IT-Management sorgt für sichere und effiziente Geschäftsprozesse IT-Governance: Mehr als Risikomanagement und Compliance

Autor / Redakteur: Dr. Andreas Bergler / Dr. Andreas Bergler

Hardware, Software und Services nehmen für IT-Governance eine Schlüsselrolle ein. Wenn es mit ihrer Hilfe gelingt, komplexe Geschäftsprozesse in den Griff zu bekommen, profitiert das Unternehmen durch mehr Leistung, höhere Qualität sowie geringere Kosten und Risiken.

Firmen zum Thema

Governance, Risk & Complinace (GRC) verbindet die IT-Infrastruktur mit sicheren Geschäftsprozessen.
Governance, Risk & Complinace (GRC) verbindet die IT-Infrastruktur mit sicheren Geschäftsprozessen.
(© MacX - Fotolia.com)

Die Bedeutung von IT-Governance, Risikomanagement und Compliance wächst. „Eine gute IT-Governance fokussiert die Kontrolle“, stellt Tina Nunno, Vice President Analyst bei Gartner, heraus. „Unternehmen mit einer guten IT-Governance und entsprechenden Kontrollen können den Wertbeitrag der IT um bis zu 20 Prozent steigern.“

Ein professionelles IT-Management ist das adäquate Mittel für die Umsetzung eines funktionsorientierten Modells, um mehr Transparenz, Kontrolle, Sicherheit und Wirtschaftlichkeit in die IT-Infrastruktur zu bringen. Gleichzeitig legt das Unternehmen damit die Basis für IT-Risikomanagement und IT-Compliance, indem es für beide Disziplinen wertvolle Informationen beisteuern kann.

Mangel mit Folgen

Noch haben die meisten Unternehmen nicht die notwendigen technischen Weichenstellungen getroffen, um über das IT-Management die Kontrolle bis ins Geschäft hinein auszudehnen. Das hat für Unternehmen gravierende Folgen. Allen voran lassen sich die tatsächlichen IT-Kosten nicht beziffern. Darum können diese auch nicht den Verursachern zugewiesen werden, um sie zu einem sorgsameren Bezug von IT-Leistungen anzuregen.

Aber auch die Risiken, die die IT-Infrastruktur und ihr Betrieb in sich bergen, bleiben für die Entscheider im Dunkeln. Das gilt auch für die negativen Auswirkungen auf das Geschäft. Werthaltige Informationen für IT-Risikomanagement und IT-Compliance stehen dann nicht zur Verfügung – für die betroffenen Unternehmen eine ausgesprochen widrige Ausgangssituation.

Ohne hinreichende Risikominimierung und nachweisliche Regelkonformität leidet das Geschäft, drohen Strafzahlungen und Imageverluste. Investitionsentscheidungen werden mangels Kontrolle und fundierter Daten aus dem Bauch getroffen.

Startvoraussetzungen

Dabei sind die Voraussetzungen für die Unternehmen gut, ein zeitgemäßes IT-Management zu errichten und parallel die Weichen für IT-Governance zu stellen, meint Joachim Hörnle, Geschäftsführer der Blue Elephant Systems. Das IT-Managementsystem müsse dazu, wie die MIDAS-Produktfamilie seines Unternehmens, umfassend und modular aufgebaut sein und alle notwendigen Funktionen vorhalten, schon um der hohen Komplexität, Dynamik und den Sicherheitsanforderungen innerhalb der IT Herr zu werden.

Wichtig sei zudem eine serviceorientierte Ausrichtung. Sie begünstigt und vereinfacht das Design der Überwachung und Steuerung, die Entwicklung der Instrumentierung und schließlich den produktiven Einsatz der Überwachungs- und Steuerungswerkzeuge.

Für einen wirtschaftlichen Lösungszuschnitt und eine schnelle Amortisierung empfiehlt es sich laut Hörnle, vorerst nur die IT-Komponenten mit tragendem Charakter in die Überwachung und Steuerung einzubeziehen. Dies sind auch die Komponenten, die für IT-Risikomanagement und IT-Compliance und alle damit verbundenen Kontrollen wichtige Informationen liefern.

Sie sollten in eine gesonderte Datenbank einfließen. Damit diese Datenbasis für Aufbereitungen, zur Weiterverarbeitung, für Analysen und zu Dokumentationszwecken stets aktuell und komplett ist, sollte das IT-Managementsystem mitspielen. Es muss, unabhängig von der Art und dem Hersteller der IT-Komponenten, die unterschiedlichen Datenquellen integrieren und die verschiedenen Datenformate verarbeiten können.

