ICT-Audit und Controlling: Innovationen durch Risk-Management

audit

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatorien oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann „einfach abgehakt“
>> siehe auch anderer Artikel Sicherheits-Anforderung versus eigener Sicherheits-Sensibilität

Einige Firmen reagieren darauf und lassen sich durch externe Fachexperten eine Zweitmeinung bilden im Sinne eines Mehraugenprinzips bei dem zunehmend organisationskritischen ICT-Prozess-Bereich.

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. „Best Practices“ oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das „Abhaken“ von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Performance- und Penetration-Tests
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Lerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige Beispiele für die Verdeutlichung)
„Was passiert ab wann bei einem Internet-Zugangs-Ausfall“
„Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?“
„Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung“
„Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen „analogen“ Prozessen oder auf dem „Papierweg“ weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden“
„Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren“
„Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen“
„Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy“
„Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es uebergeordnete Monitoring-Systeme?“
„Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)“
„Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy“
„Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen“
„Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen“
„Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff“ „Gibt es ein Change Management fuer kontrollierte Systemaenderungen“
„Sind die eingesetzten EDV-Mittel genuegend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet“
„Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt“
„Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen“
„Ist die externe sichere Backup-Aufbewahrung sichergestellt“

Vielfach vergessen: Controlling des ICT-Vertragswesens und SLA / OLA
Ein sehr wichtiger und aber leider vielfach zu wenig dokumentierter Teilbereich identifiziere ich bei vielen auditierten Organisationen im Bereich des ICT-Vertrags- und Versicherungs-Wesens.
Um die Gesamt-Sicherheit und letztlich die System-Verfügbarkeit allumfassend beurteilen zu können, müssen auch die entsprechend klassifizierten Vertragsnehmer hinsichtlich deren Service Level Agreements (SLA) / Reaktionszeiten / Gewährleistungen geprüft werden.
Vielfach wird dann auch unterlassen, dass nebst den klassichen SLA-Betrachtungen teilweise auch übergeordnete sogenannte OLA (Operation Level Agreements) nach noch schärferen Kriterien und Reaktionszeiten abgeschlossen werden müssen damit die SLAs (interne oder externe) überhaupt abdeckbar sind. Etwelche Verträge oder Gewährleistungen sind mitunter aufgrund nicht passenden internen oder externen SLA / OLA eigentlich gar einhaltbar und würden weiteren Negativ-Punkte in einem detaillierten ICT-Audit oder IKS abgeben.

