Anti-Shadow-IT – „Business-Support durch ICT + best out of all clouds“

Holzbau-Schweiz-ICT-ServicesManagement-HybridCloud-04_hbch_201604

Publizierter Artikel bei http://www.holzbau-schweiz.ch WirHolzbauer

Holzbau-Schweiz-ICT-ServicesManagement-HybridCloud-04_hbch_201604_IT

Holzbau-Schweiz-ICT-ServicesManagement-HybridCloud-04_hbch_201604_IT (004)

 

Advertisements

Privacy, Security, Anonymity, Infoethik > all about your Safety? or not?

image.observing

Meine persönliche Meinung und teilweise auch Teil-Resignation:

Es gibt wahrscheinlich kein Themenbereich (z.B. Safety, Security, Privacy, Anonymity) in welchem die Diskussion und Fachmeinungen so unterschiedlicher nicht sein könnten …

Erschwerend kommt dazu, dass es hier dann gleichzeitig auch noch um Grundsätze / Aspekte der Gesellschaft, Ethik und Grundsatz-Rechte geht.

Wenn man hier dann noch diese Aspekte sogar noch «digitalisiert» (Digital-Gesellschaft, Informations-Ethik…) unter der unaufhörlichen Transformation in die voll-digitalisierte Gesellschaft wird es nicht einfacher a) eine persönliche, b) eine technisch fachliche und c) eine gesellschaftlich mitverantwortende Stellung zu beziehen und mit aller Konsequenz zu vertreten

Auch ich habe eine Art «Mission» … in meinem Falle ist mein Credo «share to evolve» … und hier beginnt schon ein Universum zu erwachsen an Widersprüchen… und dann eben auch mitunter (Teil)Resignationen in z.B. auch der digitalen Ignoranz… obwohl ich KONSEQUENT und IMMER ASAP (wenn ich eine Innovation als adaptionsfähig erachte für mich oder auch mein Umfeld / Kunden) sämtlich mir verfügbaren technologischen Features nutze wie z.B. Emailsignierung, Emailverschlüsselung, Multifactor Authentication MFA, PGP, TrueCrypt, Festplattenverschlüsselung, OS-Verschlüsselung, Datenverschlüsselung, BIOS-Security, TPM, Festplatten-Sperre etc.

Wie wahrscheinlich alle von unseren Fachexperten-Gruppen-Teilnehmern teile ich Wissen und Erfahrungen mit Gleichgesinnten, Kunden, Coachees, Sparringpartnern, Zuhörer, Leser, Interessierten und erkenne hier eine gewisse zwingende technische und persönliche Offenheit / Hinwegsetzung hinweg über alle Grenzen der oben genannten Aspekte…

Wie können wir als Experten erwarten, dass auch jene Experten mit auch teilweise bekannten, gefährlichen Halbwissen (geschweige den Standard-Informations-Workers…) sich konsequent an einzelne, technisch nutzbare Basis-Hilfsmittel oder Basis-Regeln halten …

Wenn ….

  • Der Plattform-Kapitalismus und globale Allianzen von z.B. Google, Amazon, Microsoft, Alibaba so einladend / vermeintlich kostenlos ist und täglich unteranderem mit der persönlichen Privacy bezahlt wird … und dann die bereits bezahlte Rechnung mit der Privacy dann auch noch weitergereicht wird an den Meistbietenden für z.B. Advertising, Adressenvermarktung, Nutzerverhalten, Predicted Computing etc.
  • Das offiziell, deklariert letzte Windows 10 / Office (als ein Beispiel von vielen „Mainstream“-Produkten) dann metamorphiert zu einem ongoing «Windows / Office as a service» und dann wiederum alles sieht, erkennt, sammelt, aktualisiert, updated und vorhersagt – und eben die Meisten das ja sogar wollen bzw. in deren Convenience das als nützlich betrachten und die daraus provozierten, SEHR GROSSEN Themen der Privacy, Security, Safety, Anonymity dann mitunter auch naiv missachten oder vergessen.
  • Cloud-Dienste wie Google, Amazon, Microsoft, Office-Suites bzw. grundsätzlich alle Cloud-Services von jedem Benutzer überall, geräte- und standort-unabhängig und ohne (Medien)Unter-Bruch seamless genutzt werden wollen… mit entsprechenden laufenden Data- / Analytic-Streams quer über das ganze Internet-Universum und über alle System- und Geografie-Grenzen hinweg
  • Die Digitalisierung und digitale Gesellschaft ihren Tribut fordert und die (R)Evolution und Innovation unaufhörlich uns alle zu letztlich freiwillige oder unfreiwillige Bewohner macht von «smart cities» mit einer lückenlosen Überwachung und schwindelerregenden Sensoren-Dichte … zu weit? Dann lasst uns doch mal ansonsten all die anderen «smart citizens» betrachten mit all ihren uneingeschränkt akzeptierten «wearables», «activity trackers» und «smartphones» zulasten derer Privacy (je nach technischer und persönlicher (Fein)Einstellung…)
  • Es wird künftig weitere Zweiklassen-Gesellschafts-Formen geben: die voll-digitalisierten Digital-Natives mit Big Data Wissen (technokratische Elite ? mit aber niedriger Selbstkontrolle der persönlichen Daten) und die teil-offline-rückgeführten Abwender (mit bewusst höherer Selbstkontrolle der persönlichen Daten) – mit dann aus Sicht des Big Data als unberechenbares, da nicht erfasstes Risiko deklariert (?!)
  • wie erreichen wir dann diese beiden Extreme in welcher Form ??? …Ich erzähle hier ja nicht viel Neues… aber nur schon der viel interne Diskurs bei Fachexperten-Gruppen und «Meinungsgrätschen» vor jeglichem Kontakt mit der Aussenwelt / Bildungspyramide / Kunde sagt mir persönlich schon einiges aus zum Punkt der (Teil)Resignation der digitalen Ignoranz…
  • und ja: ich (hoffentlich wir alle) kämpfen unermüdlich dagegen an und wollen nicht resignieren… und wir wollen auch unsere Zuhörer / Nachahmer nicht vergraulen und nicht verlieren… aber wir tun gut hier allenfalls genau darum auch andere Wege und Kompromisse zu finden – und wenn es nur kleine Schritte oder Phasen sind.
  • «I have nothing to hide, so who worry? Or so many people think. If you are so sure, then please email me (unencrypted…) all your usernames and passwords for all your email and social media accounts … i didn’t think so»
  • Privacy and anonymity are not the same thing… genau darum sind alle so verunsichert und wir müssen ihnen helfen aber zuerst uns selber einig werden / Beschlussfassung finden und halt mal auch über den Schatten springen unserer eigenen vermeintlichen Missionen… und dann halt mit ersten stufengerechten auch GANZ EINFACHEN Teil-Schritten beginnen wie eben z.B. Internet-Nutzungs-Regeln, die gute alte „Netiquette“, Kennwortsicherheit, Email-Signierung, electronicID und dann auch Email-Verschlüsselung / Aufklärung zu den verschiedenen Formen der Cloud-Services etc.

