CyberSecurity – Single Sign On SSO – Sicherheit gegen gefährdenden Passwort- und Rechte-Wildwuchs

Passwort- und Rechte-Wildwuchs und eine steigende Akzeptanz der Cloud bewirken einen verstärkten Trend zum sogenannten Single-Sign-On SSO.
Diese Authentifizierungsmethode kann durch den Bedienerkomfort und die zentrale Verwaltung auch die Sicherheits- und Compliance-Anforderungen umfassend optimieren.

Im privaten und zunehmend auch geschäftlichen Umfeld kennt man gewisse Sign-In-Varianten über soziale Netzwerke wie Facebook, Twitter, Google, Amazon oder Microsoft als prominente SSO-Plattformen für den integrierten Zugang zu unterschiedlichen Services und Rechten.

Im Unternehmensumfeld wird SSO beispielsweise genutzt, um Nutzern einen integrierten, möglichst simplifizierten Zugriff auf eigene Web- oder Cloud-Anwendungen auf internen Servern oder in der (Hybrid)Cloud zu gewähren. Teilweise wird der Zugang mittels erweiterten Authentifizierungsmechanismen wie z.B. MFA (Multi Factor Authentication) oder 2FA (Two Factor Authentication) per Tokens, SMS, Email, Smartphone Authenticator Apps und dergleichen zusätzlich abgesichert. (ähnlich wie bei modernem eBanking).

Publizierter Artikel bei KSGV Gewerbeverband Schwyz

ksgv.ch – Gewerbeverband – CyberSecurity Sensilibisierung – SingleSignOn SSO MFA – Ausgabe Okt 2018 – Fridels_BLOG_F@R

CyberSecurity: Sicherheit in hybrid clouds / verteilten Systemen

Traditionelle Technologien und Strategien lassen sich kombinieren mit neuen Tools aus der Cloud.

Bei dem Lösungsansatz „best out of all clouds“ mittels Kombination von gut orchestrierten Lösungen aus allen Clouds lassen sich gar auch stufenweise Altlasten / Legacy Umgebungen und generell Shadow-IT abbauen und modernisieren.

Zudem kann konzeptionell – je nach Klassifikation von Schutzobjekten und Schutzniveaus – eine bessere Risiko-Verteilung und optimierte Resilienz des Gesamtsystems entstehen im Rahmen des Risiko-Managements.

Mittels entsprechenden Monitoring-Systemen (OnPrem / Hybrid / Public Cloud) und rollenbasiert ausgerichtete Dashboards entsteht eine neue Dimension von proaktivem Controlling und Prozessen im immer wichtig werdenden Incident Response Plan / Business Recovery System.

Solche dokumentierten Systeme mit auch Reporting- und Alerting-Funktionalitäten stellen dann erweitert ebenfalls eine gute Hilfe und Basis dar für ICT-Assessments und ICT-Audits.

Non-Privacy by default bei Facebook, Google & co ?

Artikel von Fridel Rickenbacher, Mitbegründer und geschäftsführender Partner / Verwaltungsrat der Unternehmung MIT-GROUP – Partner von «Bauen digital Schweiz» und Projektleiter bei bauen-digital.ch für die Projekt-These «BIM ICT-Architektur- / Security- / Audit-Framework> Security minded building information modelling»

Quelle: Non-Privacy by default bei Facebook, Google & co ?

Non-Privacy by default bei Facebook, Google & co ?

von Fridel Rickenbacher

ksgv.ch – Gewerbeverband – non-Privacy by default – Ausgabe April 2018 – Fridels_BLOG_F@R

Das im Jugendstil als höchst beliebtes Sanatorium erbaute und weltweit berühmte Haus Berghotel Schatzalp (heutiger Name) in Davos wurde 1898 bis 1900 errichtet.

Damals hatte der Datenschutz / Privacy offenbar einen eher konträren Stellenwert zur heutigen Zeit. So wurden in einer wöchentlich erschienenen Davoser Wochenzeitung jeder bedüftigter Kurgast, inkl. Herkunftsland, auf bis zu 20 Seiten öffentlich publiziert.
Heute wäre das schlicht undenkbar ohne entsprechende Schlagzeilen, Medien-Hypes, ShitStorms oder gar Klagen und Bussen.

Früher war (zumindest in diesem Datenschutz-Aspekt?) alles besser oder einfacher möchte man meinen.

Und heute? Viele leben sich aus und verwirklichen sich vermeintlich im digitalen Raum oder ihrem digitalen Zwilling mit mitunter sämtlich erdenklichen Details und fragwürdigen Grenzüberschreitungen der ach so „heiligen“ Privatsphäre.

Und dann passiert das was durch diese falsch angewandte Mitverantwortung zwangsläufig passieren wird: Durch CyberAttacken, CyberCrime, Defizite in Datensicherheit und Datenschutz oder auch menschliches Versagen und Management Fehler gelangen personenbezogene
oder firmenvitale und gar existenzbedrohliche Informationen in falsche Hände.

In einzelnen aktuellen Fällen (data breaches, CyberAttacken) wie z.B. Facebook, Swisscom entsteht dann durch ein solches topaktuelles Thema ein Medien-Tsunami mit grossem Schaden bei der Reputation, Vertrauen und sogar beim Börsenwert.

Bevor man von Datenschutz spricht (und gar Angst und Panik macht) sollte man auch persönlich für Datensicherheit sorgen und sich an überschaubare Regeln (z.B. in verabschiedeten ICT Security Policy / Weisungen, Kennwort- und Verschlüsselungs-Regeln, Identitäts-
und Zugangs-Verwaltung, regulatorische Vorgaben und Richtlinien / Prozesse) halten im privaten Umfeld und in der Firma.

Es ist aufgrund dieses Riesendatenuniversums und des schier unüberschaubaren „digital footprint“ sicherlich auch förderlich und hilfreich, deren Verhältnismässigkeiten zu erkennen für die eigene Sensibilisierung zur Datensicherheits- und Datenschutz-Thematik.

In der folgenden Grafik erkennt man übersichtlich und einfach visualisiert die entsprechenden Verhältnismässigkeiten und auch Abgrenzungen und Impacts von einzelnen globalen Akteuren.

Aus aktuellem Anlass auch gerade den Fall bei Facebook durch die nun weltweit gebashte Firma „Cambridge Analytica“ bzw. Facebook

Beeindruckend ist auch der relativ sehr kleine Anteil unseres „digital footprints“ welcher wir selber kennen, vermeintlich unter Kontrolle haben und letztlich selber teilweise auch nur beschränkt mitprägen oder mitsteuern können.

Zusammen mit kommenden Entwicklungen rund um Artificial Intelligence AI, IoT, smart connected homes, eHealth bis hin zu Smartcity werden wir viel proaktiv mitgestalten müssen um diesen überschaubaren persönlichen Gestaltungsanteil und letztlich auch Grundrecht
zu unseren persönlichen Daten halten zu können.

Es bleibt zu hoffen, dass eine gute, datensubjekt- / grundrecht-schützende Mischung von Regulation (z.B. DSGVO / GDPR Datenschutzgrundverordnung) und vorallem auch offenen Standards / Privacy by default / Stand der Technik gemeinsam zu erreichen ist im Kampf
um (und gegen) den Plattform-Kapitalismus und „data monetization“.

Security by design in „massive interconnected“ Systems – BIM – SmartCity – IoT – eHealth

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» / „Stand der Technik“ mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell mit möglichst der Anwendung eines umfassenden „full stack security“ auf allen Ebenen dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Digitalisierung und „verteilte Systeme“ wie auch z.B. BIM, CAx, Gebäudetechnik / Gebäudeleitsystem GLS, SmartCity, SmartHome, IoT, Big Data, eHealth ePDG Stammgemeinschaften, Künstliche Intelligenz AI, «Cyberphysical Systems» und „personenbezogenen Daten“ hinterlassen grundlegende technische und prozessuale Konzept- und Security-Fragen. Erschwerend kommt dazu, dass dann diese „verteilten Systeme“ zusätzlich aus regulatorischen oder normativen Compliance-Anforderungen auch noch gar möglichst lückenlos «managed» und «auditiert» werden müssen.

Nächste (R)Evolutions-Stufen der „Industrie 4.0“ / „Digitalisierung“ in Bereichen wie „Künstliche Intelligenz KI / AI“ werden grosse und neuartige Chancen zur „business model maturity“ und „data monetization“ generieren aber auch Risiken und Abhängigkeiten von „verteilten, massive interconnected Systemen“ zur Folge haben.

Jede Medaille hat bekanntlich immer 2 Seiten. Eine solche sogenannte „Dual-Use-Technologie“ wird automatisch auch leider wiederum die „dunkle Seite der Macht“ weiterentwickeln in Richtung von „Malicious Use of Artificial Intelligence“ (die bösartige Nutzung von AI) und daraus werden ernsthafte Risiken und grosse interdisziplinäre Herausforderungen für alle Akteure erwachsen bei der „falschen“ Verwendung neuer mächtigen Technologien.

Dass dann hierbei entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit der gleichgelagerten Technologie (z.B. „cognitive Security“ , „predictive Security“)  zum Zuge kommen müssen liegt nahe. Hierbei wird auch im Rahmen der geforderten Interdisziplinarität eine „neue“ hilfreiche Transparenz über Sicherheits-Lücken / -Massnahmen und „best practices“ vonnöten sein zwischen den Technologie-Giganten, Staaten bzw. zwischen allen Akteuren.

Auch Grundsätze zur „Informations Ethik“ werden hier hilfreich sein in einer nötigen gesamtheitlichen Betrachtung und entsprechenden Massnahmen zur Förderung oder Erhaltung der „privacy by design“ bzw. zum Schutz von „personenbezogenen Daten“ der Daten-Subjekte.

Unterschiedliches Verständnis und Verwendung von entsprechenden Begrifflichkeiten (nur schon Security, Privacy, Plattform, Cloud, Open) verunsichern viele Akteure und bedürfen einer gemeinsamen Verständnisfindung und nachhaltige Sensibilisierung.

Neue und noch teilweise in Vernehmlassung stehende Regulationen > Gesetze aus Bundesbern zu Datenschutz-Aspekten (z.B. DSG, e-ID) sind noch nicht spruchreif und die möglichst europäisch / international orientierte Umsetzung (z.B. EU-DSGV0 / GDPR mit auch Privacy by design / Privacy by default / security by design, ePrivacy, eIDAS elektronische Signatur, ePDG) bzw. offene Formulierungen in Richtung „Stand der Technik“ noch verbesserungsfähig.

Ein reiner «Schweizer Datenschutz oder Schweizer Standard» in der Regulierung / Standardisierung / Normierung ist aktiv zu verhindern (bzw. mittels Orientierung an „Stand der Technik“ und europäische Standards und Regulationen zu optimieren), verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten. Dass es letztlich hierbei auch um das marktrelevante Thema der Innovationskraft und des Business Maturitäts-Levels geht liegt auf der Hand.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» und auch Nachfolge-Strategie NCS 2 werden ebenfalls adaptierbare Resultate und „best practices“ von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Militär, Spitäler zu erwarten sein welche wiederum auch den möglichst offen formulierte „Stand der Technik“ mitprägen.

Entsprechend möglichst offen formulierte «Open Systems / Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) mittels „verteilten Systemen“ und basierend auf „Stand der Technik“ als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Das Herz / Core-System gilt es zu intelligent orchestriert zu schützen

Das immer schneller pochende und geforderte „Herz des Core-Systems“ ist die Verfügbarkeit durch optimierte Angriffs- und Betriebs-Sicherheit der „massiven Interkonnektion der verteilten Systeme“.
Zunehmend sind geforderte Verfügbarkeiten und adäquate Ausfallszenarien abhängig von solchen „intelligent orchestrierten (Teil)Systemen“.
Damit alle einzelnen Kettenglieder der Wertschöpfungskette die forderten Dienste und Verfügbarkeit liefern können bedarf es unteranderem auch die Betrachtung der einzelnen „Akteure und Layers der Interkonnektion“.

OSI-Layer als eines von vielen Beispielen der nötigen Gesamtbetrachtung von der Collaboration von „verteilten Systemen“

Ein solches anerkanntes und hier im Kontext bewusst gewähltes, als einfach verständliches Modell ist das „OSI-Modell“. Das international seit über 30 Jahren bewährte OSI-Model ist ein Referenzmodell für Netzwerkprotokolle in der Betrachtung als Schichtenarchitektur der einzelnen Komponenten einer möglichst verlässlichen Kommunikation. Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische, verteilte Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben zur auch Optimierung von Fehlersuchen und Spezialisierungen.