Immer wichtigerer Teil-Aspekt legale Software-Nutzung und Software-Lizenzierung
Der Kunde ist verantwortlich für die lückenlose Lizenzierung sämtlich eingesetzter Software, Tools auf seinen genutzten Umgebungen vor Ort oder auf den Cloud-Plattformen des Cloud-Services-Dienstleister. Der Kunde bewahrt die entsprechenden Lizenz-Keys, Lizenz-Papiere, Volumen-Lizenzen-Informationen / Zugänge oder anderweitige Belege auf und übermittelt diese zu Beginn der Zusammenarbeit als z.B. Scan oder Mail an den ICT-Support- oder Cloud-Services-Dienstleister für den Lizenz-Nachweis und Dokumentation.
Lokale Lizenzenänderungen sind ebenfalls entsprechend laufend zu melden.
Als speziell genannte Beispiele für die kundenseitige Verantwortlichkeit gehören hierzu z.B. Microsoft Office, Microsoft Windows, Microsoft Server Palette, Datenbanksoftware, Apps, Virenschutz, Grafikbearbeitung, CAx, Entwicklungsumgebungen, Microsoft Volumen-Lizenzen und allfällig zusätzlich benötigte Client-Zugriffs-Lizenzen.
Der Kunde informiert sich bei Unklarheiten zur lokalen Lizenzierung in dessen Umgebung / Netzwerk / Domaine / Arbeitsgruppe (z.B. Upgrade- / Down-Grade-Rechte, Versionen, Anzahl benötigter Lizenzen etc.) proaktiv und direkt bei dessen Softwarelieferanten. Der ICT-Support- oder Cloud-Services-Dienstleister kann ihn hierbei (meist kostenpflichtig) unterstützen.
Aufwändungen für allfällige Lizenzen-Audits / Dokumentationen / Abklärungen / Besprechungen seitens der Software-Lieferanten wie z.B. Microsoft sind in jedem Fall kostenpflichtig und nicht abgedeckt seitens der ICT-Support- oder Cloud-Services-Dienstleister.
Der Kunde nimmt explizit zur Kenntnis, dass bei allfälligen Lizenzierungs- / Rechts-Verstössen der Kunde rechtlich direkt belangt würde seitens der Software-Lieferanten wie z.B. Microsoft und der ICT-Support- oder Cloud-Services-Dienstleister hierauf keinen Einfluss hat.
Spezielle Cloud-Services-Lizenzen welche der Kunde je nach Vertrag durch seine Services mietet und separat bezahlt via a) dem Microsoft SPLA-Agreement oder b) Microsoft Online Services (z.B. Office 365, MS Azure, Windows Intune) oder c) Volumen-Lizenz-Verträgen werden vielfach seitens der ICT-Support- oder Cloud-Services-Dienstleister verwaltet und monatlich reported. Allfällige Änderungen bei diesen gemäss separater Vertrags- und Verrechnungs-Positionen gemieteten Software, Benutzerzahlen, Versionen sind unverzüglich an den ICT-Support- oder Cloud-Services-Dienstleister zu melden für die lückenlose und genaue Lizenzen-Reporting-Anforderung.
Auch hier ist es vielfach so, dass Ueber- / Unter-Lizenzierung zu grossen negativen oder positiven Potentialen führen kann in den Bereichen wie Kosten, rechtlichen Angriffsflächen oder letztlich Compliance-Themen.
Es gibt einige auf SAM (Software Asset Management) spezialisierte Firmen, Dienstleistungen und Tools die (lieber vor…) während einem Audit eingesetzt werden können.
Vielfach entstehen vorallem in der heutigen Bandbreite der Lizenierungsoptionen nennenswerte Innovationen im Lizenzierungsbereich z.B. reine Miete, Miete-Kauf, günstigere Kauf-Optionen und auch Lizenzierung mit weitergehenden Zusatzservices und Zusatzrechten (wie Office365 für den Bereich der Office-Lizenzierung oder Windows Intune für den Bereich der Windows- und Endpoint-Protection-Lizenzierung)

Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art „Business Excellence in der ICT“.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das „möglichst Beste aus der Praxis und Theorie“ einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.

100% Sicherheit gibt es nicht – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Methoden / Compliance Anforderungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001, IEC17799, SOX, IT GSHB können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken. Jedoch sind diese eben „nur generisch“ und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet werden müssen.
Innerhalb des Risk-Management-System geht um einen laufenden Loop von „Erkennung“, „Bewertung und Klassifizierung“, „Managen“ und „Ueberwachung und Kommunikation“
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: „Das ist vieles abdeckbar mit Prozessen, ICT-Technologien und vorallem Tests. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich was mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System“

Advertisements

Public Cloud – Office365 – das (r)evolutionierte „4D-Printing“ / „Hier und Jetzt“ der Zusammenarbeit

cloud

Wir kennen das vom Einkauf im Dorfladen: „Was darf es sonst noch sein?!“ – „Darf es ein bisschen mehr sein?“ Die gleichen Fragen stellen sich derzeit in der ungemeinen (oder eher gemeinen unübersichtlichen…) Flut der Cloud-Services mit unglaublich „bisschen gar viel integriert mehr drin“. Das massgeschneiderte Orchestrieren und eine sauber vorbereitete Transformation kann sehr grossen Zusatz-Nutzen generieren bei Kleinstunternehmen, KMU und auch bei grossen Organisationen.