Evolving from system management to services management with „best out of all clouds“

itsm-landing-pg_shutterstock_106100270

„Erst wenn „Licht“ (Cloud) in die jahrelang dynamisch / meist heterogene gewachsene <Schatten-Informatik> (Shadow IT) gelangt kann die künftig nötige befreiende Transparenz / automatisierte Hoch-Standardisierung entstehen als Basis für neue Geschäftsmodelle.
Jahrzehntelang mussten mangels echter Alternativen die Business-Prozess-/Anforderungen abgebildet werden mit lokalen ICT-Support-Prozessen und auch bis dato funktionierenden und stets als robustes „Rückgrat“ fungierenden „best practices“ basierten System-Management-Umgebungen.
Viele Hypes und Trends in Bereichen wie „bring your own devices (byod)“, „new economy“, „app economy“ und der stetig (längs überfälligen…) aufholenden Industriealisierung in der ICT veränderten auch die seitens Mitarbeiter und Führungsebene angewachsenen Bedürfnisse im „Fokus des Nutzens versus Technologie“

ICT in den Führungsgremien – Innovation und Marketing in der ICT
Als eine weitere „disruptive“ Entwicklung im fortwährenden Kampf der Diversifizierung im Mitbewerber-Markt war die Umkehr der Kräfteverhältnisse. Früher war die Basis von neuen halbwegs durchgängigen und umsetzbaren Prozesse und Produktion mit-gelegt worden seitens der damals zur Verfügung stehenden ICT-Lösungen. Seit längerer Zeit müssen sich geradezu umgekehrt die ICT-Support-Prozesse richten an den Anforderungen des dynamischen Marktumfeldes (z.B. time to market) und adaptierbaren Innovationen. Diese Paradigmawechsel hatte (zum Glück…) auch die Folge, dass ICT-KnowHow gefragt war in der Führungsebene für auch Themen wie Compliance, Mobility, Risk.

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/09/26/ceo-cfo-cmo-gegen-oder-mit-cio-hauptsache-business-prozess-support-durch-ict/

(R)Evolution auch im ICT-KnowHow
Dieses ICT-KnowHow in der Führungsebene hat sich mittlerweile innert kurzer Zeit (und auch angetrieben durch die massivst laufend (r)evolutionierten Public Cloud Services) ebenfalls bereits wieder verändert vom ursprünglich gegebenen eher technischen ICT-KnowHow zum nun eher services- und nutzungs-orientierten Prozess-KnowHow.
Im Fokus stehen zunehmend die Nutzungs-Aspekte, Anwender und letztlich die Kunden und entsprechend änderten sich die gesuchten Qualitäten von reinen Spezialisten zu Generalisten mit auch „nicht-technischen“ Kenntnissen.

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/11/15/the-always-online-knowledge-worker-supported-by-board-big-data-and-iot/

Take back control and then evolve … – hervor unter dem Pult und dann offen für die Welt
Die vielen „unter den Pulten“ gewachsenen und auch gelagerten (…) ICT-Systeme sind in vielen Fällen selbstverständlich erweiterbar und kombinierbar mit/als Hybrid-Cloud-Services. Mittlerweile sich stark veränderte Marktbedürfnisse, „time to market“-Aspekte und auch die oben beschriebenen Anforderungen der Führung / Firmeninhaber / Aktionären machen es nicht einfacher die vielfach sonst schon „eher blockierten“ Systeme in der verlangten Zeit und Qualität zu verändern.
Die lückenlose Transparenz und letztlich volle Kontrolle zurückzugewinnen – bei auch besser bewertbarem Risiko-Management – ist entsprechend und verständlicherweise teilweise verbunden mit der schrittweisen (Teil)Migration auf zukunftsorientierten, budgetierbaren und skalierbaren Cloud Services.

Betriebssicherheit (Safety) und Angriffssicherheit (Security) durch/in der Cloud
Unter dem Aspekt von z.B. „Schatten-Informatik (shadowIT)“, Anforderungen von „new economy“, Abhängigkeit von Mitarbeiter / KnowHow-Träger und entsprechenden Qualitätsaspekten und sich stark veränderten Bedrohungslage sind auch in diesen Aspekten die Anforderungen an die entsprechenden Prozesse und Systeme im Sicherheitsbereich und im Risk-Management-System hochkomplex geworden.
Diese Herausforderungen – gepaart z.B. mit den maximal gewachsenen Mobility-Bedürfnissen der Mitarbeiter – welche auch zunehmend getrieben sind durch Revisions-Stellen, Audits, Complianceanforderungen und der mittlerweilen zunehmend wahrgenommenen Verantwortung auf Führungsebene zeigen ebenfalls zum Trend der Gewaltentrennung (Unabhängigkeit von „internen“ Maschinen und „internen“ Menschen) durch Nutzung von externen Services in Bereichen wie Security, Systemredundanzen, Disaster Recovery Services, standortgetrenntes Backup, Monitoring und Alarmierung und auch Servicedesk as a Service.

