystemen, verbessert die Sicherheit und maximiert das Vertrauen in die IT. Configuration Audit & Control erhöht so die Betriebseffizienz und verringert geschäftliche Risiken.
SECURITYMANAGER. Wie führt Configuration Audit & Control zu einem ROI und gibt es andere, weniger quantifizierbare Vorteile?
JOACHIM BRANDT: Configuration Audit & Control-Lösungen, wie sie von Tripwire angeboten werden, gehen weiter als herkömmliche Werkzeuge für Change- und Konfigurationsmanagement. Sie stellen unabhängige überwachende Kontrollmechanismen bereit und ermöglichen Unternehmen auf diese Weise, geschäftliche Risiken zu verringern und ihre IT-Systeme zu kontrollieren. Darüber hinaus liefern sie die benötigten objektiven Berichte und Übersichten über Änderungen im gesamten Unternehmen. Außerdem kann so die Verfügbarkeit kritischer IT-Infrastrukturen verbessert und der Nachweis für die Einhaltung von Compliance- und Sicherheitsrevisionsanforderung erbracht werden.
Durch die netzwerkweite Überwachung von Änderungen stellt Tripwire die Integrität der IT-Infrastruktur sicher – entsprechend den strengen Informationssicherheitsanforderungen und Verantwortlichkeitsrichtlinien von heute. Die Reduzierung des außer¬planmäßigen Arbeitsaufwands trägt zur Senkung der Kosten bei und verschafft dem Unternehmen einen Wettbewerbsvorteil, da mehr Zeit für geplante und strategische Projekte zur Verfügung steht.
Die IT muss die Änderungen ermöglichen, durch die Unternehmen flexibel und wettbewerbsfähig bleiben. Mit der richtigen Change-Management-Kultur, den entsprechenden Kontrollen und Technologien, wie Tripwire Enterprise, kann sie verhindern, dass Änderungen umgesetzt werden, die Systeme zum Erliegen bringen und Ausfallzeiten verursachen.
SECURITYMANAGER. Wo beginnt man am besten bei der Implementierung von Configuration Audit & Control und effektivem Change Management?
JOACHIM BRANDT: Um sich von "gut" zu "optimal" zu entwickeln, ist der erste Schritt, eine Kultur des Change Managements und eine „Kultur der kausalen Zusammenhänge“ zu etablieren. Dies bedeutet, sich besonders auf die Analyse der Auswirkungen von IT-Änderungen zu fokussieren, sowohl vor als auch nach ihrem Auftreten.
Zu Beginn der Implementierung muss an der Unternehmensspitze das Verständnis vorherrschen, dass unautorisierte Änderungen nicht akzeptabel sind und dass alle Änderungen den Change-Management-Richtlinien folgen müssen. Um diesen grundlegenden Schritt durchzuführen, muss von der Führungsebene hinsichtlich unbefugter Änderungen eine Politik der Null-Toleranz eingeführt und kommuniziert werden. Dies muss klar und konsequent geschehen, mit konkreten Folgen, sollten Prozesse und Richtlinien verletzt werden.
Anschließend folgt idealerweise die Erstellung der schriftlichen Change-Management-Richtlinien, welche die Regeln für eine Change-Management-Kultur festlegen. Es ist wichtig, dass die Policy auch Überprüfungen vorsieht, die nach Eintreten eines Ereignisses stattfinden. So entsteht eine Kultur des Lernens, mit Hilfe derer das Unternehmen die Wahrscheinlichkeit von wiederholten Fehlern schmälert.
Nachdem die Change–Management-Richtlinien und die spezifischen Folgen im Falle ihrer Umgehung definiert wurden, muss im nächsten Schritt der Überblick über alle Änderungen gewährleistet werden – autorisierte wie unautorisierte. Nur so kann die vollständige Kontrolle erreicht werden.
Das Unternehmen sollte in jedem Fall automatisierte Kontrollen einführen, die den Bedarf nach ständiger Überwachung durch Mitarbeiter überflüssig machen. Zum einen wird so das Risiko menschlichen Versagens und zum anderen die Mitarbeiterkosten für die Aufrechterhaltung der Prozesse herabgesetzt.
Mit der richtigen Technologie wird der Prozess unterstützt und für die Mitarbeiter wird es einfacher, das Richtige zu tun. Schließlich sollte noch der Zugang beschränkt werden und den Mitarbeitern die Möglichkeit genommen werden, nebenbei Änderungen vorzunehmen.
