Prozesse und AutomationZeige mir wie Du etwas tust……und ich sage Dir wie reif Deine Organisation ist. Eine Organisation, in der Abläufe auf Zuruf gestartet werden und Ergebnisse mit wechselnder Qualität produzieren, kann auf Dauer keinen geschäftlichen Erfolg haben. Sowohl in der Produktion (KanBan) als auch in der IT (ITIL – IT Infrastructure Library) [und CMMI] wurde erkannt, dass die Definition von standardisierten Arbeitsabläufen und Prozeduren zu einer erheblichen Verbesserung der gelieferten Qualität (sowohl Produkte als auch Dienstleistungen), einer Verkürzung der Durchlaufzeiten und einer Erhöhung der Kundenzufriedenheit führen kann. Die intensive Beschäftigung mit den internen Arbeitsabläufen an sich hat oft schon eine deutlich Verbesserung eben dieser Abläufe zur Folge, weil offensichtliches Optimierungspotenzial ausgeschöpft wird. Die oben genannten Prozessmodelle verfügen alle über ein mehr oder weniger ausgeprägtes Verbesserungsmodell, das sich an die Arbeiten von Deming anlehnt. Deming hat mit seinem Plan – Do – Check – Act (PDCA Zyklus) die Grundlagen geschaffen, einmal definierte Abläufe stetig zu hinterfragen und deren Optimierung voranzutreiben. Insbesondere im Fall von ITIL, das den Rahmen für eine komplette Prozessausrichtung in der IT bietet, bringen die Umsetzungen der Maßnahmen an sich schon deutliche Verbesserungen. Am Beispiel der ITIL Komponente „Servicedesk“ kann dies dargestellt werden: an statt im Helpdesk jede Anfrage von Anwendern unkoordiniert und ungefiltert direkt einen (wechselnden) Mitarbeiter erledigen zu lassen, kann der Hilfe suchende Anwender sein Problem in einer Wissensdatenbank nachschlagen und sich ggf. selber helfen. Erst wenn die Suche erfolglos bleibt, wird ein – anhand der Suchanfrage des Anwenders ausgewählter, qualifizierter und informierter – Mitarbeiter mit der Bearbeitung beauftragt. Durch kompetente Ansprache werden Anfragen schneller gelöst, deren Lösung dokumentiert und die Wissensdatenbank ggf. erweitert.
Gemeinsam sind wir starkDie wirklichen Vorteile einer weitläufigen Prozessausrichtung werden erst deutlich, wenn Prozesse ineinander greifen. Im Fall des vorgenannten Beispiels kann der Helpdesk Mitarbeiter keine direkte Lösung für das Problem des Anwenders finden und stellt das definierte Problem in das Problem Management ein. Hier wird zunächst (wieder automatisch) ein qualifizierter Techniker mit der Aufgabe betraut das Problem zu lösen. Gelingt auch dies nicht, wird das bestehende Problem in den Change Management Prozess eingekippt, wo über einen Change Request die Änderung der Applikation beantragt wird, die das Problem für den Anwender verursacht. Alle bis hierhin aufgelaufenen Informationen stehen im Idealfall nun dem Entwickler zur Verfügung, der die Änderung erstellt und über diverse weitere Prozesse die angepasste Anwendung über die Test und Staging Umgebungen in die produktive Umgebung einfließen lässt. Die definierten Prozesse helfen allen Beteiligten, schneller einen qualifizierten Ansprechpartner zu finden und das Problem bei Bedarf zu eskalieren.
Prozesse und SicherheitSicherheit ist ein Prozess! Diese wichtige Aussage bezieht sich auf die dauerhafte Anstrengung, ein Unternehmen so sicher wie möglich zu betreiben ohne die Mitarbeiter durch komplizierte Verfahren unnötig zu belasten. Es bezieht sich jedoch auch auf die Erkenntnis, dass jede implementierte Maßnahme nur ein Schritt ist, um den Vorsprung vor den Angreifern zu halten – oder näher an diese heran zu kommen (- je nachdem ob Sie Optimist oder Pessimist sind). Allgemein bleibt die Erkenntnis, dass Prozesse – seien sie global als Geschäftsprozess oder im Detail als Bestellprozess – einen maßgeblichen Einfluss auf die Risiken und die Sicherheit eines Unternehmens haben. Soll etwa der Vertriebsprozess um den Vertriebskanal eines eigenen Webshops erweitert werden, so täten die Vertriebsleiter und das Marketing gut daran, eine Chance/Risiko Analyse zu fahren und Sicherheitsrisiken (wie dem bekannten Verlust von Kreditkarteninformationen der Käufer) mit entsprechenden Maßnahmen zu begegnen.
Wie kann accessec Sie unterstützen?Die detaillierte Kenntnis der eigenen Geschäftsprozesse und Abläufe ist eine notwendige Voraussetzung für die Erstellung eines Sicherheitskonzeptes. Erst wenn die Prozesse identifiziert, definiert und allgemein akzeptiert zur Anwendung kommen ist es möglich, die mit den Prozessen verbundenen Risiken korrekt zu erfassen und deren mögliche Auswirkung im Schadenfall zu beziffern. Unsere ITIL zertifizierten Ingenieure und Berater suchen gezielt mit Ihnen nach schwach oder gar nicht definierten Arbeitsabläufen, unterstützen Sie bei der Definition der Prozesse und dokumentieren diese. Die Erkenntnisse der Prozessanalyse sind Grundlage für eine folgende Risikoanalyse und die darauf basierende BIA (Business Impact Analysis). accessec startet die Implementierung eines Sicherheitsmanagement Prozesses mit einer grundlegenden Prozessanalyse – lesen Sie mehr hierzu unter dem Punkt „Geschäftsprozesse“. Einige der kritischsten Prozesse behandeln die Einstellung, Versetzung und Entlassung von Mitarbeitern – lesen Sie mehr hierzu unter dem Punkt „Identity Management“. Haben wir Ihr Interesse geweckt? Dann stellen Sie Ihre Anfrage zum Thema Prozessanalyse bitte mit dem Stichwort "Prozesse" an info(at)accessec.com.
|