Aufgrund der Tatsache, dass vorallem ein grosser und wichtiger Teil der Kommunikation per Internet und Email schon immer über das grundsätzlich unsichere Internet abgewickelt wurde seit Jahren, freunden sich immer mehr „Sicherheitskeptiker“ an mit sogenannten Hybrid-Cloud-Lösungen bei welchen ein Teil der ICT-Services von einer lokalen ICT-Organisation (Private Cloud) und ein anderer Teil von einer externen ICT-Organisation (Public Cloud) als reiner Service bezogen wird.

Wenn man dann auch nicht die Gesamt-Kosten-Aspekte mit-betrachtet im Bereich von Kosten wie z.B. Infrastruktur, Serviceorganisation, Support und vorallem auch den konkurrenzlosen Hersteller-Direkt-Lizenzierungskosten kommt es nicht von ungefähr, dass der Erfolg und laufende technische Weiterentwicklung und das Wachstum dieser Public Services (z.B. Office365, SharePoint Online, Exchange Online, Yammer, OneDrive for Business, Microsoft Azure, Windows Intune, Lync Online) beeindruckend ist in den letzten Jahren.

Im Jahr 2009 starteten wir selber bei uns oder Kunden mit der damaligen Ur-Version vom heutigen Office365 – damals hiess es bisschen holperiger „Business Productivity Online Suite“ oder kurz BPOS. Die damalige Version war im Bereich der Online-Admin-Konsole und den technischen, integrativen Features um Welten entfernt von den heutigen, stark erweiterten Office365-Komplett-Lösung.

Die damalig eher technisch gegebene und „noch cloud-kritische“ Distanz und Unsicherheit wurde – in den folgend laufenden Services-Erweiterungen und richtiggehenden (R)Evolutions-Schritten der einzelnen Cloud-Anbietern – stufenweise abgebaut.
Fortan wurde in den entsprechenden (R)Evolutions-Schritten der Cloud-Services die organisatorische und technische „Hürde“ für diverse ICT-Organisationen und ICT-Infrastrukturen immer grösser, auf dem gleichen Level (Infrastruktur, Prozesse, KnowHow, Automatisierung, Qualität, Sicherheit, Kosten) dieser sehr schnellen Weiterentwicklung und kürzeren Versions-/Lebens-Zyklen mitzuhalten.

Auch muss festgehalten werden, dass das damalige „Orchestrieren“ der Cloud-Services mit den damalig verfügbaren Admin-Konsolen und Produkteversionen auf der Basis von Exchange 2007, SharePoint 2007, Office 2007 kein Vergleich ist mit den heutigen sehr ausgereiften und beinahe völlig mit OnPremise-Installationen verschmelzten Konsolen, Tools, Scripts und auch PowerShell. Weitere mächtige Erweiterungen und „Andockstellen“ von/für lokalen OnPremise-Umgebungen wie z.B. ADFS (Active Directory Federation Services), DirSync, Webservices, Connectors, Remote Powershell, MS Azure eröffnen weitere Flexibilitäts-Grade für eine stufenweise technische Transformation oder Koexistenz-Betrieb (z.B. bei stufenweisen Migrationen von mehreren Filialen oder Ländergesellschaften, Ausfallsicherheits-Massnahmen von z.B. Domaincontroller / HyperV Replica / Active Directory Services auf MS Azure).

Weitere neue Konzepte des SelfService-Gedanken mit User-Admin-Umgebung, administrations-delegierbaren RBAC (Rollenbasierten Zugriffskontrolle) für z.B. Microsoft-Partner (POR) oder Kunden-Admins, Service-Health-Status und integriertem Ticketing-Support-System decken weitgehenst unterschiedlichste Bedürfnisse von in einer Transformation stehenden ICT-Organisation ab.