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-Management/

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/11/11/data-loss-prevention-dlp-vom-erkanntem-daten-leck-zum-dosierbaren-daten-Ventil/

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/05/18/ict-audit-und-controlling-innovationen-durch-risk-management-lizenzierungs-Audits/

Neue Freiheitsgrade und Potentiale durch Fokus auf orchestrierbare Services gegenüber kopf-abhängiges System-Management
Passend orchestrierte Cloud Services und dadurch auch die Chance und Herausforderung effizient „Licht in die Schatten-Informatik“ zu bringen und völlig neue (bisher nur erschwert erreichbare) Managed Services und dosierte Öffnung zur „new economy“ / neue Geschäftsmodelle zu ermöglichen, generieren auch neue Fokussierungs-Möglichkeiten. Der absolute Verlass, Standard und Sicherheit des „Stroms aus der Steckdose“ oder des „Wassers aus dem Wasserhahn“ ergibt die Möglichkeit, uns auf die Nutzung oder Genuss des Stroms oder Wassers konzentrieren (eine Art Services Management) zu können.
Diese Analogie sollte und wird auch entsprechend immer mehr Einzug halten in den ICT-Umgebungen und mit-helfen neue Konzentrationen zu ermöglichen auf gelieferten Services von hoch-standardisierten / spezialisierten Anbieter versus reiner selbstproduzierter / aufwändiger Technik (Wasser aus dem selbstgegrabenen Wasserloch ? und Strom produziert vom eigenen Dynamo ?)
Dadurch können die Kernkompetenzen und die internen Prozesse weiter optimiert werden und die dosierte Weiterentwicklung zu neu adaptierbaren Geschäftsmodellen vorangetrieben werden mit den bisher teilweise „blockierten“ KnowHow-Trägern oder „festgefahrenen“ Systemen.

„best out of all clouds“
Wie wir es als Konsumenten gelernt haben, eine freie und transparent im Internet recherchierbare und vergleiche Auswahl an Produkten und Lieferanten nutzen zu können ist es mittlerweilen auch so bei den Cloud Services.
Um sich als Konsument im Dschungel der unterschiedlichsten und nicht immer vergleichbaren Angeboten zurechtzufinden braucht es z.B. Vergleichsteste, Angebotsportale, erfahrene Berater oder aber Gesamtanbieter (Solution Brokers, Managed Services Anbieter) mit entsprechenden weitergehend unterstützenden Branchenerfahrungen und Referenzen. Solche erfahrene und auch offizielle zertifizierte Gesamtanbieter – welche dann auch als Gesamtansprechpartner (single point of contact) sämtliche Herausforderungen abdecken, Probleme beheben und vorallem die besten Lösungen finden – haben sich über Jahre und aus eigenen Erfahrungen / entsprechendem Branchenwissen die am besten orchestrierbaren und bestens bewährten Services aufgebaut. Da solche Gesamtanbieter teilweise dann auch über die entsprechenden zertifizierten Kompetenzen und spezielle Support-Verträge mit den Services-Lieferanten haben profitiert der Kunde zusätzlich. Dieses „unbezahlbare“ und aber für Kunden mittlerweile nutzbare Wissen und letztlich Vorteil gegenüber Mitbewerber stellt den Anspruch sicher, dass die Endlösung wirklich basiert auf den maximalst bewährten, standardisierten und automatisierten „Managed Cloud Services“. Durch genau solche auf „best out of all clouds“ basierten Lösungen bleibt die Lösung standardisierbar, skalierbar, beherrschbar und letztlich auch unabhängig von den Anbietern. Aufgrund dieser zukunftsorientierten Nutzung entsteht eine nachhaltige Lösung.

„Innovativ mit-denken, qualitativ handeln“
Dieser auf den ersten Blick einfach aussehende Idee, Anspruch und denkbare Anforderung für eine normale Weiterentwicklung von Prozessen oder Geschäftsideen funktionieren eben nur wenn man sich von möglichst vielen unterstützenden Themen (wie eben Wasser, Strom, Cloud…) entlasten und sich befreit, ungestört konzentrieren kann.

Change und Innovations Management inklusive
Viele solche Projekte gehen mitunter viel weiter und je nach Erfahrungen des gewählten Service Providers kann dieser den Kunden auch weitergehender beraten und begleiten – weitergehend eben als nur die reine Planung, Migration und Betrieb der orchestrierten Cloud-Lösung sondern viel mehr auch im nötigen Change Management, der Bewertung und Weiterentwicklung von adaptierbaren Innovationen oder Aufbau von neuen Basen für neue Geschäftsmodellen.

Zu guter letzt und wiederkehrend… Training, Befähigung und Weiterentwicklung
Da wir bekanntlicherweise nur jeweils einen Bruchteil der effizienzsteigernden Basis- und Erweitert-Features nutzen – geschweige denn die enthaltenen, mit-lizenzierten Features – ist es sehr lohnenswert, mittels entsprechenden Lösungs-Demonstrationen und darauf aufbauenden Trainings und „best practices“-Workshops diese Zusatz-Nutzen-Aspekte zugänglich zu machen. Die laufenden Services- / Features-Weiterentwicklungen können dann auch einfacher / kontinuierlich in der eigenen Weiterentwicklung / Effizienzsteigerung der Organisation nach-geschult werden.
Letztlich führen solche Werkzeuge / Möglichkeiten / Effizienzsteigerungen mitunter auch zur Unterstützung der Arbeitgeber-Attraktivität und Mitarbeiter-Motivation.

Adaptierte Innovation und Evolving in der Bauindustrie-Informatik

civil22

Der Wandlungsdruck in allen Business-Prozessen (z.B. heruntergebrochen auch in der Planungs-/Büro-Automatisation) aufgrund aktuellen und künftigen Anforderungen und Potentialen des Marktes, Auftraggeber, Mitbewerber, Regulatorieren setzen unteranderem auch die maximal effizient funktionierenden Hilfsmittel (z.B. passend orchestrierte ICT- / Cloud-Services) voraus.

Trends wie Mobility, Cloud (z.B. „People centric ICT“), Information (Stichworte BIM, Datenaustausch, GIS, BigData, IoT, App Economy, Baudigitalisierung) Social (Stichworte z.B. Outputs / Impacts laufend „liken“ und bewerten von Akteuren und an z.B. Mitarbeiter-Gesprächen miteinbeziehen) werden weitere Impacts auf „digital economy“ bzw. neue Business-Modelle im ganzen Planungs- und Bau-Prozess mit-prägen.

Die Unternehmen brauchen zunehmend eine durch Spezialisten passend orchestrierte „Insel der Ordnung“ in einer chaotisch dynamischen und dauer-hypenden Cloud-Welt. Traditionelle, auch interne ICT-Services und Ansätze stossen hierbei immer mehr (oder schon länger …) an ihre Grenzen.