Im Rahmen der Gesamtbetrachtung der Verfügbarkeit und auch Angriffs- und Betriebs-Sicherheit eines verteilten Systems kommt auch mit dem Beispiel des OSI-Modells sehr klar und gut zum Vorschein, dass z.B. beginnend mit der Verkabelung / Übertragungsmedium (OSI-Layer 0 > 1) bis hoch zur Applikation (OSI-Layer 7) jede Ebene / jeder Akteur inkl. dem inoffiziellen OSI-Layer 8 (der Anwender / Mensch / künftig AI und „cyberphysical Systems“) eine relevante und vitale Rolle einnimmt in der Sicherheit und Verfügbarkeit von verteilten Systemen.

Es ist unschwer zu erkennen, dass viele Fach-Artikel, Produkte, Technologien und auch Hypes sich sehr fokussiert mit „nur“ den höheren OSI-Layern befassen, also mit z.B. der Anwendungsschicht (OSI-Layer 7) und dem Anwender selber (inoffizieller OSI-Layer 8).

Genau darum ist es wichtig, dass ebene sämtliche technische Komponenten, Schichten und prozessuale Methoden, Akteure (also eben als gewähltes Beispiel ALLE OSI-Layer 1 bis 8) bzw. alle Aspekte betrachtet werden.

Weitere Informationen und Checklisten
.

Speziell mit eben der gesamtheitlichen Sicht auf den «Plattform Kapitalismus» und der stetig erhöhten Anforderung an die Verfügbarkeit und Angriffs- und Betriebs-Sicherheit der «massiven Interkonnektion» müssen alle diese Akteuren auch in einer nachhaltigen Interdisziplinarität noch besser miteinander abgestimmt werden mit dem Fokus auf „Stand der Technik“.

Einige, bewusst einfache Beispiele (ohne Anspruch auf Vollständigkeit) zur Verständnisförderung:

  • Keine „massive Interkonnektion“ ohne verfügbare, verlässliche Stromversorgung im Haus / Gebäude / Quartier / Ort / Region / smartGrid / smartEnergy / Schwarm-Versorgung oder Staat.
  • mit Sensoren und IoT-Elemente durchwachsene CyberCity funktioniert nicht ohne Internet, Netzwerk, Strom oder gar benötigte redundant ausgelegte, ausfallgesicherte Netze oder neue Services und Technologien wie 5G.
  • DoS / DDoS Distributed Denial of Service Attacken mittels z.B. Botnetzen und auch beauftragt aus dem „Darknet“ können durch Überlasten oder auch Gegenmassnahmen wie temporär Sperren / Blockaden die Verfügbarkeit der vernetzten oder zentralisierten Systeme reduzieren.
  • Verfügbarkeitsverluste oder vitale Unterbrüche durch mindere Qualität von eingesetzten (Aktiv)Komponenten und Netzwerkkabeln.
  • Suboptiomal orchestriertes oder zu wenig zugunsten Angriffs- und Betriebs-Sicherheit optimiertes Common Data Environment (CDE) oder deren Schnittstellen / Microservices / Middleware / API
  • Bestandesaufnahme, Dokumentation, Lizenzen Verwaltung, Rechtedefinitionen, Daten- und Risiken-Klassifizierungen in einem nachvollziehbaren und beweisbaren Register für den ganzen «Data Life Cycle»
  • Aspekte und Massnahmen zu «system design by weakest user» z.B. auf Baustelle (?) oder ? à „user centric security“
  • Multilayer Security“-Gesamtsystem Ansatz zur Verständigung der möglichen prozessualen und technischen Ansatzpunkte und Notwendigkeiten einer gesamtheitlichen Sicherheits-Strategie. Über den Perimeter bis in den Kern zum „Mission Critical Asset“
  • Adäquate Backup- und Verschlüsselungs-Strategie je nach z.B. Daten-Klassifizierungen (z.B. Schutz von kritischen Daten gegen z.B. auch Verschlüsselungs-Trojaner oder lange nicht entdeckter „Malicous Code“), Aufbewahrung (10 Jahre), Archivierung und Datenschutzregulationen (z.B. Recht auf Löschung)
  • Geräte-, System- und Services-Monitoring mit auch „predicted“ Maintenance und „behaviour analysis“ als proaktives Früherkennungssystem und erste maschinenunterstützte Abwehrlinie.
  • Fokus und offene Formulierungen in ICT-Strategie und ICT-Planung in Richtung „Stand der Technik“, „security by design“, „security by default“, Daten- und Rechte-Minimierung
  • Fehlendes Business Recovery System & Business Contingency Planning
  • ICT-Risk Management, ICT-Risk-Versicherungswesen
  • Gesamtheitliche ICT-Strategie oder nur schon ICT-Planung, Führungsverantwortung (GL und VR) zu CyberSecurity.
  • KnowHow-Management, Personenabhängigkeiten und Stellvertretungen
  • Massnahmen gegen Anti-Shadow-IT (do NOT build new legacy systems)
  • Mitarbeiter Sensibilisierung und Training zur sicheren und effizienten Collaboration – Unkenntnis schafft Unsicherheit …
  • Personal Analytics mittels Assessment und Tests bei Rekrutierung / Anstellung oder Arbeit / Aufgaben / KnowHow in kritischen Projekten
  • Der Akteur Mensch kann (muss!) mittels dem Fakt(or) der möglichst Reduzierung der „human interaction“ und technischen und prozessualen Unterstützung des Automatisierungsgrads werden.

Entsprechend ist die nötige Sicherheits Strategy  BASS (Built Asset Security Strategy) die erste und wichtige Grundlage für eine der vielen Organisations Informations Anforderung OIR der ICT-Gesamtsicherheits-Architektur. Hier legt man die Basis wie die interne oder organisationsübergreifende Architektur adressierte Sicherheitsaspekte definiert und regelt. Diese soll möglichst offen formuliert sich an „Security by design“ und „Stand der Technik“ anlehnen und dadurch aufgefordert dynamisch bleiben in der fortwährenden Dynamik der Bedrohungslage in der CyberSecurity.

Unabhängig vom effektiv benötigtem Umfang und Anwendungstiefe je nach Projekt lohnt es sich in jedem Falle, diese Grundlagen zu definieren und eine umfassende Klassifizierung bezüglich z.B. Schutzniveau, Schutzklasse, Schadenspotential, personenbezogenen Daten umzusetzen und zu unterhalten. Je nach benötigten Überwachungsparameter können mittels adäquaten unterstützenden Automatismen oder Monitoring-Systemen oder Monitoring-Methoden wie z.B. SCADA (Supervisory Control and Data Acquisition) oder Cloud-Monitoring-Systemen das operative bzw. „on going“ Sicherheits-Level (Betriebs- und Angriffs-Sicherheit) integriert überwacht werden.

Mit einem weiteren Hilfsmittel und Methode wie z.B.  BASMP (Built Asset Security Management), der Sicherheits Bewertung AIR (asset of information requirements of security) kann man entsprechende Anwendungsgrade erkennen und anwenden.

Damit ein solches Gesamt-System funktioniert und wirklich gelebt werden kann ist mittels entsprechenden weiteren Massnahmen und KnowHow-Transfer auch die Sicherheit auf Stufe der  Anwender (EIR employer’s information requirements of security) speziell zu integrieren in einem wiederkehrenden, «security minded» Sensibilisierungs-Prozess.

Damit auch externe dritte Akteure die gemeinsame Verantwortung des definierten Gesamt-Sicherheitssystem mittragen können müssen diese möglichst früh sensiblisiert, involviert, befähigt und bei Bedarf sogar zertifiziert werden.

Letztlich kann nach der möglichst umfassenden Integration aller Akteure (inkl. auch Vertragsrelevanzen) und entsprechenden Datenschutzfolgenabschätzungen auch die Organisation und Prozesse definiert werden für ein Incident Response Management mit Vorgaben für z.B. Sicherheitsvorfälle, Meldepflichten, Definition des Data Protection Officers DPO, Krisenkommunikation.

Aufgrund der Komplexität des Security Themas in einer Gesamtsicht ist es unumgänglich, die Zuständigkeit und Verantwortung je nach Projekt und teilnehmenden Akteure neu zu definieren innerhalb der teilnehmenden Akteuren (mit teilweise schon Erfahrungen und adaptierbaren «best practices» hierbei) oder externen Dienstleistern.

Je nach Umfang des Projektes oder Vertrages kann es mitunter nötig sein, weitergehende Analysen und präventive Massnahmen evaluieren zu lassen durch weitere Fachbereichs-Spezialisten für z.B. juristische, vertrags-technische, finanz-technische, ICT-security-technische Aspekte um evaluierte, absehbar weitergehende vitale Risiken zu minimieren.

Die Projektanforderung (das Was) rund um die Sicherheit sind adressiert in der  Sicherheits Bewertung AIR (asset of information requirements of security) und unterscheiden sich bzw. müssen gemappt bzw. stufengerecht adaptiert werden auf die Stufe der  Anwender (das Wie > EIR employer’s information requirements of security).

Bei vielen Bereichen sind unterschiedliche oder nicht abschliessende Definitionen erkennbar bei welchen nicht alles eindeutig festgestellt ist für das «Was», «Wie» und «Wann» und sind deshalb genauer zu definieren, um darauf basierend, auch die adäquat zur Verfügung zu stehenden Services rund um ICT bzw. Security orchestrieren zu können je nach Projekt. Hierzu sollten Elemente und Orientierungspunkte entsprechende schutzklassen-gerechte Anwendung finden aus Normen, Frameworks, Methoden wie z.B. PAS1192-5, CPNI, CEN, ISO (z.B. 27xxx), BSI, BS, OSSTMM, IFC, ITIL, CobIT, NIST, NCSC und anderen internationalen Standards.

Ein höherer BIM-Maturity-Level bzw. „Business Model Maturity“ kann grundsätzlich nur ganzheitlich erarbeitet, erreicht und erhalten werden, wenn alle Elemente auf dem adäquat angepassten Level durchgängig prozessual und technologisch passen und funktionieren >> also auch eine entsprechend passende Maturität der Gesamtsicherheit (Security Maturity Level)

Weitere Artikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

https://fridelonroad.wordpress.com/2018/02/08/bim-startet-durch-es-stellt-sich-aber-die-frage-nach-der-sicherheit/

https://fridelonroad.wordpress.com/2018/03/06/shre-to-evolve-45-licht-in-die-jahrelang-dynamisch-gewachsene-schatten-informatik-shadow-it/

https://fridelonroad.wordpress.com/2018/02/08/100-sicher-ist-die-digitalisierung-ist-durchgestartet-und-etabliert-sich-aber-ist-diese-technologisch-99-sicher-genug/

https://fridelonroad.wordpress.com/2018/01/05/shre-to-evolve-44-ict-glossar-teil-2-sensibilisierung-und-verstaendnisfoerderung-in-digitalisierung/

https://fridelonroad.wordpress.com/2016/01/24/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie/

https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/

sh@re to evolve #45 – «Licht» in die jahrelang dynamisch gewachsene «Schatten-Informatik» (Shadow IT)

Erst wenn “Licht” in die jahrelang dynamisch gewachsene “Schatten-Informatik”  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle

Beitrag Gewerbeverband ksgv.ch

ksgv.ch – Gewerbeverband – AntiShadowIT – Ausgabe März 2017 – Fridels_BLOG_F@R

 

Digitalisierung – GDPR DSGVO Compliance und Vertrauen erlangen und dabei Chancen mehrwertstiftend nutzen

Digitalisierung – „GDPR DSGVO Compliance und Vertrauen erlangen und dabei Chancen mehrwertstiftend nutzen“

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der umfassenden Collaboration – dies auch auf Basis von ICT-Systemen / Clouds und Schnittstellen mit dem Fokus auf maximal abgesicherte Angriffs- und Betriebs-Sicherheit bei auditierbaren Datenschutz-, Privacy- und Compliance-Aspekten.

ksgv.ch – Gewerbeverband – Ausgabe Oktober 2017 – Fridels_BLOG_sh@re-to-evolve – GDPR DSGVO DSG

Hybrid- und Multi-Cloud-Trends

Hybrid- und Multi-Cloud-Trends:

-Strategische «security minded» ICT-Planung und «security minded» ICT-Architecture, angelehnt an die Firmen- bzw. vorallem zugunsten der Digitalisierungs-Strategie zur «Business Model Maturity für growing expectations» und letztlich «data monetization» / «services brokerage»

Siehe auch: https://www.digitaldialog.swiss/de/dialog/security-minded-open-minded-innovation-and-digitalization

+++

– ICT-Gesamtarchitektur «best out of all clouds» / «services brokerage» / «everything as a service» bzw. intelligenter Orchestrierung von auch «hybrid-/multi-clouds» mit z.b. «microservices», «analytics», «containerization», «IoT», «bots», «machine learning», «artificial intelligence», «serverless computing», «cloud coding» / «software defined everything» / DevOps