In Bereich der Sicherheit stehen derweil weitere Features zur Verfügung wie z.B. SingleSignOn (SSO), Multifactor-Authentication, autonomer Kennwort-Reset mit mehrstufiger Sicherheit, Komplett-Verschlüsselung der Daten / Mails / Kommunikation / Transport und auch spezielle Richtlinien-Definitions-Möglichkeiten in den Bereichen wie Compliance / LegalHold / Ligitation / Archivierung / Journaling / Versionisierung. Hier wiederum kommen ebenfalls zentrale Enterprise-Lösungen zum Zuge wie z.B. Forefront, System Center, DPM, APP-V, MDOP welche sich vorallem kleinere und auch mittlere ICT-Organisationen monetär und auch knowhow-mässig nicht leisten können.
Ein weiterer fleissiger Helfer für ein zentralisiertes Device-Management, Endpoint-Protection , Inventarisierung, Compliance-Support, Lizenzierungs-Management von Clients / Tablets / Smartphones (Windows Phone, iOS, Android) namens Windows Intune rundet dann eine solche „Enterprise-Umgebung, erschwinglich für JEDER Organisation“ rund und integriert ab.

Kurzum aus technischen Aspekten: Darf es bisschen mehr sein? ¨> Ja bitte, wir können es uns sonst gar nicht selber leisten! Danke!

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Public-Cloud-Entwicklung und den mittlerweilen entsprechend grossen Service-Bandbreite von Public-Cloud-Services wie Office365.

Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential der jetzt schon erstaunlichen Abdeckung der Office365-Palette.

Ebenfalls ist die laufende konsequente Weiterentwicklung der Webservices / Apps welche sich hersteller-unabhängig in allen modernen Webbrowsern, auf allen Tablets, Ultrabooks, Smartphones (Windows Phone, iOS, Android) und z.B. TV-Geräten nutzen lassen sehr beeindruckend.

So staunt man doch nicht schlecht wenn man plötzlich auf einem fremden PC ohne aktuelles Office drauf im Webbrowser mit z.B. Word Online (vormals Office Web Apps) beinahe vollwertig arbeiten kann. Bei entsprechender Subscription kann man ja immer noch bei Bedarf das Office-Packet per sogenannter Click-and-Run-Streaming-Technologie innert einzelner Minuten lokal als auch cloud-unabhängige Desktop-Version installieren lassen auf bis zu 5 Geräten pro Benutzer.

Durch die Collaborations-(R)Evolution und Office365-Erweiterungen wurden auch für Privat- oder KMU-Anwender gar nicht oder passiv genutzte Programme und verkannte geniale Funktionen wie z.B. OneNote, OneDrive (vormals SkyDrive), SharePoint, Lync, Yammer plötzlich sehr interessant und vorallem nützlich für die Effizienz-Steigerung und als weitere digitale Helfer. Der frühere hardware-mässige PDA (Personal Digital Assistent) ist nun plötzlich keine Hardware mehr sondern eher genial orchestrierte Cloud-Services die überall und ohne den verstaubten PDA nutzbar sind.

Die vielen genialen Funktionalitäten und völlig neuen Freiheitsgrade des persönlichen „Cloud Offices“ wo immer man ist werden dann auch erstaunlicherweise zu extrem günstigen Preisplänen angeboten. So kommt es nicht von ungefährt, dass viele ICT-Organisationen gewisse Lizenzierungs-Aktualisierungen oder Ergänzungen mittels den Office365-Lizenzierungs-Moeglichkeiten abdecken und davon kostenmässig profitieren.
Dass dann dabei dann plötzlich die durchschnittlichen cirka 3 Mitarbeiter-Geräte und auch noch das ganze HomeOffice lizenztechnisch abgedeckt ist mit 1 Subscription bringt natürlich auch die Kosten-Rechner und Budget-Owner auf den Plan.

Kurzum auch aus funktions- und lizenz-technischen Aspekten: Darf es bisschen mehr sein? > Ja bitte, wir können nun endlich echt geräte- und standort-unabhängig die modernsten Collaboration- / Cloud-Services einfach nutzen! Danke!

Die besten Lösungen bedürfen auch deren besten Anwendung für das Ausschöpfen möglichst aller Potentiale und Funktionalitäten.
In Kombination von möglichen Collaborations-Dreamteams wie z.B. Outlook / Exchange, OneNote, SharePoint, OneDrive und auch Yammer oder Lync entstehen mittels einer gut vorbereiteten Einführung, Orchestrierung, Schulung, Prozessadaptionen und laufender Weiterentwicklung ungeahnte neue Innovationen während dieser Transformation.
Das standortunabhängige, sehr nah integrierte Zusammenarbeiten genau aus den Anwendungen die man seit Jahrzenten selber kennt – wie eben nur schon Office –  entstehen plötzlich z.B. bisher brachliegende Verbindungen, neue Zusammenarbeitsformen, Integrations-Funktionen, virtuelle Workspaces, sichere Informations-Drehscheiben und letztlich eine komplett (r)evoutionierter und firmengelände-überwindender Kommunikations-Prozess.