Dass dabei sich immer mehr eine „Maxime der Spezialisierung auf die Kernkompetenzen“ die Gesamtdienstleistung auf mehrere hochspezialisierte Dienstleister (z.B. Partner, Subunternehmer) oder Services (z.B. „best out of all clouds“) stützt und nicht mehr alles alleine beherrscht werden kann (Nutzungs-Fokus versus Eigenbetriebs-Fokus, make or buy) kristallisiert sich immer mehr heraus.

Bei vielen Organisationen werden (müssen…) intern, nachvollziehbare und verständlich auch so dynamisch gewachsene Schatten-Informatik-Umgebungen zukunfts-ausgerichtet re-organisiert zugunsten der nötigen Optimierung, Transparenz, Transformation, Risiko-Management, Safety/Security und letztlich mitunter auch Chance der Rückgewinnung von Kontrolle und Vertrauen seitens der dafür verantwortlichen Führungsebene.

Die Daten-Intensität / -Dichte und Weiterentwicklungen in den Bereichen der innovativen Co-Information-Worker-Arbeitsmodelle und (Cloud)-Technologien fordern auch die Arbeitgeber, deren eingesetzten ICT-Services (und in Zukunft zunehmend auch „machine learning based“ unterstütztem Informations-Management) bezüglich deren Arbeitnehmer-Attraktivität und „war for talents“ (eine der massgebenden Zukunftsaufgaben der Unternehmen). Dieser Krieg um die besten bzw. passendsten Mitarbeiter wird auch im Bereich des HRM geprägt sein von dynamischer Individualität (als Megatrend), flexiblem Freiheitsgrad und komplexer Vereinbarkeit.

Ein Unternehmen beherbergt letztlich die Mitarbeiter welches es verdient (das beruht theoretisch auf Gegenseitigkeit… theoretisch). Ein Mitarbeiter welcher hierbei mit den besten Strategien, Prozessen, Services, Technologien, Apps, Pocket-Office, Dashboards, Reportings unterstützt wird und dabei weniger Reibungsverluste infolge z.B. ineffizienter / arbeitszeit-verschwenderischen Arbeitsweise zu beklagen hat wird besser an den gemeinsamen Firmen- und Projekt-Zielen mittragen können und dies letztlich motivierter auch wollen…
Unternehmen bzw. deren bereitgestellten Services könnten es schaffen, die künftige Arbeit als eine Art in allen Belangen „optimiertes Konsumerlebnis“ zu erleben. Dieses „Konsumerlebnis“ könnte es (leider…) auch schaffen in dosierter und zielgruppen-basierter Form, die teilweise digitalen Abstinenzler (z.B. in Freizeit oder generell) zu erreichen.

Ein mitunter dadurch entstehender gemeinsamer Willen und Bereitschaft entsprechende Wissens- und KnowHow-Transfer-Gemeinschaften intern und bei Bedarf auch extern (z.B. mittels andockbare Schnittstellen, Services, Collaboration, Apps, Selfservices) zu bilden kann zusätzlich helfen die Kosten zu reduzieren und letztlich die Personen-/Wissensträger-Abhängigkeiten zu optimieren.

Es kann eine völlig neue Innovations-Fähigkeit und auch Service-Qualität des Unternehmens entstehen welche wiederum die vorausgesetzte Basis ermöglicht für künftige, immer flexibler werdende Arbeitsgemeinschaften in der digitalisierteren Bauindustrie.

Die schon länger bekannte Forderung nach der geräte- und standort-unabhängige Arbeitsweise (auch bring your own device / bring your own desaster … byod) – nämlich genau „hier und jetzt“ bzw. wenn das beste Arbeits-Ergebnis erzielt werden kann – wird noch weitere Ausprägungen in einer 7x24h-Information-Worker-Gesellschaft mit sich bringen und dadurch Bereiche wie wiederum Safety (Betriebs-Sicherheit, Verfügbarkeit) und Security (Angriffs-Sicherheit, Datenschutz) weiter fordern.

Aufgabenfelder, Massnahmen:

– ICT-Strategie, ICT-Planung, ICT-Risk, ICT-Transformation, ICT-Innovation angelehnt und zur Unterstützung der Firmen-Strategie thematisieren in z.B. Workshops, Weiterbildung

– Anwendungs-spezifische Workshops, Kurse, Webcasts fuer optimerbare Büro-Automatisation, Planungs-Prozesse (PP) mittels best practises von denkbar „KnowHow-transfer-bereiten“ und sich weiterentwickelten Vorzeige-Organisationen (Wissens-Community-Gedanke)

– Zukunfts- und Ideen- / Impuls-Workshops für Aufzeigen, Erkennen und gar Adaptieren von aktuellen oder zukünftigen Trends

Data Loss Prevention DLP – vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil

dlp3dlp

Als Grundlage – und bei weitergehendem Informations-Interesse als „nur“ dem Artikel-Haupt-Thema – für meine persönliche Philosophie zum schier unfassbar grossen Big Thema Security / Safety / Risk Management referenziere ich meinen publizierten Artikel bei ISACA Chapter Switzerland im SWISS IT MAGAZINE
>> 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Viele Produkte und Technologien rund um DLP – wo bleiben der Mensch und die Prozesse?
Sämtliche Bemühungen in technischer und prozessmässiger Hinsicht zur „beinahen“ Verhinderung oder eher „nur“ Behinderung von Daten-Lecks bzw. Entwendung oder Nutzen-Veränderung von firmen- oder personen-sensitiven Daten scheinen zunehmend reine eher reaktive Symptombekämpfungen anstelle proaktive integrierte Ursachenbekämpfungen zu sein. Hierbei steht einmal mehr der Mensch und die Prozesse im Vordergrund und im Fokus der Wirkung am Ziel.