Siehe auch: https://fridelonroad.files.wordpress.com/2016/06/holzbau-schweiz-ict-servicesmanagement-hybridcloud-04_hbch_201604_it.pdf

Und Referat an HSLU: (time is running… 2 Jahre her aber immer noch irgendwie passend 😉)

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– «maximized» Automation und ICT-Transformation mit Ziel zu «minimized human interaction but maximized customer self service» und «optimization» / «cost management optimization» / «cloud intelligence»

Siehe auch : in Artikeln

+++

– Vom klassischen System- zum flexiblen, «scalable» Services-Management / Managed Services > Sourcing-Strategie

Siehe auch:
https://fridelonroad.wordpress.com/2015/06/07/evolving-from-system-management-to-services-management-with-best-out-of-all-clouds/

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– Regulation, Compliance, Risk-Management und Assessment / Audit à Auseinandersetzung und «classification» / «regtech» ergibt Chancen gegen «ShadowIT» / «blind spots» und zugunsten «take back control» / «data lifecycle

Siehe auch:
https://fridelonroad.wordpress.com/2017/06/24/privacy-security-ch-dsg-ch-e-id-eu-dsgvo-eu-gdpr-all-for-the-best-privacy-by-design/

und: https://fridelonroad.wordpress.com/2014/05/18/ict-audit-und-controlling-innovationen-durch-risk-management-lizenzierungs-Audits/

– «multilayered» Cybersecurity-Strategie / Cloud Security und Massnahmen zur Vision «security by design», «privacy by design», «privacy by default», «regtech», und «full identity and rights management as a managed security service»» (derzeit auch speziell zu CH-DSG und EU-DSGVO / GDPR) mit dynamischen Audit-Zyklen / «incident response management» gegen die dynamischen Bedrohungslagen

Siehe auch:
https://www.mit-group.ch/onprem/ict-security-gesamt-sicherheit-braucht-eine-gesamt-sicht/Und auch mein ISACA.ch-Artikel https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Digitalisierung – Die Digitalisierung birgt viele Chancen für die Schweizer Wirtschaft

Digitalisierung – Die Digitalisierung birgt viele Chancen für die Schweizer Wirtschaft – MIT-GROUP


„Die Schweiz muss sich für die Herausforderungen der Digitalisierung positionieren.“
Was das beinhaltet und wie eine dosierte Regulierung aussehen könnte, sagt Dr. Eric Scheidegger vom SECO.
Interview: Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

„Der Staat sollte keine Industriepolitik betreiben. Investoren und Unternehmen können besser entscheiden, auf welche Pferde zu setzen ist.“

Link zum Interview welches publiziert wurde bei swissICT und Swiss IT Magazine

Digitalisierung in der Schweizer Landwirtschaft 4.0

landwirtschaft-digitalisierung-transformation

Big Data, Iot, Roboter, Automatisierung und Drohnen im Spannungsfeld von staatlicher Regulierung und «smart farming»

Von Fridel Rickenbacher

Dieser Artikel wurde publiziert im Swiss IT Magazine / swissICT landwirtschaft40_ITM-042016_SwissICT

Die (R)Evolution durch die digitale Transformation macht auch bei den meisten, der über 50’000 Landwirtschaftsbetrieben nicht halt und kann je nach z.B. Betriebsgrösse oder administrativer Organisation zu einer modernen Wirtschaftlichkeit und Nachhaltigkeit führen. Das immer schwierigere Umfeld und der Transformationsdruck der entsprechend betroffenen Landwirtschaftsbetrieben drängt zunehmend nach solchen adaptierbaren Innovationen zugunsten von Wettbewerbsvorteilen und Bestandessicherung – auch gegenüber der ausländischen Mitbewerberschaft.

Automatisierung in der Landwirtschaft gibt es schon länger

Es gibt schon länger zahlreiche digitale Helfer und teil- oder voll-digitalisierte Automaten wie z.B. GPS-Systemnutzung, Melkautomaten, Fütterung, Düngung, Saat, Waldbewirtschaftung, Transport, Logistik, Datenerfassungen, Ortung, Alarmierungen, Mähroboter, Sensorik, Maschinen- und Landmaschinen-Steuerungen oder auch vollintegrierte mobile Lösung in der Landwirtschaft. Vielfach sind aber solche Systeme infolge noch fehlender Vernetzung oder unvollständiger Integration suboptimal in Betrieb – mit entsprechend brachliegendem Ausbau-Potential.

Die Landwirtschaft passiert(e) auf dem Feld oder auf dem Hof – aber (noch) nicht in der Cloud

Zunehmend integrierbare Technologien rund um Drohnen, Robotik, BigData, IoT (Internet of everything), Data Analytics sind dank Cloud Services nutzbar für mittlerweilen jedes Budget – also auch jede Betriebsgrösse und zum Starten / in der Basis auch für Anwender ohne spezielles EDV-Wissen. Zudem sind sich die meisten bäuerlichen Betriebe bereits jetzt schon gewohnt, zeitlich relativ viel in elektronische Administration zu investieren. Mit entsprechend stark optimierten und intuitiv integrierbaren Cloud-Services stehen den Betrieben und auch deren Lieferanten (Maschinen, Systeme, Automaten) völlig neue Möglichkeiten in greifbarer Nähe zur Verfügung.

Kompetenzen entwickeln und Angebote aufbauen in Aus- und Weiterbildung

Das Anforderungsprofil der Fachkräfte in der Landwirtschaftsbetrieb wird sich zunehmend wandeln bzw. weiterentwickeln müssen in Organisation, Marketing und eben auch im «Digitalen». Seitens z.B. des Bauernverbandes und Bund würde hier entsprechende Unterstützung angeboten bei Bedarf. Bisher bestand im Bereich des «Digitalen» noch kein akut verlangter Bedarf und dadurch wird es entsprechende weitere Impulsprogramme oder Angebote brauchen. Es scheint, dass der (noch) kleine Bedarf durch mehr Angebote gefördert werden muss. Ein erster Schritt könnte nur schon auch die gezieltere technische und prozessmässige Vernetzung der Betriebe untereinander sein.

«smart farming» überhaupt möglich in der landwirtschaftlich stark fragmentierten Schweiz ?

Die sehr grosse Vielfalt der Landwirtschaftsbetriebe in Bezug auf z.B. Grösse, Betriebsart, Produkte, Höhenlage, Flächenfragmentierungen lässt eine nachhaltige Modernisierung – bei auch Optimierung von Administration und Effizienz – von entsprechenden standardisierten Lösungen nur erschwert zu. Offenbar ist auch die Betriebsgrösse und Betriebsstandort im Flachland sozusagen linear zum Status quo und weiteren Innovationen im Bereich der Digitalisierung. Die Industriealisierung der Landwirtschaft im z.B. grossen Nachbarkanton Deutschland (geschweige denn USA …) ist auch aufgrund solchen Themen in den meisten Bereichen entsprechend weit(er) vorangeschritten im Beispiel der Getreideernte und der konsequenteren Nutzung von Daten und verfügbaren Systemen. Einzelne gesetzlich, regulatorisch noch offene Teilaspekte für Einsatzbereiche von z.B. Pflanzenschutz, Drohneneinsatz und Flächennutzung sind noch zu spezifizieren.

Aus «Butterbergen» werden vernetzte «Datenberge»

Weil bei jedem Betriebsablauf, Prozessen, Sensoren und auch bei Produkten und Tieren immer mehr Daten erfasst werden und entstehen sollte es nun darum gehen, diese bis anhin vielfach brachliegenden, wiederverwendbaren und vor allem weiterentwickelbaren Daten zu nutzen. Dabei sollte verhindert werden, dass nicht wieder unnütze «Berge» entstehen wie Ende der 70er-Jahre mit den damaligen «Butterbergen».
Es bleibt zu hoffen, dass es kontextbasiert dieses mal keine weitere Regulation oder Quotenerlass braucht wie damals die anfangs der 80er-Jahre eingeführte «Milch-Quote».
Im Bereich von Big Data und IoT kann und wird es nie Quote geben dürfen damit das Leistungsspektrum und Potential vollumfänglich genutzt werden kann.
Das Auswerten und Nutzen von solchen «Datenbergen» könnte auch diverse Vorteile generieren im Bereich von «Data Analytics» oder «predicted computing».
Hier sind einzelne Beispiele zu nennen in Bereichen von Aufzeichnungspflichten, Wettervorhersage, Bodenverdichtung, Feuchtigkeit, Zustandswerte von Maschinen / Felder / Früchten / Tieren und auch diesbezüglich nutzbaren und effizienzsteigernden Vorhersagen / Trends («predicted computing»)

Zukunft des «digitalisierten» Landwirtschaftsbetriebes

Wie auch schon länger bei anderen, effizienzoptimierenden oder «fachkräftmangel-gebeutelten» Branchen werden je nach weiterer Innovations-Adaption und möglichst Regulierungsoptimierungen allenfalls auch zunehmend einzelne Arbeiten oder gar Saisonarbeiter unterstützt oder gar ersetzt mit «autonomer Robotik und Automatisation».
Zunehmend werden vor allem auch die Nachfolgegenerationen in den Landwirtschaftsbetrieben keine Kompromisse mehr eingehen wollen in Bereichen von Mobilität und Freiheitsgrad derer Arbeit. Das wird hier zur Folge haben, dass ein «moderner» Landbewirtschafter von sämtlicher cloud-basierten Technologien profitieren und zu seinem Wettbewerbsvorteil nutzen will – und zwar standortunabhängig im Stall / Betrieb / Zuhause / aus den Ferien / für Stellvertretung / auf dem Traktor und geräteunabhängig auf dem Smartphone / Apps / Tablet / Heim-PC / Stall-PC.
Viele Betriebe stehen zudem vor Generations-Übergaben und tun gut daran, auch mittels solchen Wegbereitungen, Ausbau von Vernetzungstiefe unter den Betrieben und teilweise auch halt visionären Entscheidungen die Attraktivität des Betriebes und des Berufsstandes zu festigen und auszubauen.

Von Fridel Rickenbacher ist Mitglied der AG Redaktion swissICT Magazin und Partner der MIT-Group

 

Share to evolve – Wissensaustausch und Weiterentwicklung durch ICT-Tech-Clusters

C__Data_Users_DefApps_AppData_INTERNETEXPLORER_Temp_Saved Images_schwarmintelligenz

Publizierter Artikel bei swissICT : ITM2015-11-Swiss ICT-Innovation-Clusters-share-to-evolve-V3

Je nach hier zusammengefasster und kommentierter Betrachtung und Quellen aus Studien z.B. der ETH, HSG oder Wikipedia sind Clusters eine „Art Agglomerationen von verwandten Branchen oder Interessensgemeinschaften“ welche sich mit einer ausgeprägten Interaktion eine vielfach herausragende Dynamik in Themen wie Wirtschaftlichkeit, Wettbewerbsvorteile und Innovation behaupten und auszeichnen.

Innovationsdruck zwingt zum Umdenken
Im stetig wachsenden und strategisch immer wichtiger werdendem Innovationsdruck suchen Organisationen und auch Standortförderer in (z.B. auch durch Chancen von Industrie 4.0) gewinnbringende Nähe und Synergien in Clusters.
Die Geschwindigkeit, Verbreitung und Einfluss von technologischen Innovations-Zyklen zwingt Firmen zur eigenen Transformation.
Hierbei spielt zunehmend auch die Arbeitgeber-Attraktivität („war for talents“ / Fachkräftemangel) eine gewichtige Rolle bei der Suche für mit-denkenden Team-Playern für die Mitarbeit gemeinsamer Visionen.

Vernetzungsbasierter gemeinsamer Erfolg
Unschwer ist erkennbar, dass ein solcher ICT-Tech-Cluster nur mit gut aufeinander abgestimmten, unterschiedlichsten Faktoren zu einer Art „vernetzungs-basiertem“ Erfolg führen kann.
Prädestiniert sind dabei vielfach auch Startup-Aktivitäten die sich an solchen Orten tummeln und mitunter erfolgreich (heran)wachsen und sich die Daseinsberechtigung im globalen Markt erarbeiten und regelrecht verdienen.
Die ungezwungene Nähe und spontane Austauschmöglichkeit in Clusters überwindet Grenzen (z.B. auch Technologie, Geografie, Kultur, Wissen) welche auf globaler Ebene seltener überschritten werden könnten.
Je nach Cluster scheinen sich sogar Unternehmen, Bildungspartner und Netzwerkpartner zu tummeln mit ähnlichen Problemstellungen, jedoch mit einer eher wettbewerbsunüblichen, übergeordneter Bereitschaft zum befristet, gemeinsamen Kollektiv auf der „Suche nach dem gewissen Etwas“.

