Bedrohungen effizient begegnen
CIOs müssen Notfallpläne laufend anpassen
von
David
Hauer
Christoph
Moser - 25.08.2017
Foto: Rawpixel / shutterstock.com
Der schnelle Wandel in der IT-Architektur stellt eine besondere Herausforderung dar. Sicherheitskonzepte müssen kontinuierlich aktualisiert und angepasst werden.
Dieser Artikel wurde verfasst von David Hauer, Senior Consultant bei BOC Österreich für Unternehmensarchitekturmanagement, und Christoph Moser, Produktmanager für das Unternehmensarchitekturmanagement- und ITSM-Tool ADOIT.
Die digitale Revolution hat alle Branchen erfasst. Mega-Trends wie Big Data, Industrie 4.0 oder mobiles Internet verändern das Geschäftsumfeld rasant. Die Anpassung der Geschäftsmodelle – sei es durch die Digitalisierung von Produkten, die Erschließung neuer Kundenkanäle oder die Automatisierung der Prozesse – erfordert zuverlässige IT-Services. In diesem Zusammenhang gewinnen Szenarien wie Risk Management, Security Management und Business Continuity Management (BCM) noch mehr an Bedeutung. Vereinfacht gesagt gilt es, Bedrohungen im Zusammenhang mit den neuen Geschäftsmodellen zu identifizieren und ihnen effizient zu begegnen.
Nachhaltigkeit durch Integration
Es gilt aber nicht nur, geeignete Kontinuitätspläne zu entwickeln, sondern diese auch laufend zu aktualisieren und zu testen. Die Einbettung in einen geeigneten Managementkreislauf stellt sicher, dass Notfallpläne kontinuierlich aktuell gehalten und kommuniziert werden. BCM versteht sich dabei nicht als eigene Disziplin, sondern als Teil der strategischen, taktischen und operativen Transformationsprozesse. Dadurch können Zeit, Geld und Ressourcen gespart werden.
Die internationale Norm ISO 22301 ist einer der Standards, die die Anforderungen an ein solches Managementsystem spezifizieren. Weitere Hilfen finden sich in der ISO-27000-Normenreihe. Business Continuity und Notfallplanung sind immanenter Bestandteil der IT-Services. Prominente Frameworks und Standards, etwa TOGAF für Enterprise Architecture Management, ITIL für IT Service Management und COBIT für IT Governance, schenken dem Thema viel Beachtung.
Um BCM-relevante Risiken besser einschätzen zu können, muss unter anderem klar sein, in welchen Unternehmensprozessen IT-Services genutzt werden und wie kritisch diese für das operative Geschäft sind. Diese Einschätzung muss gemeinsam mit den Risikoexperten, den Fachbereichen und letztlich durch die Unternehmensführung erfolgen. Ist die Bedeutung der IT-Services erst einmal bekannt, können die Kritikalitätseinschätzungen auf die Anwendungslandschaft übertragen werden, wobei Anwendungen, deren Schnittstellen untereinander und die zugrundeliegenden IT-Infrastrukturen genauer analysiert werden müssen. Große Wichtigkeit kommt dabei auch den Geschäftsobjekten zu – den wesentlichen Datenelementen, die in der IT-Landschaft bearbeitet werden.