cappelmann.de
cappelmann.de

Organisationsberatung

Organisationsfragen am Beispiel IT Sicherheit: Top-Down

IT Security Technologien setzen Sicherheit durch – so weit, so gut:

 

  • Doch wer legt das Regelwerk fest, an dem die technische Policy dann vom Systembetreuer ausgerichtet wird?
  • Welche Design-Grundsätze sollen im Betrieb gelten?
  • Wie kann deren Einhaltung dann fortlaufend überprüft werden?

 

IT-Sicherheit sollte transparent, auditierbar und innerhalb definierter Regeln betrieben werden. Hier hilft das KnowHow eines zertifizierten IT-Systemspezialisten, gepaart mit dem Prozess-KnowHow aus den Lehren der Wirtschaftswissenschaften. Die branchenüblichen Regelwerke (z.B. ITIL) liefern keine Kopiervorlage für effiziente Organisationen! Axiom: die IT Organisation sollte sich endlich wieder an der klassischen Organisationslehre orientieren. Die vielzitierte "IT-Firma in der Firma" führt oft zu Schwierigkeiten im Controlling und zu fehlender Transparenz. So versteht heute kaum noch ein Vorstand, welche Ziele die IT Organisation strategisch und operativ verfolgt. IT wird wie eine Linie geführt - aber oft als Stabsstelle begriffen. Dabei sollte IT eigentlich zum Business-Treiber und strategischem Wettbewerbsvorteil führen, was nur mit enger Einbindung der Geschäftsleitung und Verantwortlicher aller Hauptprozesse gelingen kann.

Die fehlende Transparenz wird mindestens in jährlichen Budgetverhandlungen deutlich. Aus den notwendigen IT Security Maßnahmen ist heute eine Hard- und Softwarewareschlacht erwachsen, die hohe laufende Betriebskosten und teure Spezialisten erfordert. Oft genug wird IT Sicherheit dabei noch losgelöst vom betrieblichen Risikomanagement geplant, da die zuständigen Controller die EDV Fachabteilungen schlicht gar nicht mehr verstehen. Die Einbringung der IT Belange in die Business-Strategie steht ebenfalls oft noch aus.

 

Security kann nur interdisziplinär gestaltet werden. Business-Belange verzahnen eng mit Prozessgestaltung und Technologiestrategien innerhalb der IT Organisation. Externe Regelwerke, Branchenstandards und Unternehmens-Strategie liefern wertvolle Input-Größen. Entscheidend für das Gelingen einer gesteuerten und nachhaltigen Sicherheits-Strategie bleibt jedoch immer das Verständnis aller beteiligten Stellen für gemeinsame Ziele. Externe Beratung & Moderation ist in diesem Spannungsfeld fast zwingend notwendig - ausnahmslos legitimiert und beauftragt aus der Geschäftsführung.

Prozessgestaltung in operativen Ebenen: Bottom - Up

Auch IT - Systemspezialisten verlangen organisatorische Vorgaben:

 

  • Kompetenzen in der Normal-Organsation müssen klar geregelt sein
  • Notfall-Organisation mit außergewöhnlichen Handlungsspielräumen
  • robuste Mandate, immer mit Raum für neue Lösungen

 

Systemspezialisten legen die Security Policy oft eigenverantwortlich fest. Denn nur die Spezialisten durchblicken heute noch Technik und notwendige Workflows. Gleichzeitig vermissen jedoch Entscheider und IT-Manager die geforderte Transparenz!

Gut definierte Prozesse lösen Macht- und KnowHow-Silos auf, die insbesondere in Sicherheitsfragen keine Rolle spielen dürfen. Mit dem erklärten Ziel des transparenten IT Security Betriebes wird i.d.R. ein revisionierbares Operating eingeführt, simple Genehmigungsverfahren etabliert und IT Prozesse in betriebliche Managementprozesse eingebettet. Die Security Policy eines Unternehmens sollte zunächst allgemeingültig und "untechnisch" existieren - nur so ist diese konsensfähig. Oft genug muss dann auch keine Lösung für IT völlig neu erarbeitet werden - sondern längst bestehende Verfahren finden  weitere Anwendungsbereiche in dem nur scheinbar so komplexen IT-Kosmos.

 

spezielle Beratungsleistungen:

  • IT Security Policy
  • Kennzahlensysteme | KPI | Balanced Scorecards
  • Verankerung von Notfall-Organisationen & Plänen
  • Balance-Analyse: Technogien & Betriebsaufwand
  • Interims IT-Management, Service Transition

 

Druckversion Druckversion | Sitemap
© cappelmann.de

Dipl.Ing (FH), MBA

Tim Cappelmann

EDV Sachverständiger

Strategieberatung

Prozessanalysen

Gutachtenerstellung

Mediation & Schlichtung

People Directory