Angriffs- und Betriebs-Sicherheits-Krieg auf höchstem Niveau – Mensch immerschwächer werdendes Glied in der Kette
Die sehr raffinierten Angriffs- und Verteidigungs-Methoden im Kontext von z.B. auch Zeitfaktoren / Multifaktor-Anmeldungen / Berechenbarkeit / Eintrittswahrscheinlichkeiten / Verschlüsselung scheinen mittlerweilen auf einem Höchst-Niveau abzulaufen – jenseits in dieser Betrachtung vom sicherheits-technisch immer schwächer werdenden Glied in der Kette – des Menschen selber.
Der grösste Schaden – es gibt genügend Beispiele seit längerer Zeit – basiert meist auf einer raffiniert aufgebauten und von langer Hand geplanter Angriffs-Strategie basierend auf  einer „Vertrauens-Bildung zwischen Angreifer und Opfer“.
Hierbei können folgende stichwortartig aufgelistete sehr einfache Fälle als Referenz dienen:
– Mail-Anhang mit bösartigem Code von einem (gefälschten) Bekannten öffnen
– Zugangs-Kennwort per Telefon, Webseite, Socialmedia, Email oder gar Zuruf bekanntgeben
– Kennwörter an beliebten Orten öffentlich zugänglich machen (Tastatur, Pult, Tasche etc.)
– Arbeitsplatz ungesperrt hinterlassen und den Zugang ermöglichen für Kollegen oder Externe
– „Unsicheres“ Daten austauschen per Webmail, Socialmedia, Smartphone, Wechseldatenträger
– Social Engineering – extern aber auch von intern …

Patt-Situation – Informations-Schutz versus Menschen-Schutz – was schützen und klassifizieren wir zuerst ?
Wo nun die Organisationen / Führungsebene beginnen sollten im Teil-Bereich von „Data Loss Prevention DLP“  ist demnach nicht einfach zu beantworten bevor man überhaupt weiss was „schützenswerte“ Informationen sind mittels einer zuerst nötigen Basis-Arbeit der Daten-Klassifikation.
Aufgrund dieser Klassifikation (auf die genaue Methode und Ansätze wird hier nicht eingegangen) entsteht dann ein klareres und überschaubareres Gesamt-Bild der schützenswerten Objekten und deren Einstufungen in z.B. Eintrittswahrscheinlichkeit, Risiken, Schadenspotential. Daraus sollten sich dann eine hoffentlich beherrschbarere Gesamtsicht entstehen mit z.B. Massnahmen, Compliance-Anforderungen, Auswirkungen auf Mitarbeiter Security Policy und Risk-Management / Audit.

Datenschutz und Persönlichkeits-Rechte – und trotzdem auch Schutz-Recht von Firmen-Eigentum ?
Zum Schutze und als Basis der (hoffentlich) gemeinsamen Interessen – auf der einen Seite des Mitarbeiters und dessen z.B. Persönlichkeits-Rechten und auf der anderen Seite der Firma und deren z.B. „intellectual property“ – sollte eine gemeinsame Vereinbarung in Form einer „ICT Security Policy / ICT Weisungen“ verabschiedet und als verbindlicher Bestandteil zum Arbeitsvertrag unterzeichnet werden.
Diese Spielregeln können letztlich kein Daten-Leck verhindern jedoch dient diese vorallem auch der Sensibilisierung und Aufklärung zu betriebs-vitalen oder gar betriebs-hoch-kritischen Gefahren, Regeln und Massnahmen.
Dabei ist auch die Balance zu finden zwischen den Rechten beider Partner (Arbeitnehmer und Arbeitnehmer oder auch Kunden und Service-Anbieter) unter Wahrung der Persönlichkeitsrechten und Balance zwischen Vertrauen und genau zu beschreibenden Kontroll- und Verteidigungs-Mechanismen (z.B. mehrstufig, anonymisiert, Trends, Baselines, Anomalien, Traffic-Controlling, Filterungen, Blockaden, Alerting).

Sensibilisierung via ICT Security Policy verschwindet nach der Unterzeichnung
ICT Security Policies als Bestandteil zum Arbeitsvertrag werden a) nur vor dem Start des Arbeitsverhältnisses unterzeichnet, b) geraten dann schnell in Vergessenheit, c) beinhalten vielfach keinen offenen ergänzbaren Bereich für die die hoch-dynamischen Bedrohungs-Lagen und d) sollten eine Arbeitspapier als Ausgangslage für weitergehende, wiederkehrende Schulungen und Sensibilisierungen. Hierbei reichen vielfach nur schon ausgewählte und auf die Firma adaptiert kommentierte, einfache Beispiele von Daten- und Sicherheits-Lecks von anderen betroffenen Organisationen und auch entsprechende juristisch strafrechtliche Auswirkungen.
Es sollte dadurch selbsterklärend sein, dass dann mitunter auch „naive“ Aussagen oder Ausreden im Sinne von „das war mir gar nicht bewusst oder das hat mir niemand so explizit gesagt“ nicht mehr einfach akzeptiert werden.

Lange Rede rund um… und nun: Am Schluss kommt „nur“ noch die Technologie
Und eine Wiederholung mehr: 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf
Zuerst umfassend sensibilisierte Mitarbeiter (Mensch) und klassifizierte schützenswerte Informationen (Maschinen, Prozesse) bilden dann die beherrschbare Basis für dann ein umfassend orchestrierte und bewusst vielschichtig aufgebaute Gesamtlösung.