Die Arbeit, Zusammenarbeit und Projekte werden in kurzer Zeit der Anwendung und gut begleiteter Schulung sehr schnell viel interaktiver und dynamischer.
Dokumente, Präsentationen, Berichte, Ideensammlungen, Mails sind plötzlich von überall, ab jedem Gerät und ohne Gedanken an die „Technologie“ oder „technischen Hürden“ nutzbar, veränderbar und zwar zu genau den Zeiten wo man die besten Ideen und Gedanken / Inputs hat!

Eine Art der Arbeitsmentalität „Hier und Jetzt“ und nicht erst morgen wenn ich den PC in der Firma gestartet habe und dann viel Spontan-Kreativtät oder unterschätzte Motivation / Arbeits-Energie verloren habe. Dass dabei die „Work-Life-Balance“-Kritiker wieder Vorbehalte haben ist verständlich. Jedoch helfen genau diese spontanen Möglichkeiten auch den Arbeitsalltag oder die Gesamt-Jahresarbeitszeit zu optimieren und aufzulockern. Es ist ja auch nicht gesund und schlaf- und erholungs-fördernd wenn man den Kopf voller nicht effizient niederschreibbarer wichtigen Gedanken hat, vielfach dadurch abwesend ist und dann wieder an den Arbeitsplatz oder HomeOffice hetzt um ja nichts zu vergessen innerhalb der Tagesarbeitszeit anstelle genau die Zeiten zu nutzen wo man kreativ ist, niemand stört, das soziale Umfeld oder Familie nicht beeinträchtigt oder irgendwo warten muss… wenn man es ganz intelligent und ausgeglichen gestaltet kann es durchaus sein, dass der Firmen-PC immer mehr warten muss auf seine Eingaben und der Mitarbeiter dann nur noch in der Firma ist für z.B. Projektbesprechungen, KnowHow-Transfer, Austausch, Schulungen und dadurch zunehmend flexibler wird in seiner Arbeitszeit-Gestaltung. Die Arbeitgeber-Attraktivität durch die Mitarbeiter-Zufriedenheit durch solche neuartige Arbeits-Modelle wird zunehmend firmenvital im künftigen modernen Humankapital-Management und im kompetetiven Markt.

Die auch durch Cloud-Services verbundene zunehmende „Entgrenzung der Arbeit“ (Stichwort: Arbeit nicht nur innerhalb der „Firmengrenzen“ mehr sondern eben überall und wiederum „Hier und Jetzt“) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich „Business-Support durch ICT“ definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Kurzum auch aus arbeits-technischen Aspekten: Darf es bisschen mehr sein? > Ja bitte, wir können nun endlich echt die Arbeitszeit und Arbeitsgestaltung freier mitprägen und flexibilisieren! Danke!

Das (r)evolutionierte „4D-Printing“ / „Hier und Jetzt“ der Zusammenarbeit könnte entsprechend dann entstehen durch die 4. Dimension der Zeit > im übertragenen Sinne also „Hier und Jetzt“

Windows XP (und 7?!) – End of Live eines DeFacto-Industrie-Standards: Auswege mit ICT-Strategie und Transformation

Swiss-IT-Magazine-Artikel_55814_XP-Eol-Auswege-Strategie-April-2014

Image

Sage und schreibe rund 37 Prozent wollen mit dem veralteten end of life Betriebssystem Windows XP derzeit weiterarbeiten.

Auf den ersten Blick scheint das nur Microsoft zu stören als Hersteller von Nachfolge-Lösungen. Auf den zweiten Blick jedoch werden jedoch weitere Probleme und Risiken entstehen innerhalb der gesamten ICT-unterstützten Prozess-Landschaft von Firmen und Organisationen.