Ohne eine Methodik oder Kultur zur Änderungskontrolle werden unautorisierte Änderungen die Unternehmens-IT ruinieren. Werden Änderungen nicht kontrolliert, setzt eine Abwärtsspirale ein, die außerplanmäßige Arbeit, schlechte Servicequalität, überdurchschnittlich hohe Reparaturzeiten und eine geringe Sicherheit fördert sowie die Einhaltung gesetzlicher Bestimmungen verhindert. Durch die Einführung von effektiven Change-Management-Prozessen und der Implementierung einer Kultur der kausalen Zusammenhänge“ kann jedes Unternehmen beginnen, eine effektive, hoch-performante IT-Organisation zu schaffen. Diese wird wesentlich zum Unternehmenserfolg beitragen.
Interviewpartner: Joachim Brandt
Joachim Brandt ist Sales Manager für Zentraleuropa bei Tripwire. In dieser Position verantwortet er sämtliche Vertriebsaktivitäten in Deutschland, Österreich und der Schweiz. Joachim Brandt bringt über 22 Jahre Erfahrung im Vertrieb in der IT-Industrie mit.
Joachim Brandt – zuletzt bei Serena – bekleidete in seiner Laufbahn bereits eine Reihe von Management- und Vertriebspositionen bei namenhaften Firmen wie CompuNet, Computer Associates, Kintana und Nixdorf. Seine Stärken liegen im Auf- und Ausbau zentraleuropäischer Niederlassungen internationaler IT Unternehmen. Zu den Aufgaben von Joachim Brandt bei Tripwire gehören der Ausbau strategischer Partnerschaften sowie der Aufbau des Direktvertriebs.
Wie operieren High Performers
Das IT Process Institute (ITPI) führte die „IT Controls Benchmarking Survey“ durch, um Beweise für die Effektivität und die Relevanz von IT-Kontroll-Aktivitäten zu ermitteln und diese für die erfolgreiche Einführung von ITIL „Best Practices“ und COBIT Kontroll-Aktivitäten zu verwenden. ITPI ist eine gemeinnützige Organisation, die in der IT Revisions-, Sicherheits- und Betriebsfachleute unterstützt.
An der Studie nahmen Freiwillige in rund 100 IT-Unternehmen teil. Die Befragten wurden zu ihrem Gebrauch von 25 „Key-Performance“-Parametern und 63 IT-Kontroll-Aktivitäten befragt, um Korrelationen zwischen IT-Kontrollen und Performance zu identifizieren. Die Antworten wurden in Bezug auf die Korrelation von Kontrolle zu Leistungsparametern, Identifikation der Grundlagen-Kontrollen und Analyse von Top-Performern ausgewertet.
Die Ergebnisse der Studie zeigten große Unterschiede zwischen High und Low Performern beim Einsatz ihre Change-Management-Mechanismen. Die fünf wichtigsten Aktivitäten, die diese Gruppen unterscheiden, beinhalten:
1. Überwachungssysteme für nicht-autorisierte Änderungen
2. Definition von Folgen bei unbefugten Änderungen
3. Formalisierung eines Prozesses für die Konfigurationsverwaltung
4. Verwendung eines automatisierten Prozesses für die Konfigurationsverwaltung
5. Tracking von Erfolgsraten bei Änderungen
Eine kostenlose Kopie von "IT Process Institute: IT Controls Benchmark Survey Key Findings" ist erhältlich unter: http://www.tripwire.com/europe/getcontrol
05/2007, Redaktion
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Die E-Mail ist heute aus der Geschäftswelt nicht mehr wegzudenken. Doch wie sieht es mit Instant Messaging (IM) aus - technische Spielerei oder ernstzunehmendes Business-Tool? Gartner schätzt, dass sich Technologien wie Instant Messaging, Podcast ... | |  | | 5. Teil der Artikelserie „IT-Sicherheitsaudits“: Beim Aufbau eines IT-Sicherheitsmanagements, einer IT-Sicherheitsorganisation und der Erstellung eines IT-Sicherheitskonzepts gibt es eine Reihe von Standards, die hierfür als Grundlage herangezogen ... | |  | | 4. Teil der Artikelserie „IT-Sicherheitsaudits“: Ziele einer White-Box Analyse sind in der Regel die Überprüfung der Sicherheits-architekturen und –infrastrukturen, das Aufdecken von Schwachstellen mit technischem oder organisatorischen Bezug, sowie ... | |  | | Durch den zunehmenden Einsatz von Industrial Ethernet und Internet Protocol sind Produktionsumgebungen mittlerweile den gleichen Gefahren ausgesetzt wie Büronetzwerke. Allerdings greifen hier die aus der Office-Welt bekannten Security-Konzepte nicht ... | |  | | 3. Teil der Artikelserie „IT-Sicherheitsaudits“: In diesem Artikel unserer Serie werden detailliert die verschiedenen Schritte einer Black-Box Analyse beleuchtet. Wichtig ist in allen Projektphasen eine reproduzierbare Protokollierung der einzelnen ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