Data Loss Prevention – best out of breed and out of best practices
Alleine die Aufzählung von verschiedenen Ansätzen, Methoden, Produkten würde jeglichen Rahmen sprengen dieses Impuls-Artikels. Ich beschränke mich hiermit auf die stichwortartige Aufzählungen von gewissen Ansätzen, Szenarien und einfach erklärten Ideen:
– Sehr hohe Priorität sollte dem „Schutz der digitalen Identität“ zugewandt werden – z.B. bei Kennwort-Richtlinien, Kennwort-Manager-Software, Multifactor-Anmeldung, One Time Token, Devices, Cloud-Dienste etc. damit hier nicht mittels einem „zentralen Einfalls-Tor alle anderen Zugänge und Angriffs-Schutz-Mechanismen“ ausgehebelt werden …
– Filterung, Ueberwachung und Sperren von WLAN-, Smartphone-, Internet- und Webbrowser-Zugänge und Berechtigungen für die proaktive Verhinderung von unerwünschten oder gefährlichen Webseiten- oder Internet-Aufrufen
– Software- und/oder Hardware-Verschlüsselung von z.B. Festplatten, Wechseldatenträger, Smartphones, Emails, Dokumenten (z.B. Bitlocker)
– Transportregeln auf Basis des Email-Systems welche per Voll-Text-Inhalts-Filterung gewisse geschützte und so klassifizierte Mails oder Anhänge sperrt / umleitet oder archiviert
– Automatische Disclaimer-Erzwingung oder PopUp-Fenster-Anzeige im Mail-Programm an den Anwender (proaktive Sensibilisierung) bei allen ausgehenden Emails oder bei klassifizierten Informationen
– Automatische Email- und Datenaustausch-Verschlüsselung (und auch z.B. Sender-Identitäts-Nachweis) ohne Einwirkung des Senders und Empfängers
– Verschlüsselungs-Punkte in der ganzen Kette der Kommunikation (User to Services, Daten zwischen Datencentern, Daten auf Datenträgern, End-to-End-Verschlüsselung von User zu User)
– Geschützte Output-Umgebungen mit Druck / Scan per Kennwort, Keycard, Token
– Compliance-Einschränkungen von z.B. Smartphone für Kamera, Bluetooth, NFC, WLAN, Cloud, Apps, Socialmedia, Speicher-Einschränkungen, Kennwort- und Geräte-Sperr-Vorgaben und Remote Löschungen
– Device Management Lösungen oder Software-Agents auf Clients für z.B. Sperre von Printscreens, Copy Paste Sperre je nach Anwendung, Software-Compliance-Kontrollen, AppLocker
– Zentral verwaltete, proaktive Endpoint Protection Lösungen welche zusammen mit neuartigen Internet-Firewalls auch Anomalien aufspüren oder Base-Line-Vergleiche sicherstellen kann (Stichwort: Trojaner, RootKits, Viren, Würmer, Schläfer, Kennwort-Logger, Spionage-Tools, Datenströme
– Baseline-Compliance-Vergleiche von zugelassenen und unerwünschten / nachträglich installierten Tools / Malware / Apps mit entsprechender Alarmierung
– Fingerprinting, Watermarking, Metadaten-Kennzeichnung, Keywords für das Filtern und Aufspüren von Informations-(Ab)flüssen oder Missbrauch
– Erweiterte Right Management Services (RMS) oder Digital / Information Right Services (DRM, IRS) welche eine sehr hohe, erweiterte Granularität von z.B. Dokumenten-Rechte / Schutz beim Empfänger steuern kann (z.B. Regelung von Autorisierung / Weitergabe / Druck / Speicherung / Protokollierung / Gültigkeitsdauer)

– Je nach Informations-Klassifizierung und Risk-Management gar erweiterte Massnahmen mittels einem „Intellectual Property Management“ System zum erweitertem Schutz von firmenvitalen Geisteseigentum.

– Letztlich: strategisch bewusstes Auslagern / Archivieren oder Sichern / Spiegeln von (Teil)Daten / Zusatz-Backups oder ganzen Systemen auf viel leistungsfähigere und ausfallsicherer orchestrierbare Public Cloud Dienste für die Reduktion von internen (grösseren…) Gefahren in einem lokalen Betrieb und lokalem physischen Datenzugang (Analogie: Die Suche nach der berüchtigten Nadel – aus Sicht eines Angreifers – in einem BigData-Heuhaufen und in einem reissenden Daten-Strom kann schwieriger sein als Firmendaten gezielt an einer Firmen- oder System-Lokation angreifen versuchen …) –> Enhanced Cybersecurity with Big Data …

Vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil ?? und es tropft weiter …
Mittels einigen genannten Beispielen aber vorallem mittels einer eigens aufgebauten und an die zu schützenden Organisation angepasstes Szenarien- / Frage-Framework sollten rasch die klassifizierten und priorisierten, schützenswerten Informationen und deren Schwachstellen (Lecks, Leaks) erkannt werden können für entsprechende stufenweise eingeführten Gegenmassnahmen für die möglichst grosse Reduktion von Informations-Missbräuchen / Abfluss (Loss).

Data Loss Prevention im Spannungsfeld zu Data Leak Management bzw. „offener“ Informations-Verbreitung / -Nutzungsänderung in der künftigen New Economy
Auch hier wird am Schluss eine Teilmenge von Risiken übrigbleiben welche im Risk-Mangement bewertet / überwacht und kontrolliert werden muss. Denn das Daten-Ventil tropft immer irgendwo weiter und weiter …
In einem teilweise (un)beherrschbarem Wachstum und derer Weiterentwicklung von z.B. Big Data, Internet of things (IoT) und Daten-Universum werden sich auch Business Modelle ändern (müssen) für einen offeneren – dann aber geregeltem und in einen mehrwert-generierenden – Informations-Austausch.
Bisher schützenswerte, klassifizierte Informationen / Datenbanken / Produkte / Schnittstellen / Standards / Normierungen / Apps / geistiges Eigentum finden – basierend auf einem neuen (r)evolutionierten Business-Modell – neue und mehrwert-generierende Services-Nutzungs-Kanäle für den Anbieter / Nutzer.

Digital Health durch IoT und Wearables – potential future and war for tracked, (un)trusted well(ill)ness ?

wearables3

Digital Health durch IoT und Wearables

Digitale und vorausgesagte Ziele innerhalb einer Systemgläubigkeit sollten nicht die physischen und psychischen Signale und gegebenen indiviuellen Grenzen übersteigen“

Antreibende Peitsche ohne Leder Seit mehreren Jahren sind zunehmend viele Menschen „versklavt“ mit einem activity tracker oder wearable. Wenn dieses Teil eine Verlängerung aus Leder hätte wäre es eher eine weitere „antreibende Peitsche“ im Mythos des sonst schon anspruchsvollen und herausfordernden Work-Life-Balance.

Wearables und IoT als Basis für „Digital Health“ Pulsmesser, Fitnessuhren, Watt-Leistungsmesser, GPS-Trackers kennen wir seit Jahren und zusammen mit den parallel laufenden hoch-technologisierten Weiterentwicklungen von z.B. Sensoren, Chips, Smartphones, Apps, Cloud, Wearables, Internet der Dinge, Künstliche Intelligenz, Bluetooth, WLAN, NFC entstehen neue Möglichkeiten für andere Anwendungen und Formfaktoren.