Innovationsdefizite durch falschen Wissenschutz
Es scheint, dass High-Tech-Firmen mitunter auch erkennen, dass sie in einer Art Vakuum (z.B. Wissensschutz, Innovationsdefizite) drohen „in markt-unerkannter Schönheit zu sterben“ und dadurch durchaus auch bereit sind, deren z.B. Visibilität und gelebter Offenheit bewusst zu optimieren an solchen „Mini Silicon Valleys“ und sich demnach nicht in einer Art „Panic Rooms“ in der eigenen Region einzuschliessen. (was völlig konträr zur nötigen Offenheit / Vernetzung für Industrie 4.0 steht)
Der Kampf und Bewerbung um gut positionierte ICT-Tech-Clusters im Rahmen von auch z.B. Regionalförderungen generiert weitere Nischenmärkte, Ressourcen und nützliche Partner zum unterstützten Ausbau von Kooperationsnetzwerken und „Innovations-HotSpots“.
Der proaktive Austausch und interdisziplinäre Unterstützung mit/durch Hochschulen, Wissenschaft, Investoren, Behörden, Politik, Gesellschaft, Firmen und auch Business Angels / Mentoren sollte die regionale, wirtschaftliche und politische Einbettung eines solchen Clusters optimieren und fördern.

Clusters helfen beim Krieg um Talente – „war for talents“
Ein Unternehmen beherbergt letztlich die Mitarbeiter welches es verdient (das beruht theoretisch auf Gegenseitigkeit… theoretisch). Ein Mitarbeiter welcher hierbei mit den besten Strategien, Prozessen, Services, Technologien, Apps, Dashboards, Reportings unterstützt wird und dabei weniger Reibungsverluste infolge z.B. ineffizienter / arbeitszeit-verschwenderischen Arbeitsweise, Defiziten in der Work-Life-Balance zu beklagen hat wird besser an den gemeinsamen Firmen- und Projekt-Zielen mittragen können und dies letztlich motivierter auch wollen… wenn diese Attraktivitäten auch noch in einem gut positionierten Cluster gebündelt anzutreffen sind steigert das ebenfalls die Arbeitgeber- / Arbeitgeber-Attraktivität zugunsten der Suche und Retension von Talenten und Nachwuchs.
Die Arbeit ist dank den mobilen Technologien eine Aufgabe und nicht mehr nur ein Ort. Durch Clusters könnte diesem Trend der Standortunabhängigkeit eine dosierte und auch gewinnversprechende Wendung herbeigeführt werden. Ein Gewinn kann in der nicht immer nur monetär zu wertenden Optik hierbei nur schon das „Ernten der investierten Saat“ in Form von z.B. Vernetzung, Wissenstransfer, gemeinsamer Forschung und Weiterentwicklung, besseren Vermarktung oder auch „Zufalls-Neben-Produkte“ sein.

Schwarm-Intelligenz dank Clusters ?
Es scheint aufgrund der Anzahl Cluster-Bildungen und Wirtschaftsraum-Förderungen, dass sich mit der Konzentration von einem übergeordneten, gemeinsam zielorientierten Kollektiv auch viele Seiteneffekte oder gar innovative Nebenprodukte generieren lassen.
Umso stärker diese Zellen – auch interdisziplinär – interagierend vernetzt sind umso erfolgreicher wächst ein Super-Organismus (Teil der digitalen Transformation) in Clusters heran.
Sozusagen ein kleiner Staat (ohne verstaatlichte Überregulierung…) ähnlich dem Vorbild von Bienen oder Ameisen mit einem extremst gemeinsamorientiertem Sinn und Zweck – letztlich zugunsten dem Fortbestand und Existenzberechtigung.

In einer anderen Parallelität zum Internet oder der künstlichen Intelligenz entsteht als trendiges Gegengewicht potentieller Nährboden für eine Aggregation von menschlicher Intelligenz. Durch diese florierende, auch interdisziplinäre Aggregation in Clusters entstehen mitunter auch konsensbasierte Innovationen aus dem Besten und von den Besten.

Evolving from system management to services management with „best out of all clouds“

itsm-landing-pg_shutterstock_106100270

Erst wenn “Licht” in die jahrelang dynamisch gewachsene <Schatten-Informatik>  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle.

Jahrzehntelang mussten mangels echter Alternativen die Business-Prozess-/Anforderungen abgebildet werden mit lokalen ICT-Support-Prozessen und auch bis dato funktionierenden und stets als robustes “Rückgrat” fungierenden “best practices” basierten System-Umgebungen.
Viele Hypes und Trends in Bereichen wie “bring your own devices (byod)”, “new economy”, “cloud computing” und der stetig (längs überfälligen…) aufholenden Industriealisierung und Automatisierung in der ICT veränderten auch die seitens Mitarbeiter und Führungsebene angewachsenen Bedürfnisse im “Fokus des Nutzens versus Technologie”

ICT in den Führungsgremien – Innovation und Marketing in der ICT
Als eine weitere “disruptive” Entwicklung im fortwährenden Kampf der Diversifizierung im Mitbewerber-Markt war die Umkehr der Kräfteverhältnisse. Früher war die Basis von neuen halbwegs durchgängigen und umsetzbaren Prozesse und Produktion mit-gelegt worden seitens der damals zur Verfügung stehenden ICT-Lösungen. Seit längerer Zeit müssen sich geradezu umgekehrt die ICT-Support-Prozesse richten an den Anforderungen des dynamischen Marktumfeldes (z.B. time to market) und adaptierbaren Innovationen. Diese Paradigmawechsel hatte (zum Glück…) auch die Folge, dass ICT-KnowHow gefragt war in der Führungsebene für auch Themen wie IT-Strategie, Compliance, Risk.

(R)Evolution auch im ICT-KnowHow
Dieses ICT-KnowHow in der Führungsebene hat sich mittlerweile innert kurzer Zeit (und auch angetrieben durch die massivst laufend (r)evolutionierten  Cloud Services) ebenfalls bereits wieder verändert vom ursprünglich gegebenen eher technischen ICT-KnowHow zum nun eher services- und nutzungs-orientierten Prozess-KnowHow.
Im Fokus stehen zunehmend die Nutzungs-Aspekte, Anwender – und letztlich die Kunden -und entsprechend änderten sich die gesuchten Qualitäten von reinen Spezialisten zu Generalisten mit auch “nicht-technischen”, aber prozessualen Kenntnissen.

Take back control and then evolve … – hervor unter dem Pult und dann offen für die Welt
Die vielen “unter den Pulten” gewachsenen und auch gelagerten (…) ICT-Systeme sind in vielen Fällen selbstverständlich erweiterbar und kombinierbar mit/als Hybrid-Cloud-Services. Mittlerweile sich stark veränderte Marktbedürfnisse, “time to market”-Aspekte und auch die oben beschriebenen Anforderungen der Führung / Firmeninhaber / Aktionären machen es nicht einfacher, die vielfach sonst schon “eher blockierten” Systeme in der verlangten Zeit und Qualität zu transformieren.
Die lückenlose Transparenz und letztlich volle Kontrolle zurückzugewinnen – bei auch besser bewertbarem Risiko-Management – ist entsprechend und verständlicherweise teilweise verbunden, mit der schrittweisen Transformation auf zukunftsorientierte, budgetierbare und skalierbare Hybrid Cloud Services.

Betriebssicherheit (Safety) und Angriffssicherheit (Security) durch/in der Cloud
Unter dem Aspekt von z.B. “Schatten-Informatik (shadowIT)”, Anforderungen von “new economy”, Abhängigkeit von Mitarbeiter / KnowHow-Träger und entsprechenden Qualitätsaspekten und sich stark veränderten Bedrohungslage sind auch in diesen Aspekten die Anforderungen an die entsprechenden Prozesse und Systeme im Sicherheitsbereich und im Risk-Management-System hochkomplex geworden.
Diese Herausforderungen welche auch zunehmend getrieben sind durch Revisions-Stellen, Audits, Complianceanforderungen (z.B. DSG, DSGVO / GDPR) – und der mittlerweilen zunehmend wahrgenommenen Verantwortung auf Führungsebene – zeigen ebenfalls zu einem neuen Trend. Der Trend zur Ausfall-Risiko-Optimierung und Gewaltentrennung (Unabhängigkeit von “internen” Maschinen und “internen” Menschen) durch Nutzung von externen, orchestrierbaren Services in Bereichen wie Security, Systemredundanzen, Disaster Recovery Services, standortgetrenntes Backup, Monitoring und Alarmierung und auch Servicedesk as a Service.

Neue Freiheitsgrade und Potentiale durch Fokus auf orchestrierbare Services gegenüber kopf-abhängiges System-Management
Passend orchestrierte Hybrid Cloud Services und völlig neue (bisher nur erschwert erreichbare) Managed Services und dosierte Öffnung zur “new economy” / neue Geschäftsmodelle ermöglichen auch neue Fokussierungs-Möglichkeiten. Dadurch entsteht auch die Chance und Herausforderung, effizient “Licht in die Schatten-Informatik” zu bringen. Die Verlässlichkeit, Standard und Sicherheit der Analogie zum “Strom aus der Steckdose” oder des “Wasser aus dem Wasserhahn” ergibt auch in der ICT die Möglichkeit, sich auf die Nutzung oder «Genuss des Stroms oder Wassers» zu konzentrieren (eine Art Services Management).
Diese Analogie sollte und wird auch entsprechend immer mehr Einzug halten in den ICT-Umgebungen und mit-helfen, neue Konzentrationen zu ermöglichen auf gelieferten Services von hoch-standardisierten / spezialisierten Anbieter. Dieser reinen Nutzung im Gegensatz zu reiner selbstproduzierter, mitunter aufwändiger Technik mit teilweisen Defiziten in der Verfügbarkeit bzw. Lieferbedingungen (Wasser aus dem selbstgegrabenen Wasserloch ? und Strom produziert vom eigenen Dynamo ?)
Dadurch können die Kernkompetenzen und die internen Prozesse weiter optimiert und die dosierte Weiterentwicklung zu neu adaptierbaren Geschäftsmodellen vorangetrieben werden. Dies auch mit der Befreiung und Entlastung der bisher teilweise “blockierten” KnowHow-Trägern oder “festgefahrenen” Systemen mit bisher beschränkten Skalierung.

“best out of all clouds” und «Stand der Technik»
Um sich als Konsument im Dschungel der unterschiedlichsten und nicht immer vergleichbaren Angeboten zurechtzufinden braucht es z.B. Vergleichstests, Angebotsportale, erfahrene Berater oder aber Gesamtanbieter (Solution Brokers, Managed Services Anbieter) mit entsprechenden weitergehend unterstützenden Branchenerfahrungen und Referenzen. Solche erfahrene und auch offizielle zertifizierte Gesamtanbieter – welche dann auch als Gesamtansprechpartner (single point of contact) sämtliche Herausforderungen abdecken, Probleme beheben und vorallem die besten Lösungen finden – haben sich über Jahre und aus eigenen Erfahrungen / entsprechendem Branchenwissen, die am besten orchestrierbaren und bestens bewährten Services aufgebaut. Da solche Gesamtanbieter teilweise dann auch über die entsprechenden zertifizierten Kompetenzen und spezielle Support-Verträge mit den Services-Lieferanten, haben profitiert der Kunde zusätzlich. Dieses “unbezahlbare” und aber für Kunden mittlerweile nutzbare Wissen, Skalierung und letztlich Vorteil gegenüber Mitbewerbern stellt den Anspruch sicher, dass die Endlösung wirklich basiert auf den maximalst bewährten, standardisierten und automatisierten “Managed Cloud Services” mit dynamischem Fokus auf «Stand der Technik». Durch genau solche auf “best out of all clouds” basierten Lösungen bleibt die Lösung standardisierbar, skalierbar, beherrschbar und letztlich auch unabhängig von den Anbietern. Aufgrund dieser zukunftsorientierten Nutzung entsteht eine nachhaltige Lösung mit fortwährenden Bestreben zum «Stand der Technik» und Einhalten von Compliance Anforderungen wie z.B. DSG, DSGVO / GDPR.

“Innovativ mit-denken, qualitativ handeln”
Dieser auf den ersten Blick einfach aussehende Idee, Anspruch und denkbare Anforderung für eine normale Weiterentwicklung von Prozessen oder Geschäftsideen funktionieren eben nur wenn man sich von möglichst vielen unterstützenden Themen (wie eben Wasser, Strom, Cloud…) entlasten und sich befreit, ungestört konzentrieren kann auf den «Reifegrad des eigenen Geschäftsmodells».