Auswahlkriterien für den IT-Entscheider

Entscheider haben bei der Auswahl des IT-Managementsystems auf zahlreiche Faktoren zu achten, damit es einer IT-Governance optimal zuarbeitet. Die Bedieneroberfläche sollte aufgrund der Komplexität der Materie so einfach und übersichtlich wie möglich gestaltet sein. Alle wichtigen Server müssen, unabhängig von ihrer Provenienz, in die Überwachung und Steuerung integrierbar sein.

Weil sich Konstellationen und Konfigurationen innerhalb der IT-Infrastruktur immer wieder ändern können, müssen Funktionen bereitstehen, die die Administration vereinfachen und beschleunigen. Das Kopieren und Einfügen von Konfigurationen auf Servern und Nodes beispielsweise sollte rationell von der Hand gehen.

Konfigurationen sollten in Pakete zusammenfassbar und auf unterschiedliche Server verteilbar sein. Ein gutes Release-Management unterstützt darin, zentral Konfigurationspakete zu administrieren und Änderungen in der Infrastruktur ad hoc und jederzeit nachvollziehbar durchzuführen.

Bei großen IT-Installationen dürfen Massenoperationen nicht fehlen, um mehrere Dateien für schnelle Konfigurationsänderungen gleichzeitig ansprechen und ändern zu können. Unverzichtbar für schnelle und gezielte Konfigurationen von zentraler Stelle ist, dass sämtliche Konfigurationsdaten im direkten Zugriff stehen und an der Konsole herstellerneutral dargestellt werden. Ein Zugriff über die Browser-Oberfläche versteht sich von selbst.

Qualitätsmanagement

Diagnosewerkzeuge, sofern an Bord des Managementsystems, decken Fehler innerhalb bestehender Konfigurationen auf. Funktionen wie zum Beispiel „Excel2 Policy“ machen Konfigurationsregeln als Excel-Dateien exportierbar, um diese auf einfache Art und Weise zu editieren und anschließend zu re-importieren. Wird die Versionierung von Konfigurationen unterstützt, können bestimmte Konfigurationen losgelöst vom Normalbetrieb ausgeführt werden, beispielsweise für Software-Entwicklungen, Tests und Wartung.

Durch grundlegende Funktionen zum Qualitätsmanagement können Konfigurationen optimiert werden. Das trägt zu einer betriebssicheren Infrastruktur bei. Ein kombiniertes Benutzermodell und Berechtigungskonzept sorgt dafür, dass Administrationsaufgaben sicher und wirtschaftlich an andere Administratoren delegiert werden können, ohne die Kontrolle darüber zu verlieren.

Richtige Vorbereitung auf Governance

Zur Automatisierung von Routinetätigeiten sind leistungsfähige Programmierschnittstellen erforderlich. Administrative Tätigkeiten können nur prozessorientiert ausgerichtet werden, wenn das System dafür die entsprechenden Funktionen vorhält.

Um eine weitgehende Automatisierung zu realisieren, muss ein entsprechendes Modul im Rückgriff stehen. So können Prozesse zur Erfassung, Aufbereitung, Verarbeitung und Analyse von Informationen harmonisiert und automatisiert werden. Nicht nur mit Blick auf IT-Governance sollten Entscheider darauf Wert legen, dass IT-Strukturen als Servicebäume erstellt, bearbeitet und exportiert werden können.

Das eröffnet nicht nur die Möglichkeit für Massenoperationen, sondern auch für schnelle Recherchen in komplexen Infrastrukturen. Eine auditkonforme Dokumentation ist der Schlüssel zu gut nachvollziehbaren Konfigurationen und IT-Abläufen.

Für aussagekräftige Berichte, für Auswertungen und Verbesserungen, muss das Unternehmen auf leistungsfähige Analyse-Tools bauen können. Sie sollten für eine schnelle Problembehebung die eingehenden Meldungen auf die wichtigsten verdichten und sie an der Konsole den Konfigurationen und Operationen zuordnen.

Fazit

Nur entlang der Geschäftsprozesse können die IT-Risiken und IT-Compliance-Anforderungen erkannt, in Beziehung gesetzt, bemessen und beurteilt werden. Und: Angelehnt an den Geschäftsprozessen kann auch die IT-Infrastruktur von der Warte der Wirtschaftlichkeit und Risikominimierung betrachtet und bewertet werden.

Mit diesem Wissen lassen sich kostenintensive oder risikobehaftete IT-Komponenten und -Prozesse gezielt durch geeignetere ersetzen.

(ID:39282910)