Für interne oder externe ICT-Dienstleister entstehen hier weitere Herausforderungen wie z.B. Sicherheit, Updates, Stabilität, Kompatibilität, Risk-Management, Aufrechterhalten des stabilen Business Support durch ICT-Services. Umso mehr überrascht genau diese passive Migrations-Haltung von vielen Entscheidern / GLs / Verwaltungsräten. Eine provokative Analogie könnte im übertragenen Sinne folgendes Bild sein: „Firmenfahrzeuge werden trotz bekannten Problemen mit z.B. den Sicherheits-Einrichtungen“ seitens der verantwortlichen Führung wissentlich und fahrlässig weiterfahren gelassen.

Selbstverständlich muss auch ästimiert werden, dass das (damals moderne) Betriebssystem Windows XP sich damals zurecht als  DeFacto-Industrie-Standard etablierte und leider auch den Kopf herhalten musste über teilweise überbrückende Strecken zugunsten des „schlechtesten“ Betriebssystems aller Microsoft-Zeiten (Windows Vista). Entsprechend wurden dann ein DeFacto-Standard über (zu lange) Zeit etabliert auf der Basis von z.B. Windows XP, Office 2003, Server 2003.

Dieser etablierte Standard und auch das eher unbrauchbare Folgeprodukt Windows Vista bestätigte viele in deren Migrations- und Weiterentwicklungs-Passivität und Konzentration auf andere damalige Bereiche wie z.B. ERP- / CRM-Einführungen, Business-Support durch ICT, Erstberührungen oder Ausbau mit Outsourcing (Cloud).

Die „XP-Ära“ war dadurch gefestigt worden und auch die Software- und System-Anbieter etablierte Standards mit einer mittlerweilen unglaublichen Laufzeit von über 12Jahren. Eine beinahe erschreckende wenn nicht gar fahrlässige Passivität in den Innovations- und Transformations-Prozessen müssen sich einige Hersteller, Lieferanten, Systembetreuer und letztlich Führungsverantwortliche gefallen lassen.

Aufgrund der bekannten Abhängigkeiten und Relationen der Gesamt-System-Komplexitäten und Lieferanten kann man das noch einigermassen nachvollziehen. Es stellt sich jedoch die Frage ob innerhalb den klassischen Führungsaufgaben der ICT-Teilbereich der Firmen-Strategie zu passiv bewirtschaftet wurde.

Offensichtlich wurden schon früher gewisse strategische und planerische Aufgaben nicht rechtzeitig gemacht. Auch stellt sich letztlich die Frage ob all die Audits, Revisionen und Internen Kontrollsysteme (z.B. IKS, Business Contingency System BCS / BCP) nicht gegriffen haben für die frühzeitige Erkennung und Massnahmen von solchen lange bekannten Umständen und Risiken.

Ja! Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT wird immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

Einige Fakten und Möglichkeiten stehen fest und zur Verfügung zur aktuellen Situation:

–       Ohne entsprechende Sicherheitsmassnahmen, Updates (unrealistisches „eigenes“ Servicepack 4) und ohne erweitertem Support ist Windows XP in Firmennetzwerken ein möglicher Störfaktor für andere Systeme, Prozesse und Schnittstellen.
Beispiel aus der Praxis: 1 einzelner ungeschützter Rechner welcher nicht sauber isoliert oder gesperrt ist vom Netzwerk kann die ganze Organisation, den Internet-Zugang oder deren Mail-Infrastruktur auf internationale Mail Spam-Blacklists bringen und lahmlegen für die Mail- oder Internet-Kommunikation.

–       Eine durch aktuellere Webbrowser teil-abgesicherte Internet-Nutzung ist ebenfalls sind nur noch beschränkt möglich da die aktuellsten Webbrowser und Software-Produkte sich gar nicht
mehr oder nur mit mühsamen Umwegen installieren lassen.