Change und Innovations Management inklusive
Viele solche Projekte gehen mitunter viel weiter und je nach Erfahrungen des gewählten Service Providers kann dieser den Kunden auch weitergehender beraten und begleiten. Weitergehend eben als nur die einmalige Planung, Migration und Betrieb der orchestrierten Cloud-Lösung sondern viel mehr auch im nötigen Change Management, Nutzungsoptimierung, Bewertung und Weiterentwicklung von adaptierbaren Innovationen oder Aufbau von neuen Basen für neue Geschäftsmodellen.

Zu guter letzt und wiederkehrend… Training, Befähigung und Weiterentwicklung
Bekanntlicherweise wird nur jeweils ein Bruchteil der effizienzsteigernden Features genutzt. Es ist lohnenswert durch eine fortwährende Nutzungsoptimierung, die enthaltenen, mit-lizenzierten Features mittels entsprechenden Lösungs-Demonstrationen und darauf aufbauenden Trainings und “best practices”-Workshops, diese Zusatz-Nutzen-Aspekte zugänglich zu machen. Die laufenden Services- / Features-Weiterentwicklungen können dann auch einfacher / kontinuierlich in der eigenen Weiterentwicklung / Effizienzsteigerung der Organisation nach-geschult und integriert werden.
Letztlich führen solche Werkzeuge / Möglichkeiten / Effizienzsteigerungen mitunter auch zur Optimierung und Unterstützung der Arbeitgeber-Attraktivität und Mitarbeiter-Motivation.

Adaptierte Innovation und Evolving in der Bauindustrie-Informatik

civil22

Der Wandlungsdruck in allen Business-Prozessen (z.B. heruntergebrochen auch in der Planungs-/Büro-Automatisation) aufgrund aktuellen und künftigen Anforderungen und Potentialen des Marktes, Auftraggeber, Mitbewerber, Regulatorieren setzen unteranderem auch die maximal effizient funktionierenden Hilfsmittel (z.B. passend orchestrierte ICT- / Cloud-Services) voraus.

Trends wie Mobility, Cloud (z.B. „People centric ICT“), Information (Stichworte BIM, Datenaustausch, GIS, BigData, IoT, App Economy, Baudigitalisierung) Social (Stichworte z.B. Outputs / Impacts laufend „liken“ und bewerten von Akteuren und an z.B. Mitarbeiter-Gesprächen miteinbeziehen) werden weitere Impacts auf „digital economy“ bzw. neue Business-Modelle im ganzen Planungs- und Bau-Prozess mit-prägen.

Die Unternehmen brauchen zunehmend eine durch Spezialisten passend orchestrierte „Insel der Ordnung“ in einer chaotisch dynamischen und dauer-hypenden Cloud-Welt. Traditionelle, auch interne ICT-Services und Ansätze stossen hierbei immer mehr (oder schon länger …) an ihre Grenzen.

Dass dabei sich immer mehr eine „Maxime der Spezialisierung auf die Kernkompetenzen“ die Gesamtdienstleistung auf mehrere hochspezialisierte Dienstleister (z.B. Partner, Subunternehmer) oder Services (z.B. „best out of all clouds“) stützt und nicht mehr alles alleine beherrscht werden kann (Nutzungs-Fokus versus Eigenbetriebs-Fokus, make or buy) kristallisiert sich immer mehr heraus.

Bei vielen Organisationen werden (müssen…) intern, nachvollziehbare und verständlich auch so dynamisch gewachsene Schatten-Informatik-Umgebungen zukunfts-ausgerichtet re-organisiert zugunsten der nötigen Optimierung, Transparenz, Transformation, Risiko-Management, Safety/Security und letztlich mitunter auch Chance der Rückgewinnung von Kontrolle und Vertrauen seitens der dafür verantwortlichen Führungsebene.

Die Daten-Intensität / -Dichte und Weiterentwicklungen in den Bereichen der innovativen Co-Information-Worker-Arbeitsmodelle und (Cloud)-Technologien fordern auch die Arbeitgeber, deren eingesetzten ICT-Services (und in Zukunft zunehmend auch „machine learning based“ unterstütztem Informations-Management) bezüglich deren Arbeitnehmer-Attraktivität und „war for talents“ (eine der massgebenden Zukunftsaufgaben der Unternehmen). Dieser Krieg um die besten bzw. passendsten Mitarbeiter wird auch im Bereich des HRM geprägt sein von dynamischer Individualität (als Megatrend), flexiblem Freiheitsgrad und komplexer Vereinbarkeit.

Ein Unternehmen beherbergt letztlich die Mitarbeiter welches es verdient (das beruht theoretisch auf Gegenseitigkeit… theoretisch). Ein Mitarbeiter welcher hierbei mit den besten Strategien, Prozessen, Services, Technologien, Apps, Pocket-Office, Dashboards, Reportings unterstützt wird und dabei weniger Reibungsverluste infolge z.B. ineffizienter / arbeitszeit-verschwenderischen Arbeitsweise zu beklagen hat wird besser an den gemeinsamen Firmen- und Projekt-Zielen mittragen können und dies letztlich motivierter auch wollen…
Unternehmen bzw. deren bereitgestellten Services könnten es schaffen, die künftige Arbeit als eine Art in allen Belangen „optimiertes Konsumerlebnis“ zu erleben. Dieses „Konsumerlebnis“ könnte es (leider…) auch schaffen in dosierter und zielgruppen-basierter Form, die teilweise digitalen Abstinenzler (z.B. in Freizeit oder generell) zu erreichen.

Ein mitunter dadurch entstehender gemeinsamer Willen und Bereitschaft entsprechende Wissens- und KnowHow-Transfer-Gemeinschaften intern und bei Bedarf auch extern (z.B. mittels andockbare Schnittstellen, Services, Collaboration, Apps, Selfservices) zu bilden kann zusätzlich helfen die Kosten zu reduzieren und letztlich die Personen-/Wissensträger-Abhängigkeiten zu optimieren.

Es kann eine völlig neue Innovations-Fähigkeit und auch Service-Qualität des Unternehmens entstehen welche wiederum die vorausgesetzte Basis ermöglicht für künftige, immer flexibler werdende Arbeitsgemeinschaften in der digitalisierteren Bauindustrie.

Die schon länger bekannte Forderung nach der geräte- und standort-unabhängige Arbeitsweise (auch bring your own device / bring your own desaster … byod) – nämlich genau „hier und jetzt“ bzw. wenn das beste Arbeits-Ergebnis erzielt werden kann – wird noch weitere Ausprägungen in einer 7x24h-Information-Worker-Gesellschaft mit sich bringen und dadurch Bereiche wie wiederum Safety (Betriebs-Sicherheit, Verfügbarkeit) und Security (Angriffs-Sicherheit, Datenschutz) weiter fordern.

Aufgabenfelder, Massnahmen:

– ICT-Strategie, ICT-Planung, ICT-Risk, ICT-Transformation, ICT-Innovation angelehnt und zur Unterstützung der Firmen-Strategie thematisieren in z.B. Workshops, Weiterbildung

– Anwendungs-spezifische Workshops, Kurse, Webcasts fuer optimerbare Büro-Automatisation, Planungs-Prozesse (PP) mittels best practises von denkbar „KnowHow-transfer-bereiten“ und sich weiterentwickelten Vorzeige-Organisationen (Wissens-Community-Gedanke)

– Zukunfts- und Ideen- / Impuls-Workshops für Aufzeigen, Erkennen und gar Adaptieren von aktuellen oder zukünftigen Trends

the „always ONline“ knowledge worker, supported by board, Big Data and IoT

digital-worker

People Centric ICT als Basis für die digitale Transformation
In Zukunft werden in ICT-nahen Berufen und Ausbildungen immer mehr Fähigkeiten benötigt, bei welchen der Mensch als seitens von Maschinen supportetem Anwender (People Centric ICT) im Mittelpunkt der angestrebten digitalen Transformation steht.
Die People centric ICT muss aber auch weiterentwickelt werden in Bereichen wie effizientere Collaboration (z.B. Ergänzung und Reduktion vom klassischem Email mit anderen Plattformen oder „machine learning“ Support-Prozessen) und auch optimierten Workplaces / Büroarchitektur (z.B. Massnahmen zur weiteren Reduktion von Ablenkungen und Optimierung der Arbeits-Konzentration, friendlyworkplaces) und Gesundheitsmanagement generell (z.B. Stressprävention, Fit at Work, Absenzenmanagement, Work-Life-Balance bzw. Online-Offline-Balance)
siehe auch: https://fridelonroad.wordpress.com/2014/07/02/ict-offline-ein-ding-der-unmoglichkeit/

War for talents + war against Brain-Drain – Austausch von high potentials
Solches Expertenwissen – kombiniert mit dem Lösungs-, Anwender- und User Experience-Fokus – ist jetzt schon rar und könnte noch akzentuiert schwieriger werden zu rekrutieren.
Die Arbeitgeber-Attraktivität bzw. Beliebtheitsgrad von solchen „digitalisierten Unternehmen“ wird zunehmend wichtig und seitens der Firmenstrategie angestrebt werden müssen.
Der „war for talents“ verlangt demnach auch einiges ab vom Arbeitgeber, Personalentwicklung in Bezug auf eine möglichst tiefe Mitarbeiter-Fluktuation und kleinstmöglichem KnowHow-Brain-Drain in solchen zunehmend firmenvitalen und „zu schonenden“ Schlüsselpositionen als beschränkte Ressourcen.
Dabei sind auch wir als politische und wirtschaftliche Mitglieder in einem demokratischen System, als Staaten und einem (Binnen)Markt gemahnt und gar in der Pflicht dafür besorgt zu sein, dass wir uns nicht abwenden oder isolieren von einem potentiellen und letztlich gewinnbringenden Austausch von solchen „high potentials“ mit irgendwelchen Initiativen oder regulatorischen Bestimmungen.
Diese beschränkten Ressourcen bedürfen auch weitere Unterstützungen in den Firmen mittels einer völlig neuen Form von Sparring und auch Gesundheitsmanagement / Work-Life-Balance (Gesundheit bringt mehr Leistung).
siehe auch: https://fridelonroad.wordpress.com/2014/07/02/ict-offline-ein-ding-der-unmoglichkeit/

Orchestrator als digitaler Lotse auf Führungsebene für den maximalen Business-Support durch ICT
Damit viele solche Herausforderungen und deren Auswirkungen in der „Transformation zur digitalen Economy und digitalen Gesellschaft“ beherrschbar bleiben braucht es auch auf der Führungsebene auf Stufe der Vorgesetzten, Geschäftsführung und Verwaltungsräten entsprechende Innovationen.
Eine Art Chef oder besser gesagt intelligent agierender Orchestrator für „das Digitale“ (CDO – Chief Digital Officer) in einer Organisation kann und wird mitentscheidend sein für den nachhaltigen Erfolg und Innovationskraft in der immer kompetetiver werdenden Mitbewerberschaft und eben diesem Umbau (geleitet durch einen digitalen Bauleiter) auf ein transformiertes Geschäftsmodell.
Diese vielfältige Querschnittsaufgabe kann mitunter auch abteilungsübergreifendes (Teil)Wissen voraussetzen und bedarf auch an einem hohen Mass an Change Management Fähigkeiten und Mindset eines Generalisten.
Eine solchen „Bauleiter für das Digitale“ sollte auch Erfahrungen oder Affinitäten haben in den Bereichen Technologien, Leadership, Marketing, Verkauf, Personal, Kundenbetreuung mitbringen damit die Betroffenen überzeugend und nachhaltig begeistert werden können zu „mitbrennenden“ Beteiligten.
Dabei muss sich nicht die Frage gestellt werden ob nun dieser „Chef für das Digitale“ eine wichtigere Rolle hat in der Firmenführung sondern viel mehr um die Frage wie kooperative die einzelnen CxO an diesen gemeinsamen Zielen zusammenarbeiten und entsprechende Projekte und Budget sprechen.
siehe auch: https://fridelonroad.wordpress.com/2014/09/26/ceo-cfo-cmo-gegen-oder-mit-cio-hauptsache-business-prozess-support-durch-ict/

Vorsprung durch Knowledge Workers, Wissen, Transformation und Innovation
Ein befähigter und nachhaltig begeisterter Knowledge Worker, ausgestattet mit den besten Werkzeugen (best of all) und unterstützt mit den besten Supportprozessen (z.B. ICT, HRM, Board) kann durchaus matchentscheidend sein ein einem digitalisierten Geschäftsmodell durch Transformationen und Innovationen.
Damit diese beschränkten, menschlichen Ressourcen sehr gezielt und effektiv eingesetzt werden können bedarf es zunehmend Unterstützungen von Technologien / Ansätzen wie z.B. Mobility, Cloud, Mobile Apps, neuer Bedienungskonzepte, Machine Learning, Big Data, Internet of things (IoT) und letztlich „kontextual basierte smart digital assistants“ je nach Aufgabenbereich.
Wie weit ein solches dann auch „Human Interface“ gehen kann – siehe auch:
https://fridelonroad.wordpress.com/2014/10/31/wearables-human-interface-potential-future-and-war-for-tracked-untrusted-wellillness/