Der Drang nach übertriebener Wellness führt zur Illness ? Per laufenden Warnmeldungen (Mikroverletzungen) der Wearables bezüglich zu wenigen Bewegungen pro Zeiteinheit wird man allenfalls mal zum hyper-aktiven Wellness-Abhängigen. Durch weitere Messparameter und dann auch Vorhersagen wie z.B. Puls, Schlafphasen, Kalorienverbrauch wird man noch mehr fremdgesteuert im Bezug auf Einschlaf- / Aufweckphasen, Bewegung, Arbeit und Essverhalten. Aus meiner Sicht ist auch hier wieder mal die Frage nach dem ertragbaren Mass und Verhältnismässigkeit gefragt um sich nicht noch weiter fremdsteuern zu lassen im heutigen Mainstream von Internet, Social Media, Mail, Smartphone und letztlich der Systemgläubigkeit.

Die „Big Mother“ passt auf uns Kinder und unsere Digital Health Data auf oder eben nicht ? Im Zuge der weiter voranschreitenden Globalisierung speziell in den Bereichen von Cloud, Big Data, App Economy und Plattform-Daten-Kapitalismus wie z.B. Microsoft, Google, Amazon, Apple werden wir uns auch Fragen stellen müssen was irgendwann mal an sinnvollen oder weniger sinnvollen / unerwünschten Daten in falsche Hände geraten. Dabei geht es aus meiner Ansicht nicht um den Fakt, dass unsere Daten so oder so überall sicher und gleichzeitig auch unsicher sind sondern viel mehr um die Frage wie weit wir alle als Datenlieferanten die Beherrschbarkeit der Datenauswerter mitgestalten können. Beispiele welche in Zukunft Themen werden könnten: – Wollen wir aus Präventionsgründen unsere Vitaldaten laufend übermitteln an ein Medical-Center für Trends, Auffälligkeiten oder gar Warnungen und Notfall-Eskalationen? – Wie weit vertrauen wir an unsererseits hoffentlich wissentlich zugelassene Datenauswerter wie z.B. Krankenkassen, Versicherungen, Banken, Pflegeinrichtungen, Arbeitgeber, Rekrutierung, Behörden, Staat welche dann im Gegenzug das „Personen- / Gesundheits-Risiko“ dann hoffentlich belohnen mit tieferen Prämien / Risiko-Bewertung? – Werden wir künftig in den CVs von Kandidaten / Projektteilnehmern auch Fitness- und Activity-Werte vorfinden und teilweise einbeziehen in Entscheide und Risiko-Abwägungen? …

Regulatorisch gesteuerte Berechenbarkeit und Überwachung von Personen(Daten) Hoffen wir, dass in 10 oder 20 Jahren die Staats-Bevormundung (z.B. übergeordnete Staats-Krankenkassen oder Versicherungen) durch regulatorische Effekte oder globale Markt- / Risiko-Absprachen eine weitergehende Berechenbarkeit nicht zu gross wird von uns zunehmend datenliefernden Menschen.

Mensch und Maschine verschmelzen: Brain Computer Interface, Biosensor Chips Die zunehmende Distanz vom technischen rasanten Fortschritt zur langsamen Adaptionsmöglichkeit des Menschen (slow Evolution, Human Interface) und des menschlichen Gehirns (zu tiefe Nutzung des Potentials) hinterlässt schwer überwindbare Brücken (über welche wir gehen wollen und müssen…). Solche Brücken scheinen mittels der digitalen Transformation (Cloud, Big Data, Supercomputing, Künstliche Intelligenz) teilweise überbrückbar werden. Letzten Endes werden bereits jetzt schon vorhandene und funktionierende Konzept der Robotik und Biosensoren / Advanced Interfaces (z.B. SmartGlass, SmartLenses, eInk oder implantierte Chips) weitere Potentiale oder gar Notwendigkeiten generieren. Eine Art Brain Computer Interface für die noch direktere Koppelung (die Brücke…) von Sensoren, Human Interfaces, Processing scheint nicht mehr einfach nur eine Utopie (z.B. eInk) zu sein.

Umgekehrte Welt – neue technische Weltordnung – Computer Company search for best human talents … Wie würden wir umgehen – derzeit noch bisschen utopisch – wenn eine autonome „reine“ Computer Company in einem staatlich geschützten Umfeld dann „best human talents“ rekrutiert für deren zu überschreitenden Brücken? Selbsterklärend würden dann solche „reine“ Computer Companies nur die besten vernetzten Menschen finden der technokratischen Elite (siehe weiter unten) und die freiwilligen oder teilweise unfreiwilligen Abwender nicht finden (wollen) …

Vertrauen – Manipulation – Sicherheit Es wird ein neues Spannungsfeld geben in welchem immer mehr auch Fragen des Vertrauens gestellt werden in Bezug auf Data Security, Privacy, Manipulation seitens Anwender (ev. ist ein anderes Familienmitglied oder ein Haustier aktiver und manipulierbarer temporärer Träger des Daten-Trackers…) und Sicherheit seitens App- / Cloud-Servicedienstleister (sind das wirklich meine und nicht verfälschte Daten…) von solchen Wearables oder Daten-Auswertungen im Big Data Umfeld

Ethik muss auch Platz haben in der High Tech Informationsethik ist ein grundsätzlicher und noch ungelöster Aspekt der digitalen Gesellschaft in der Nutzung / Datenanalytik von digitalen Assistenten. Anstehende Evolutionsschritte der zuerst begrenzten Nutzung am Körper, über die Erweiterung auf den Wohn-, Arbeits- und Pflege-Raum bis hin zu einer digitalisierten „smart city“ fordert und prägt auch letztlich die dosierte Regulation und Entwicklung von auch eGovernment. Ein Code of Ethic oder Code of conduct im Rahmen dieser Weiterentwicklungen durch Spezialisten, Unternehmen oder Behörden wird weitere Spannungsfelder erzeugen.