–       Sogenannte „Zero Day Attacken“ (gezielte Angriffe am Tag oder zeitnaher Folgezeit der
Sicherheits-Lücke) ab dem EoL 08. April 2014 sind denkbare Szenarien und Zusatz-Risiken und dann die nicht speziell geschützten Windows-XP-Umgebungen und deren teilweise betriebskritischen Umsysteme gefährden.

–       Künftige regulatorische Vorgaben und Empfehlungen von z.B. Behörden / Gesetzen / Verbänden / Revisionsstellen / IKS / Audits für zukunftsorientierte Herausforderungen, neue dynamische Bedrohungslagen und angepasstem Risk-Management sind nicht mehr abbildbar.

–       Einzelne Virenschutz-Software-Hersteller bieten einen weiterlaufenden Support. Hier stellt sich aber eher die Frage ob dann genügend Schwachstellen abgedeckt werden können neben dem „löcherigen“ Betriebssystem Windows XP selber.

–       Der Umstieg auf in grosser Zahl vorhandene Open Source Produkte stellt keine echte Alternative dar – nur schon hinsichtlich teilweise fehlender Kompatibilität, fehlendem internen KnowHow, eingeschränkt verfügbaren Supportorganisationen, ebenfalls offenen Sicherheitsthemen und nicht darauf ausgerichteten Prozessen und Schulungen.

–       Das Isolieren auf Basis des Netzwerkes / Virtualisierung, das Sperren oder Löschen von lokalen Wechseldatenträgern / Firmendaten / USB-Anschlüssen / CD-DVD-Laufwerken für das Verhindern von der Einschleusung von schadhafter Software oder das Deaktivieren des Internets sind nicht immer praktikabel und erhöhen den Gesamt-Betriebsaufwand wiederum.

–       Die Gesamt-Kostenrechnung von solchen zunehmend zu isolierenden Umgebungen steigt
rasch an und auch ein optional sogenannt „erweiterter Support seitens Microsoft“ ist sehr kostenintensiv und vielerorts nicht mehr tragbar aufgrund vom Kostendruck (z.B. Vergleich zu massgeschneiderten Cloud-Services)

–       Ein „Ende mit Schrecken“ durch eine geplante, überprüfte Migration auf z.B. Windows 8.x / Office 2013 / Office 365 / Server 2012 mit vielen verfügbaren guten Tools und Migrationspfaden ist vielfach lohnenswerter als ein „Schrecken ohne Ende“ durch die mühsam aufrechtzuerhaltende Windows XP / Office 2003 Umgebung und dem teilweise auch anwachsenden KnowHow-Vakuum.

–       Migrationen und Transformationen bieten auch Chancen für Innovationen und Weiterentwicklungen in Prozessen und letztlich auch in Personalbelangen.
Viele ICT-Serviceorganisationen erkennen darin letztlich auch Chancen als Überlebensfaktor
im Vergleich zu anderen internen oder externen Mitbewerben oder Cloud-Lösungen. Hierbei werden zunehmend auch externe ICT-Coaches, „Cloud Solution Experts“ oder „Solution Brokers“ konsultiert für „Das Beste aus den Clouds“

–       Eine sauber geplante Transformation ebnet bei vielen Organisationen auch den Weg und Basis für moderne homogenisierte Cloud-Lösungen (Private / Public / Hybrid) bei flexibleren, besser budgetierbaren Kosten, nutzungsoptimierten Services und auch Unabhängigkeiten von kritischen KnowHow-Trägern und proprietären Systemen.

–       Das sehr stark optimierte Betriebssystem Windows 8.x lässt auch je nach Hardware einen sogenannten „Refresh von bestehender Hardware“, „Clientunabhängiges Windows2Go auf USB-Stick“ oder diverse „Virtualisierungs- / Deployment Szenarien“ zu und hilft dadurch weitere Kosten zu optimieren in Bereichen wie z.B. Flexibilität, Sicherheit und (Hybrid)-Cloud-Umgebungen.

–       Länger bekannte Bedürfnisse in den Bereichen wie „Bring your own Device (BYOD)“, People Centric IT (PCIT), geräte- und standort-unabhängige Workplaces bei maximaler Mobilität sind nicht mehr realisierbar.