Digital Assistant versus Human Assistent – big data as a new co-worker ?
Wie weit ein Mitarbeiter als persönlicher Assistent sinnvoll und effektiv unterstützt oder gar ersetzt werden kann ist natürlich auch abhängig von der Aufgabe und Funktion des Mitarbeiters oder Ziele des jeweiligen Projektes.
Trotzdem wird in den künftigen Ansätzen von Big Data, Machine Learning, IoT immer mehr an Fleissarbeit, Vorarbeiten, Informationsaufbereitungen, (Vor)Auswertungen, Trends, Berechenbarkeit (auch Arbeitszeit- und Leistungs-Erfassung… falls diese dann überhaupt noch den gleichen Stellenwert haben werden …) – und letztlich Human Assistant – sinnvoll ergänzt oder gar ersetzt werden können. Big Data – mit allen den immer mehr nutzbaren Potentialen – könnte eine Art „super digital assistant“ werden.
siehe auch: https://fridelonroad.wordpress.com/2014/07/06/big-data-better-data-or-not/

Digitalisierung jedes Geschäftsmodelles digitalisiert auch Prozesse und Mitarbeiter
Letztlich setzt die Digitalisierung eine Unmenge an Daten, daraus extrahierten nutzbaren Informationen und Herausforderungen an Informations-Management-Prozessen voraus welche einen neuen Typus von (r)evolutioniertem Mindset in den Organisationen voraussetzt.
Dabei scheint mir besonders ein differenzierendes Merkmal entscheidend zu werden:  Die Bereitschaft und Fähigkeit den neuen Rohstoff des Wissens und Informationen auch pro-aktiv zu teilen und dadurch weiterzuentwicklen – „share to evolve“
Es werden neue Karriere-Pfade – eine Art „big data career“ – ermöglicht werden für Knowledge Workers mit den besten Fähigkeiten aus diesen Tools, neuen darauf ausgerichteten internen oder externen Ausbildungen mehr als andere zu extrahieren als neue Fachexperten im Bereich Information Management.
Es liegt auf der Hand, dass in dieser volldigitalisierten Welt immer wieder auch die Gesamt-Sicherheits-Aspekte (Betriebs-Sicherheit und Angriffs-Sicherheit) betrachtet werden müssen damit ein Vorfall oder Ausfall (Stichwort Black Out) nicht ein ganzes System – oder einen einzelnen Knowledge Worker – zum Wanken oder Fallen bringen kann.
siehe auch: https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/
oder
https://fridelonroad.wordpress.com/2014/10/27/kommentar-digitale-transformation-innere-betriebssicherheit-versus-externe-angriffssicherheit/

Digital Health durch IoT und Wearables – potential future and war for tracked, (un)trusted well(ill)ness ?

wearables3

Digital Health durch IoT und Wearables

Digitale und vorausgesagte Ziele innerhalb einer Systemgläubigkeit sollten nicht die physischen und psychischen Signale und gegebenen indiviuellen Grenzen übersteigen“

Antreibende Peitsche ohne Leder Seit mehreren Jahren sind zunehmend viele Menschen „versklavt“ mit einem activity tracker oder wearable. Wenn dieses Teil eine Verlängerung aus Leder hätte wäre es eher eine weitere „antreibende Peitsche“ im Mythos des sonst schon anspruchsvollen und herausfordernden Work-Life-Balance.

Wearables und IoT als Basis für „Digital Health“ Pulsmesser, Fitnessuhren, Watt-Leistungsmesser, GPS-Trackers kennen wir seit Jahren und zusammen mit den parallel laufenden hoch-technologisierten Weiterentwicklungen von z.B. Sensoren, Chips, Smartphones, Apps, Cloud, Wearables, Internet der Dinge, Künstliche Intelligenz, Bluetooth, WLAN, NFC entstehen neue Möglichkeiten für andere Anwendungen und Formfaktoren.

Der Drang nach übertriebener Wellness führt zur Illness ? Per laufenden Warnmeldungen (Mikroverletzungen) der Wearables bezüglich zu wenigen Bewegungen pro Zeiteinheit wird man allenfalls mal zum hyper-aktiven Wellness-Abhängigen. Durch weitere Messparameter und dann auch Vorhersagen wie z.B. Puls, Schlafphasen, Kalorienverbrauch wird man noch mehr fremdgesteuert im Bezug auf Einschlaf- / Aufweckphasen, Bewegung, Arbeit und Essverhalten. Aus meiner Sicht ist auch hier wieder mal die Frage nach dem ertragbaren Mass und Verhältnismässigkeit gefragt um sich nicht noch weiter fremdsteuern zu lassen im heutigen Mainstream von Internet, Social Media, Mail, Smartphone und letztlich der Systemgläubigkeit.

Die „Big Mother“ passt auf uns Kinder und unsere Digital Health Data auf oder eben nicht ? Im Zuge der weiter voranschreitenden Globalisierung speziell in den Bereichen von Cloud, Big Data, App Economy und Plattform-Daten-Kapitalismus wie z.B. Microsoft, Google, Amazon, Apple werden wir uns auch Fragen stellen müssen was irgendwann mal an sinnvollen oder weniger sinnvollen / unerwünschten Daten in falsche Hände geraten. Dabei geht es aus meiner Ansicht nicht um den Fakt, dass unsere Daten so oder so überall sicher und gleichzeitig auch unsicher sind sondern viel mehr um die Frage wie weit wir alle als Datenlieferanten die Beherrschbarkeit der Datenauswerter mitgestalten können. Beispiele welche in Zukunft Themen werden könnten: – Wollen wir aus Präventionsgründen unsere Vitaldaten laufend übermitteln an ein Medical-Center für Trends, Auffälligkeiten oder gar Warnungen und Notfall-Eskalationen? – Wie weit vertrauen wir an unsererseits hoffentlich wissentlich zugelassene Datenauswerter wie z.B. Krankenkassen, Versicherungen, Banken, Pflegeinrichtungen, Arbeitgeber, Rekrutierung, Behörden, Staat welche dann im Gegenzug das „Personen- / Gesundheits-Risiko“ dann hoffentlich belohnen mit tieferen Prämien / Risiko-Bewertung? – Werden wir künftig in den CVs von Kandidaten / Projektteilnehmern auch Fitness- und Activity-Werte vorfinden und teilweise einbeziehen in Entscheide und Risiko-Abwägungen? …

Regulatorisch gesteuerte Berechenbarkeit und Überwachung von Personen(Daten) Hoffen wir, dass in 10 oder 20 Jahren die Staats-Bevormundung (z.B. übergeordnete Staats-Krankenkassen oder Versicherungen) durch regulatorische Effekte oder globale Markt- / Risiko-Absprachen eine weitergehende Berechenbarkeit nicht zu gross wird von uns zunehmend datenliefernden Menschen.

Mensch und Maschine verschmelzen: Brain Computer Interface, Biosensor Chips Die zunehmende Distanz vom technischen rasanten Fortschritt zur langsamen Adaptionsmöglichkeit des Menschen (slow Evolution, Human Interface) und des menschlichen Gehirns (zu tiefe Nutzung des Potentials) hinterlässt schwer überwindbare Brücken (über welche wir gehen wollen und müssen…). Solche Brücken scheinen mittels der digitalen Transformation (Cloud, Big Data, Supercomputing, Künstliche Intelligenz) teilweise überbrückbar werden. Letzten Endes werden bereits jetzt schon vorhandene und funktionierende Konzept der Robotik und Biosensoren / Advanced Interfaces (z.B. SmartGlass, SmartLenses, eInk oder implantierte Chips) weitere Potentiale oder gar Notwendigkeiten generieren. Eine Art Brain Computer Interface für die noch direktere Koppelung (die Brücke…) von Sensoren, Human Interfaces, Processing scheint nicht mehr einfach nur eine Utopie (z.B. eInk) zu sein.

Umgekehrte Welt – neue technische Weltordnung – Computer Company search for best human talents … Wie würden wir umgehen – derzeit noch bisschen utopisch – wenn eine autonome „reine“ Computer Company in einem staatlich geschützten Umfeld dann „best human talents“ rekrutiert für deren zu überschreitenden Brücken? Selbsterklärend würden dann solche „reine“ Computer Companies nur die besten vernetzten Menschen finden der technokratischen Elite (siehe weiter unten) und die freiwilligen oder teilweise unfreiwilligen Abwender nicht finden (wollen) …

Vertrauen – Manipulation – Sicherheit Es wird ein neues Spannungsfeld geben in welchem immer mehr auch Fragen des Vertrauens gestellt werden in Bezug auf Data Security, Privacy, Manipulation seitens Anwender (ev. ist ein anderes Familienmitglied oder ein Haustier aktiver und manipulierbarer temporärer Träger des Daten-Trackers…) und Sicherheit seitens App- / Cloud-Servicedienstleister (sind das wirklich meine und nicht verfälschte Daten…) von solchen Wearables oder Daten-Auswertungen im Big Data Umfeld

Ethik muss auch Platz haben in der High Tech Informationsethik ist ein grundsätzlicher und noch ungelöster Aspekt der digitalen Gesellschaft in der Nutzung / Datenanalytik von digitalen Assistenten. Anstehende Evolutionsschritte der zuerst begrenzten Nutzung am Körper, über die Erweiterung auf den Wohn-, Arbeits- und Pflege-Raum bis hin zu einer digitalisierten „smart city“ fordert und prägt auch letztlich die dosierte Regulation und Entwicklung von auch eGovernment. Ein Code of Ethic oder Code of conduct im Rahmen dieser Weiterentwicklungen durch Spezialisten, Unternehmen oder Behörden wird weitere Spannungsfelder erzeugen.

Misstrauen – Ablehnung – Offline-Abseits – deklariertes unberechenbares Risiko Es wird künftig weitere Zweiklassen-Gesellschafts-Formen geben: die voll-digitalisierten Digital-Natives mit Big Data Wissen (technokratische Elite ? mit aber niedriger Selbstkontrolle der persönlichen Daten) und die teil-offline-rückgeführten Abwender (mit bewusst höherer Selbstkontrolle der persönlichen Daten) – mit dann auch Sicht des Big Data als unberechenbares, da nicht erfasstes Risiko deklariert (?!)

eSkin die modernen Tätowierungen und Wearables der digitalen Zukunft Es ist zu erwarten, dass auf oder unter die Haut platzierte, sogenannte eSkins mit Chips oder Sensoren eine moderne Form von Tätowierungen darstellen könnten. Es bleibt die Hoffnung, dass diese Anwendung – im Gegensatz zu einer Tätowierung – möglichst noch lange freiwillig bleibt …

Technologischer Fortschritt als Allerheil-Mittel für das kranke Gesundheitswesen ? Es ist anzunehmen, dass die vielen Chancen der Digitalisierung auch positive Auswirkungen und Unterstützung bieten kann in Themen wie z.B. Gesundheitsprävention, Unfallprävention. Auch im Rahmen der voranschreitenden Demografie und neuen Betreuungs- und Wohn-Konzepten wie „betreutes, digitalisiertes Wohnen“ oder „modernen Pflege“ nimmt die Digitalisierung und technlogische Fortschritt eine tragende Rolle ein. Weitere Regulatorien wie das EPDG (Bundesgesetz über das elektronische Patientendossier) verlangt nach einer intensiven, interdisziplinären Auseinandersetzung von unterschiedlichsten Experten / Task Forces für eine möglichst ausgewogene Stossrichtung in Bereichen wie Privacy, Data Security aber auch (informations)ethischen Aspekten. Digital eHealth könnte die Chance sein, um die „Zukunft vor der Vergangenheit zu schützen“ und nicht umgekehrt.