Misstrauen – Ablehnung – Offline-Abseits – deklariertes unberechenbares Risiko Es wird künftig weitere Zweiklassen-Gesellschafts-Formen geben: die voll-digitalisierten Digital-Natives mit Big Data Wissen (technokratische Elite ? mit aber niedriger Selbstkontrolle der persönlichen Daten) und die teil-offline-rückgeführten Abwender (mit bewusst höherer Selbstkontrolle der persönlichen Daten) – mit dann auch Sicht des Big Data als unberechenbares, da nicht erfasstes Risiko deklariert (?!)

eSkin die modernen Tätowierungen und Wearables der digitalen Zukunft Es ist zu erwarten, dass auf oder unter die Haut platzierte, sogenannte eSkins mit Chips oder Sensoren eine moderne Form von Tätowierungen darstellen könnten. Es bleibt die Hoffnung, dass diese Anwendung – im Gegensatz zu einer Tätowierung – möglichst noch lange freiwillig bleibt …

Technologischer Fortschritt als Allerheil-Mittel für das kranke Gesundheitswesen ? Es ist anzunehmen, dass die vielen Chancen der Digitalisierung auch positive Auswirkungen und Unterstützung bieten kann in Themen wie z.B. Gesundheitsprävention, Unfallprävention. Auch im Rahmen der voranschreitenden Demografie und neuen Betreuungs- und Wohn-Konzepten wie „betreutes, digitalisiertes Wohnen“ oder „modernen Pflege“ nimmt die Digitalisierung und technlogische Fortschritt eine tragende Rolle ein. Weitere Regulatorien wie das EPDG (Bundesgesetz über das elektronische Patientendossier) verlangt nach einer intensiven, interdisziplinären Auseinandersetzung von unterschiedlichsten Experten / Task Forces für eine möglichst ausgewogene Stossrichtung in Bereichen wie Privacy, Data Security aber auch (informations)ethischen Aspekten. Digital eHealth könnte die Chance sein, um die „Zukunft vor der Vergangenheit zu schützen“ und nicht umgekehrt.

CEO / CFO / CMO gegen oder mit CIO: Hauptsache Business Prozess Support durch ICT

cio-cfo-ceo

Gretchenfrage – Who is the chief of the Next Digital Economy ?
Die Gretchenfrage ob nun künftig in den (sich in Transformation befindlichen) Organisationen eine neue Hack-Ordnung in den Entscheidungs-Gremien entstehen ist eher schwer abschliessend zu beantworten.

Jedoch ist es eher unumstritten, dass in künftigen Anforderungen der Next Digital Economy an die dynamische Flexibilität der Organisationen zunehmend auch gewisse Marktvorteile und Effizienz-Steigerungen mittels gut orchestrierten ICT-Prozessen vonnöten sind.

Aus meiner Sicht und Erfahrung wird die Wichtigkeit des Mitgestaltungs-Rechts des ICT-Bereiches auf der Stufe der Führungsebene von entscheidender Bedeutung in der laufenden digitalen Transformationen von vielen Geschäftsprozessen.

Budget by services
Dabei wird die Budget-Verantwortung einer Renaissance gleichkommen und sich zunehmend wiederfinden in den fachspezifischen Abteilungen oder Services-Bezügern welche als Direktbetroffene „am besten wissen“ was sie in welcher Qualität an Services brauchen – und aber auch die entsprechende Verantwortung dafür wahrnehmen können in fachtechnischer Hinsicht.

Durch diese Involvierung in Entscheidungs- und Budget-Prozessen – und letztlich auch Risiken – kann eine neue „Stärke und Wettbewerbs-Vorteil am Markt“ entstehen und die Organisation kann mittels guten Ideen in eine völlig neue Richtung des Innovations-Managements aufbrechen.

Knowledge Management – best out of the internal knowhow
Hierbei stellt sich dann eher nicht mehr die Frage ob nun der CEO / CFO / CMO oder CIO in gewissen ICT-nahen Bereichen / Entscheiden die hauptbestimmende Rolle einnimmt sondern vielmehr die Aufgabe der Führungsebene die geeignetesten internen (oder externen) Experten proaktiv und mitbestimmend einzubeziehen.

Mittels genau diesem gebündelten KnowHow(-Transfer) kann der wachsenden Komplexität der unterschiedlichsten Services-Anforderungen sichergestellt werden, dass möglichst alle davon Betroffenen in einem proaktiven Dialog zu Beteiligten gemacht werden können.
„Business Excellence“ wird zwar schon seit Jahren immer wieder gerne verwendet von vielen Beratern / Coaches kann aber funktionieren wenn die Organisation mit allen Betroffenen und Beteiligten die jeweils für sich passendste und auch lebbare Business-Support-Transformation findet.

Chef für Digitales
„Nur ein“ Chef für Digitales zu definieren scheint aufgrund der schier unendlichen Bandbreite der „digitalen“ Potentiale nicht mehr zu genügen – im „analogen“ Gleichklang zum zu grossen Risiko, ein firmenvitales Wissen auf „nur“ einen KnowHow-Träger zu belassen.

Neues Experten-Wissen gefragt – neue Führungsmethoden und Mindset nötig
Im Zuge der transformatorischen (R)Evolution muss auch neues Wissen extrahiert und retensiert werden können von neuen Spezialisten in den Bereichen wie Mobile, User Experience, Anwenderfokus, Cloud und Data Sciences (Big Data).
Diese neuen Mitarbeiter-Profile werden – auch aufgrund der anfangs dünn gesäten Auswahl – entsprechend andere Anforderungen an die Arbeitgeber-Attraktivität stellen und entsprechend auch die HR-Abteilungen und Führungsebenen vor neue Herausforderungen führen und aber auch Chancen von echten, neuen Innovationen ermöglichen.

Interdisziplinäre Zusammenarbeit nötig
So kristalliert sich heraus, dass solche Weiterentwicklungen entsprechend eine übergeordnete, interdisziplinäre Zusammenarbeit voraussetzt zwischen allen CxO – und dies sicherlich auch teilweise über die eigenen fachlichen Grenzen hinaus in neue zu ergründende (Grenz)Bereiche.

Entscheidungs-Hoheiten und Daten-Kontrollgrade schwinden
Vorallem auch der Fakt, dass die künftigen Entscheidungs-Hoheiten und auch Daten-Kontrollgrade nicht mehr ausschliesslich durch Menschen gegeben sind sondern zunehmend unterstützt und geprägt werden durch Maschinen (Big Data) wird so manche Führungsebene herausfordern und Mindsets verändern.

Gemeinsames Ziel aller CxO sollte sein: Eine gemeinsam erschaffene „Insel der Ordnung“ in einer chaotisch dynamischen, digitalen Cloud-Welt