–       Die zunehmend gewünschte Verschmelzung von den unterschiedlichen Geräte-/Form-Faktoren wie PC, HomeOffice, Client, Ultrabook, Tablet, Smartphone sind nicht mehr effizient / zentralisiert abbildbar.

–       Moderne, attraktive Arbeitsplätze – mit eben auch einem guten ICT-Business Support – sind zunehmend auch positiv wirkenden Faktoren bei der Personal-Rekrutierung und Arbeitgeber- / Arbeitsplatz-Attraktivität.

–       Die zentrale Verwaltung in Themen wie z.B. Richtlinien, Hardening, Datenschutz, Verschlüsselung / BitLocker, Remote-Zugang per DirectAccess, Audit, Inventarisierung, Softwareverteilung, Lizenzverwaltung, Alerting, Compliance ist mit Windows 8.x speziell in Zusammenarbeit mit z.B. Windows Server 2012 / System Center oder auch Windows Intune ideal abdeckbar.

–       Der KnowHow-Aufbau und interne Schulung von Mitarbeitern wird vereinfacht und intuitiver mit den neuen Versionen von Windows und Office und gegebenen Möglichkeiten der z.B. gemeinsamen Zusammenarbeit, Desktop-Sharing, Remote-Unterstützung, VideoConferencing

–       Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (bzw. bald mal nur noch einem Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Transformations-Potential

–       Weitere Zukunftsthemen wie z.B. zentral verwaltete Enterprise- / CompanyPortal-Apps / Webservices / Streaming per auch „Click to run“ und Nutzung ab auch Smartphones und Tablets sind nur neueren Versionen und Technologien vorbehalten.

–       Cloud-Lösungen wie z.B. Office 365 mit auch Windows Intune können Teilbereiche wie Nach- oder Neu-Lizenzierung von Betriebssystem Windows 8.x oder Office 2013 sehr kostengünstig und mit vielen prozessoptimierenden Zusatz-Funktionen abdecken. Selbstverständlich kann das Unternehmen auch hier entscheiden ob z.B. Office Lizenz / Betriebssystem nur isoliert lokal betrieben werden ohne Daten oder Services in der Cloud (z.B. für auch reine Lizenzierung von Office 2013 und Windows 8.x)

–       Hoffnungsvolle Briefe, Mails und Medien-Meldungen an die Adresse des neuen Microsoft-CEOs mit der Botschaft „Bitte lasst Windows XP länger leben da wir mehr Zeit brauchen“ oder „Wir bitten um Einsicht weil wir nichts dafür haben, dass wir auf Windows XP geblieben sind wegen dem untauglichen Nachfolge-Produkt Windows Vista“ oder „Wir wollen nicht automatisch mit der Cloud verbunden sein mit neueren Betriebssystemen oder Technologien / Services“ werden wenig nützen …

Ach ja! Zu guter Letzt: Wer sich mit Windows 7 derzeit ganz sicher fühlt wird bedenken müssen, dass offiziell gemäss Microsoft auch hier der grundlegende Basis-Support ebenfalls bereits wieder ausläuft ab 2015 gemäss aktuellen Informationen und muss auch bedenken, dass das letzte grosse Windows 7 Servicepack 1 vom Jahr 2011 stammt. Ob auch hier Microsoft eine allfällige Verschiebung dieses Datums macht – aufgrund der forcierten Windows 8.x Markteinführung und angekündigtem Produktelaunch von Windows 9 ab 2015 – ist eher fraglich derzeit. Das Zeitfenster fuer den Erfolg in dieser Transformation ist beschraenkter und kleiner als viele denken.

Daraus publiziertes Zeitungs-Interview: Windows XP end of life – Ende und Transformation eines Industrie-Standards

XP-end-of-life-Artikel-FS-20140304

Daraus publizierter Zeitungsartikel: Swiss IT Magazine – April 2014

Swiss-IT-Magazine-Artikel_55814_XP-Eol-Auswege-Strategie-April-2014

https://twitter.com/fridel_on_road