ISACA 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management

cloud-big-data-mega-stream-security

>> Publizierter Artikel im Swiss IT Magazine / Swiss IT Reseller von ISACA ITM2014_09_ISACA_03

Der Titel dieses Artikels will aussagen, dass es die 100% Sicherheit nicht gibt – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Empfehlungen / Methoden / Compliance Anforderungen / Regulatoren / Zertifizierungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, CISA, CISM, ISO 22301/BCMS, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001 ISMS, IEC17799, SOX, IT GSHB, DSG, VDSG können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken.
Jedoch sind diese eben “nur generisch” und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele (z.B. mittels ICT-Governance) der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet und verwaltet werden müssen – und dies auf Ebene der Führung oder Verwaltungsrat.
Innerhalb des Risk-Management-System / ICT-Governance geht es um einen laufenden Loop von “Erkennung”, “Bewertung und Klassifizierung”, “Managen” und “Ueberwachung und Kommunikation”
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: “Es ist vieles abdeckbar mit den Akteuren Menschen, Prozessen, ICT-Technologien und vorallem Baseline / Tests / Monitoring. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich etwas mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System”

DatenSCHUTZ in der DatenFLUT ?
Ein kleines Rinnsal und dessen bescheidener Wasserfluss mit Sicht auf den Grund zu überwachen, ist einfacher als ein grosser Fluss mit einem reissenden und mitunter auch wellenden und zunehmend jährlich anwachsenden Wasserstrom ohne Sicht auf den Grund …
Diese einfache Analogie zeigt das zunehmende Problem auf, in diesem Datenschutz- und Sicherheits-Bereich im Zeitalter der hochdynamischen Entwicklung in Bereichen wie z.B. Cloud, Big Data, Internet der Dinge und letztlich der fortschreitenden digitalen Transformationsprozessen.

Die digitale Transformation und Wandlungsdruck der Informationsgesellschaft hat interdisziplinäre Auswirkungen – auch im Sicherheits-Bereich
Die heutigen und vorallem die künftige Bedürfnisse und dessen Auswirkungen der Informationsgesellschaft betrifft mittlerweilen globale Prozesse, Technologien und lassen sich nicht mehr isoliert betrachten und abdecken. Es braucht zunehmend interdisziplinäre Zusammenarbeiten von Akteuren von z.B. Gesellschaft, Politik, Technologie, Wissenschaft, Ausbildung (z.B. nur schon Sensibilisierung zu Sicherheitsthemen) und auch Spezialthemen wie auch Psychologie oder Management-Ansätze damit dieses entstehende Next Generation Informationsuniversum an Mensch und Maschine mehr Nutzen als Schaden mit sich bringt und so gut es (hoffentlich noch) geht auch beherrschbar bleibt – auch eben in datenschutz- und sicherheits-technischen Aspekten  und auch Auswirkungen auf die jeweilige ICT-Firmenstrategie und Firmen-Compliance- und Governance-Anforderungen.
Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT (und auch die ICT-Sicherheit) wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

The new Economy versprach und vernichtete vieles… Wertschöpfung durch „sichere“ ICT
Vor zirka 15 Jahren versprachen viele Berater, Strategien, Firmen, Leadership-Methoden, Führung ein ungeahntes Potential in den Bereichen Internet, E-Business etc. und viele Firmen, Organisationen, Technologien wuchsen ins Unermessliche an ohne auch z.B. die Prozesse, Sicherheit, Risiken und nötigen Organisationsanpassungen zu prüfen und anzupassen.
Die DOT.COM-Blase platzte entsprechend und auch die ICT-Industrie litt stark darunter als damals als reiner Kostenfaktor und Wertvernichter deklariertes notwendiges Uebel.
Damit die ICT zunehmend entscheidend unterstützen kann zur Wertschöpfung und Effizienzsteigerung / Business-Support braucht es immer noch entsprechende überzeugende „Missionarsarbeit“ und zunehmende abgesicherte / überwachte Prozesse aufgrund der zunehmend business-kritischen ICT.

Ein Teil des Internet – Internet ein Teil von uns – Big Brother is watching us in our „smart“ homes
Vor nicht allzu langer Zeit war das unsichere Internet isoliert begrenzt auf einen Firmen- oder Heim-Computer. Mit der fortschreitenden Entwicklung von Internet- / Cloud-Lösungen und wachsender Mobilität mittels z.B. Smartphones, Notebooks, HomeOffice-Arbeit schwindete die Grenze zwischen Privat und Business zunehmend – und letztlich auch die Gesamt-Sicherheit.
Weitere Entwicklungen im Bereich der Heimvernetzung und letztlich „Internet der Dinge“ wird dazu beitragen, dass wir nicht mehr nur ein Teil des Internets sind sondern das Internet ein Teil von uns wird. Dass dann hierbei Unmengen von (hoffentlich) erwünschten und auch unerwünschten Informationen in alle Richtungen fliessen werden im gesamten Haushalt / Haustechnik / HomeOffice-Firmen-EDV / Privat-EDV und speziell auch Kinder-EDV wird weitere Fragen und Herausforderungen der beherrschbaren Sicherheit aufwerfen.
Nur noch dies: globale Internet-Industriegiganten wie z.B. CISCO, Google, Microsoft, Amazon, Siemens sind aufgrund Ihrer Landesherkunft und deren dominanten Verbreitung im Internet und wachsenden totalen Vernetzung, auf Internet-Core-Infrastruktur-Bereichen und dem künftigen „Internet der Dinge“ letztlich überall „allzu sehr heimisch“ in unseren Haushalten, Firmen und Netzwerken – und immer wieder mit dem irgendwo hinterlegten „Master-Passepartout-Datenschlüssel“ ausgestattet genau zu beobachten … oder werden diese gar mal genötigt, regulatorisch vorgegebene Staats-Trojaner zu „akzeptieren“ oder „mit zu implementieren“ (?)
Hoffen wir doch, dass künftig die Hacker nicht via Kühlschrank zu uns kommen oder deren eigene Leibspeisen zu uns nach hause bestellen … oder uns ein- oder raus-sperren via Türen-Management-System.
Unsere „connected smart homes“ mögen zwar irgendwann smart sein… aber auch wirklich sicher ??

Der Schutz der digitalen Identität im 21. Jahrhundert – ein „multifaktoreller“ Widerspruch ?!
Ein Megatrend des plattformübergreifenden „Single Sign On (SSO) / Anmeldung mit nur einer Anmeldung“ im Zuge der standort- und geräte-unabhängigen Zugangsmöglichkeiten auf z.B. Cloud, Social Media, Apps, Firma, Kreditkarte via allen Geräten wie Smartphones, Tablets, Notebooks, PC, Heimgeräte eröffnet völlig neue Konform-Stufen bei auch unschwer zu erkennenden, erhöhten Sicherheits-Gefahren.
Eine sehr grosse Herausforderung wird der künftige Schutz genau dieses zunehmend, konsolidiert zentralen Einstiegspunktes sein, der ja auch irgendwann mal nebst z.B. dem reinen Datenzugang auch weitergehende sehr personensensitive Informationen wie z.B. Bankzugänge, Gesundheitsinformationen, Familie, Kinder schützen wird (hoffentlich).
Dass hier vorallem in den Bereichen wie Social Media (Facebook, Twitter etc.) und Email dermassen unnötig und gefährlich viele personensensitive Daten bereits jetzt schon fahrlässig öffentlich (und teilweise unaufgefordert…) verteilt werden erschwert auch hier der Spagat zwischen Fahrlässigkeit und Sicherheitsanforderung. Leider ist der „gläserne“ Mensch im Internet nicht schwer sichtbar, nur weil er aus Glas ist… im Gegenteil: er macht sich meist selbstverschuldet selber „extrem gläsern“ und sichtbar…
Auch muss zur Kenntnis genommen werden, dass die eigene Identität nicht mehr genügend geschützt ist mir „nur“ Benutzername und Kennwort und es wenigstens jetzt schon z.B. Einmal-Anmelde-Verfahren (OneTimeToken, OTP) gibt.
Den Bedrohungen des 21. Jahrhunderts ist die Authentifizierung per einfacher oder auch zweifacher Anmeldung nicht mehr gewachsen. Eine neue Generation – von gar bewusst system-verteilten und voneinander unabhängigen, nicht konzentriert angreifbaren – (Cloud)-Anmeldelösungen mit dynamischer Multifaktor-Authentifizierung und Authorisierung ist unumgänglich. Diese können dann noch mehrstufig verstärkt werden mit z.B. kontextbasierten Verhaltensmustern, Standortbezogenheit und Echtzeit-Token an persönliche Devices.

Sicherheitsoptimierung durch (Hybrid)Cloud oder Big Data ?
Im Zuge der aktuellen Erkenntnissen rund um die verschiedenen Nachrichtendienste und deren grenzenlosen Datenzugangs-Möglichkeiten und dem offenbaren Trend von „jeder bespitzelt jeden“ stellen sich einige Grundsatzfragen.
Eine Private Cloud ist schon längstens nicht mehr „privat“ – sei es durch Schwachstellen in den Bereichen Prozesse, Technologie oder vorallem  des Menschen / Mitarbeiter – oder eben durch die Nachrichtendienste und künftig der Staaten mit z.B. Staatstrojanern (?)
Wäre aus diesem Aspekt dann die Auslagerung von einzelnen ICT-Themen in die Public Cloud / Hybrid Cloud „sicherer“ und „beherrschbarer“ wenn nur schon mal einer der Haupt-Sicherheits-Risiko-Faktor „Mitarbeiter“ und lokale Prozesse ausgelagert sind?
Eine gezielt, isolierter Sicherheits-Schwachstellen-Angriff auf eine Firmen-ICT-Infrastruktur (inkl. auch physisch vor Ort oder per Social Engineering / Trojaner / Malware etc.) ist natürlich viel einfacher als ein eher ungezielter, nicht isolierbarer Angriff auf eine Public Cloud oder „Mega Cloud“. Die Analogie bei der „Mega Cloud“ zur mühsamen und eher unendlichen Suche nach der bekannten Nadel (Firmendaten) im dann aber SEHR grossen Heuhaufen (Cloud) ist hier mehr als angebracht.
Und leider müssen hier noch weitere Fakten (oder alte Paradigmen) adressiert werden:
Der Datenstandort wird zunehmend irrelevant für die teilweise schon jetzigen oder dann künftigen immer globaler werdenden Sicherheitsfragen.
Zunehmend lassen CH-Firmen sicherheits-relevante Systeme von externen oder gar ausländischen Serviceorganisationen betreiben – inkl. auch grenzüberschreitendem Informationsaustausch.
Ein „sicherer“ Weg (als bisher…) in einen ICT-Transformations-Prozess / Cloud kann also auch – trotz allen anderslautenden Meldungen – gerade darum eine gut orchestrierte Kombination von (Hybrid)Cloud-Lösungen und Managed Services sein. Hier könnte der Ansatz „the very best out of all Clouds“ ein gangbarer Weg sein wenn diese mittels den nötigen Prozessen, Technologien, Mitarbeiter und Risk-Management / ICT-Governance gestützt werden von der Führungsebene und letztlich der Firmen-Strategie und davon abgeleitet der ICT-Strategie.

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatoren oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann “einfach abgehakt”

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits / ICT-Governance sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. “Best Practices” oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das “Abhaken” von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Und trotzdem: Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art “Business Excellence in der ICT”.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das “möglichst Beste aus der Praxis und Theorie” einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.
Eine daraus realisierbare Standardisierung, Automatisierung, Changemanagement oder Homogenisierung von ICT-Prozessen oder ICT-Infrastrukturen kann ein weiteres Nebenprodukt sein hierbei.

Performance- und Sicherheits-Penetration-Tests mit Baselining – einer ist keiner.
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Defiziten in denLerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.
Die eingangs im Artikel angesprochene Analogie zum DatenSCHUTZ in der DatenFLUT (reissender Wasserstrom) zeigt die schwierige Herausforderung auf bei solchen Tests und verlangt immer mehr nach hochspezialisierten Managed Security Services Dienstleistern welche mit z.B. nur Evaluationen von Baselines und dem fortwährenden Monitoring dieser Baselines dann Auffälligkeiten (zu grosser oder zu kleiner Fisch im Fluss…) / Angriffsmuster erkennen, eskalieren und verhindern können – im Gegensatz zum einmaligen Penetration Scan ohne Trends oder brauchbare Vergleiche zu Baselines.
Nebst dem reinen systemtechnischen Ansatz werden auch zunehmend immer mehr z.B. Prozess-, Informationsmanagement- und ICT-Forensik-Spezialisten involviert um möglichst ein breitgefächertes Sensorium aufzubauen.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige einfache Beispiele für die Verdeutlichung)
“Was passiert ab wann bei einem Internet-Zugangs-Ausfall”
“Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?”
“Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung”
“Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen “analogen” Prozessen oder auf dem “Papierweg” weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden”
“Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren”
“Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen”
“Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy”
“Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es übergeordnete Monitoring-Systeme?”
“Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)”
“Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy”
“Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen”
“Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen”
“Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff” “Gibt es ein Change Management für kontrollierte Systemaenderungen”
“Sind die eingesetzten EDV-Mittel genügend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet”
“Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt”
“Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen”
“Ist die externe sichere Backup-Aufbewahrung sichergestellt”

Die Gesamt-Sicherheit braucht auch eine Gesamt-Rahmen-Sicht
Die Gesamt-Sicherheit ist einem gesamten Rahmen zu sehen – beginnen tut diese aber sicherlich in der internen, selbstkritischen Betrachtung von eigenen Prozessen und Infrastrukturen und erst danach bzw. wenn das bereinigt, geklärt, definiert und kontrolliert ist sollte man den Fokus erweitern in Richtung der externen Abhängigkeiten, Hackern, Cloud etc.
Die ICT-Gesamtsicherheit bzw. letztlich die ICT-Strategie ist ein umfassender Gesamt-Prozess und Verantwortlichkeit auf der Führungsebene und nicht nur eine Ansammlung von Technologien / Produkten / Tools.
Der Faktor Mensch ist unter diesem Aspekt wichtiger und heikler als der Faktor Maschine.
Dabei ist auch der übrigbleibende Aspekt des Risk-Managements sehr wichtig.
Eine 100% Sicherheit bei Mensch und Maschine gibt es nicht und wird es nie geben und hier ist es die Aufgabe der Führungsebene oder Kontroll-Gremien (Audit, IKS, Controlling) genau diese Rest-Risiken zu identifizieren, zu werten, zu testen und mit gangbaren präventiven Massnahmen und Prozessen zu reduzieren und sporadisch zu prüfen (so gut es geht eben …)
Aus diesen Aspekten heraus empfehle ich: Bevor irgendwelcher externer, technischer Schutzwall aufgebaut wird, sollte man als Basis die internen Prozesse / Sicherheit / Risk-Management optimieren und möglichst „zukunftsgewappnet“ transformieren.

Eine „sichere“ Informations-Zukunft und nachhaltiges System-Wachstum braucht ein „sicheres“ interdisziplinär abgestütztes Rückgrat
Letztlich ist es so, dass „sichere“ ICT-Services / ICT-Prozesse das Rückgrat sind von „modern Business“ und der voranschreitenden digitalen Transformations-Prozessen und dem ansteigenden Wandlungsdruck.
Auch die Globalisierung / New Economy ist mitunter mitverantwortlich für einen schon lange andauernden, grenzüberschreitenden Informations-Austausch. Und hier sprechen wir von unterschiedlichsten Grenzen (z.B. Geografie, Systeme, Private-Business, Politik, Behörden, Gesellschaft, Bildung, Health, Wissenschaft, Wirtschaft, Märkte) welche zunehmend nur in einer interdisziplinären Zusammenarbeit möglichst gut „abgesichert“ werden können mit allen Akteuren und dem gemeinsamen Ziel eines nachhaltigen, sicheren Global-System-Wachstums.

CEO / CFO / CMO gegen oder mit CIO: Hauptsache Business Prozess Support durch ICT

cio-cfo-ceo

Gretchenfrage – Who is the chief of the Next Digital Economy ?
Die Gretchenfrage ob nun künftig in den (sich in Transformation befindlichen) Organisationen eine neue Hack-Ordnung in den Entscheidungs-Gremien entstehen ist eher schwer abschliessend zu beantworten.

Jedoch ist es eher unumstritten, dass in künftigen Anforderungen der Next Digital Economy an die dynamische Flexibilität der Organisationen zunehmend auch gewisse Marktvorteile und Effizienz-Steigerungen mittels gut orchestrierten ICT-Prozessen vonnöten sind.

Aus meiner Sicht und Erfahrung wird die Wichtigkeit des Mitgestaltungs-Rechts des ICT-Bereiches auf der Stufe der Führungsebene von entscheidender Bedeutung in der laufenden digitalen Transformationen von vielen Geschäftsprozessen.

Budget by services
Dabei wird die Budget-Verantwortung einer Renaissance gleichkommen und sich zunehmend wiederfinden in den fachspezifischen Abteilungen oder Services-Bezügern welche als Direktbetroffene „am besten wissen“ was sie in welcher Qualität an Services brauchen – und aber auch die entsprechende Verantwortung dafür wahrnehmen können in fachtechnischer Hinsicht.

Durch diese Involvierung in Entscheidungs- und Budget-Prozessen – und letztlich auch Risiken – kann eine neue „Stärke und Wettbewerbs-Vorteil am Markt“ entstehen und die Organisation kann mittels guten Ideen in eine völlig neue Richtung des Innovations-Managements aufbrechen.

Knowledge Management – best out of the internal knowhow
Hierbei stellt sich dann eher nicht mehr die Frage ob nun der CEO / CFO / CMO oder CIO in gewissen ICT-nahen Bereichen / Entscheiden die hauptbestimmende Rolle einnimmt sondern vielmehr die Aufgabe der Führungsebene die geeignetesten internen (oder externen) Experten proaktiv und mitbestimmend einzubeziehen.

Mittels genau diesem gebündelten KnowHow(-Transfer) kann der wachsenden Komplexität der unterschiedlichsten Services-Anforderungen sichergestellt werden, dass möglichst alle davon Betroffenen in einem proaktiven Dialog zu Beteiligten gemacht werden können.
„Business Excellence“ wird zwar schon seit Jahren immer wieder gerne verwendet von vielen Beratern / Coaches kann aber funktionieren wenn die Organisation mit allen Betroffenen und Beteiligten die jeweils für sich passendste und auch lebbare Business-Support-Transformation findet.

Chef für Digitales
„Nur ein“ Chef für Digitales zu definieren scheint aufgrund der schier unendlichen Bandbreite der „digitalen“ Potentiale nicht mehr zu genügen – im „analogen“ Gleichklang zum zu grossen Risiko, ein firmenvitales Wissen auf „nur“ einen KnowHow-Träger zu belassen.

Neues Experten-Wissen gefragt – neue Führungsmethoden und Mindset nötig
Im Zuge der transformatorischen (R)Evolution muss auch neues Wissen extrahiert und retensiert werden können von neuen Spezialisten in den Bereichen wie Mobile, User Experience, Anwenderfokus, Cloud und Data Sciences (Big Data).
Diese neuen Mitarbeiter-Profile werden – auch aufgrund der anfangs dünn gesäten Auswahl – entsprechend andere Anforderungen an die Arbeitgeber-Attraktivität stellen und entsprechend auch die HR-Abteilungen und Führungsebenen vor neue Herausforderungen führen und aber auch Chancen von echten, neuen Innovationen ermöglichen.

Interdisziplinäre Zusammenarbeit nötig
So kristalliert sich heraus, dass solche Weiterentwicklungen entsprechend eine übergeordnete, interdisziplinäre Zusammenarbeit voraussetzt zwischen allen CxO – und dies sicherlich auch teilweise über die eigenen fachlichen Grenzen hinaus in neue zu ergründende (Grenz)Bereiche.

Entscheidungs-Hoheiten und Daten-Kontrollgrade schwinden
Vorallem auch der Fakt, dass die künftigen Entscheidungs-Hoheiten und auch Daten-Kontrollgrade nicht mehr ausschliesslich durch Menschen gegeben sind sondern zunehmend unterstützt und geprägt werden durch Maschinen (Big Data) wird so manche Führungsebene herausfordern und Mindsets verändern.

Gemeinsames Ziel aller CxO sollte sein: Eine gemeinsam erschaffene „Insel der Ordnung“ in einer chaotisch dynamischen, digitalen Cloud-Welt

Big Data = Better Data or not ? box of pandora

Word Cloud "Big Data"
Big Data ist aus meiner Sicht die „Veredelung vom Informations-Rohmaterial“ für das „new Business“ – sind aber diese Informations-Extraktionen die besseren Informationen bzw. was für Auswirkungen scheinen sich zu akzentuieren ?

Es werden einige anspruchsvolle Herausforderungen auf uns zuzukommen um den Nutzen von „Big Data“ adäquat ermöglichen und unterstützen zu können:

– Reicht nur 1 „Mensch“ (nicht wertend gedacht aber wir sind ja schliesslich keine hochspezialisierten Informations-Verarbeitungsmaschinen) um Erst-Auswertungen und Erst-Analysen aufzubereiten als Management Summary oder Reports ? oder ist dieser „nur“ 1 Mensch zu unterstützen mit mehreren Menschen oder „Machine learning“ zur Extraction (auch schon bei der Definition von z.B. Metadaten) von möglichst neutralen und sachlichen, nicht beeinflussten Informationen ?

– Im Rahmen der IT-Strategie wird Big Data und deren Auswirkungen und Innovationen ein aufgrund der hohen Relevanz ein weiteres Hauptthema werden.

– Sicherheit ist ebenfalls ein BIG Thema bei Big Data in einzelnen Beispielen wie:
–> Wer und was kann diese Datenvoluminas noch beherrschbar kontrollieren und (un)wissentliche Fehlinputs / Fehl-Datenströme filtern und eskalieren?
–> Social Engineering beim Big Data könnte verursachen, dass Spezialisten im Big Data Umfeld infiltriert oder missbraucht werden könnten für fatal falsche Trends und Auswertungen (Stichworte: Terrorbekaempfung, Fahndung, Militaers, Börse, Forschung, Medizin, Staatsentscheidungen etc.)
–> Zusätzliche Sicherheitsmechanismen wie z.B. Multifactor-Authentication, Multifactor-Release oder bewusst verteilte Systeme (z.B. Gewalten-Trennung von Daten-Speicherung / Daten-Verarbeitung / Daten-Releases / Daten-Archivierung / Daten-Sicherheits-Services etc.) scheinen unumgänglich zu werden für den gesicherten Zugang bzw. (oder gar zuvor mehrfachbewerteten) Auswertungen
–> Information Governance als nötiger, erweiterter Teilbereich
–> Big Data = Basis für auch totale (zu regulierende…) Staats-Trojaner-Ueberwachung?
–> Welcher Staat oder Firma hält wo was für Hintertürchen offen?
>> siehe zum Thema Sicherheit ein anderer publizierter Artikel für ISACA im Swiss IT MagazineITM2014_09_ISACA_03

– Die Aspekte rund um „Wissen ist Macht“ werden noch akzentuierter und Weltmächte mit grossen Ressourcen wie Bodenschätze, Öl, Energie, Wasser werden den gleichen Wettbewerbsvorteil und Informationsvorsprung mit dem neuen „Öl der Zukunft“ – dem Big Data – aufbauen und erweitern wollen.

– Wieviele Regulationen auf nationaler oder gar internationaler Ebene sind nötig oder vertretbar für die Beherrschbarkeit (Geht das überhaupt??) von Potentialen oder auch Gefahren von Big Data?

– Das vermeintliche „Recht auf Vergessen“ aller digitalen Spuren scheint nur schon technisch nicht mehr möglich zu sein aufgrund der unerschöpflichen Bandbreite und Anzahl von „Big Data Datensammlern“

– Das „Internet der Dinge“ als weiterer Faktor wird weitere Inputs und Innovationen ermoeglichen.

– Neue Anforderungen an die künftigen Apps, User Interfaces, User Experience in Bezug auf Darstellung / Modellierbarkeit / Formfaktoren / Bedienungskonzepten –> Analogie: ein einfaches Excel oder Powerpoint reicht nicht mehr für dynamisch präsentierbare und report-gerechte bzw. verständliche Darstellungen von immer komplexer werdenden Informations-Extraktionen (?)

– Chancengleichheit: haben ALLE (oder genügend) Menschen aus allen Bevölkerungsschichten, Ethnien und Staaten einen adäquaten und fairen Zugang zu den Technologien rund um Big Data ? –> das ist ja bereits beim „uralten“ Internet noch in weiter Ferne …

– Neue Anforderungen an Datenbank-Typen, Speicher-Typen und Speicher- und Berechnungs-Orten der Daten aufgrund der Voluminas und Performance-Anforderungen (z.B. hochperformantes Supercomputing oder finanziell verkraftbareres Cloud Computing mit dynamisch mietbaren Workloads)

– Im Bereich der Ausbildung, Personal-Rekrutierung und Personal-Kapital-Management werden neue Spezialisten in Richtung „Big Data Scientist“ weitere Fragen und Herausforderungen generieren –> „Weitergehend zu prüfendes“ Vertrauen in Personen in zunehmend organisations-vitalen Schlüssel-Positionen –> Möglichst tiefe Fluktuations-Raten und KnowHow-Sicherstellung mittels z.B. attraktiven Mitarbeiter-Retensions-Innovationen werden zunehmend wettbewerbs-entscheidend

– Big Data ist aus meiner Sicht eine extrem mächtige und aber auch sehr gefährliche Waffe – ohne Regulatorien und ohne Pflicht eines Waffenscheins …

– „Big Data ist ein Versprechen oder gar Verbrechen (?!) für die vermeintliche Allwissenheit“ ??
–> es scheint, dass wir eine neue „Box of Pandora“ vor uns haben …