CEO / CFO / CMO gegen oder mit CIO: Hauptsache Business Prozess Support durch ICT

cio-cfo-ceo

Gretchenfrage – Who is the chief of the Next Digital Economy ?
Die Gretchenfrage ob nun künftig in den (sich in Transformation befindlichen) Organisationen eine neue Hack-Ordnung in den Entscheidungs-Gremien entstehen ist eher schwer abschliessend zu beantworten.

Jedoch ist es eher unumstritten, dass in künftigen Anforderungen der Next Digital Economy an die dynamische Flexibilität der Organisationen zunehmend auch gewisse Marktvorteile und Effizienz-Steigerungen mittels gut orchestrierten ICT-Prozessen vonnöten sind.

Aus meiner Sicht und Erfahrung wird die Wichtigkeit des Mitgestaltungs-Rechts des ICT-Bereiches auf der Stufe der Führungsebene von entscheidender Bedeutung in der laufenden digitalen Transformationen von vielen Geschäftsprozessen.

Budget by services
Dabei wird die Budget-Verantwortung einer Renaissance gleichkommen und sich zunehmend wiederfinden in den fachspezifischen Abteilungen oder Services-Bezügern welche als Direktbetroffene „am besten wissen“ was sie in welcher Qualität an Services brauchen – und aber auch die entsprechende Verantwortung dafür wahrnehmen können in fachtechnischer Hinsicht.

Durch diese Involvierung in Entscheidungs- und Budget-Prozessen – und letztlich auch Risiken – kann eine neue „Stärke und Wettbewerbs-Vorteil am Markt“ entstehen und die Organisation kann mittels guten Ideen in eine völlig neue Richtung des Innovations-Managements aufbrechen.

Knowledge Management – best out of the internal knowhow
Hierbei stellt sich dann eher nicht mehr die Frage ob nun der CEO / CFO / CMO oder CIO in gewissen ICT-nahen Bereichen / Entscheiden die hauptbestimmende Rolle einnimmt sondern vielmehr die Aufgabe der Führungsebene die geeignetesten internen (oder externen) Experten proaktiv und mitbestimmend einzubeziehen.

Mittels genau diesem gebündelten KnowHow(-Transfer) kann der wachsenden Komplexität der unterschiedlichsten Services-Anforderungen sichergestellt werden, dass möglichst alle davon Betroffenen in einem proaktiven Dialog zu Beteiligten gemacht werden können.
„Business Excellence“ wird zwar schon seit Jahren immer wieder gerne verwendet von vielen Beratern / Coaches kann aber funktionieren wenn die Organisation mit allen Betroffenen und Beteiligten die jeweils für sich passendste und auch lebbare Business-Support-Transformation findet.

Chef für Digitales
„Nur ein“ Chef für Digitales zu definieren scheint aufgrund der schier unendlichen Bandbreite der „digitalen“ Potentiale nicht mehr zu genügen – im „analogen“ Gleichklang zum zu grossen Risiko, ein firmenvitales Wissen auf „nur“ einen KnowHow-Träger zu belassen.

Neues Experten-Wissen gefragt – neue Führungsmethoden und Mindset nötig
Im Zuge der transformatorischen (R)Evolution muss auch neues Wissen extrahiert und retensiert werden können von neuen Spezialisten in den Bereichen wie Mobile, User Experience, Anwenderfokus, Cloud und Data Sciences (Big Data).
Diese neuen Mitarbeiter-Profile werden – auch aufgrund der anfangs dünn gesäten Auswahl – entsprechend andere Anforderungen an die Arbeitgeber-Attraktivität stellen und entsprechend auch die HR-Abteilungen und Führungsebenen vor neue Herausforderungen führen und aber auch Chancen von echten, neuen Innovationen ermöglichen.

Interdisziplinäre Zusammenarbeit nötig
So kristalliert sich heraus, dass solche Weiterentwicklungen entsprechend eine übergeordnete, interdisziplinäre Zusammenarbeit voraussetzt zwischen allen CxO – und dies sicherlich auch teilweise über die eigenen fachlichen Grenzen hinaus in neue zu ergründende (Grenz)Bereiche.

Entscheidungs-Hoheiten und Daten-Kontrollgrade schwinden
Vorallem auch der Fakt, dass die künftigen Entscheidungs-Hoheiten und auch Daten-Kontrollgrade nicht mehr ausschliesslich durch Menschen gegeben sind sondern zunehmend unterstützt und geprägt werden durch Maschinen (Big Data) wird so manche Führungsebene herausfordern und Mindsets verändern.

Gemeinsames Ziel aller CxO sollte sein: Eine gemeinsam erschaffene „Insel der Ordnung“ in einer chaotisch dynamischen, digitalen Cloud-Welt

Advertisements

ICT-Online-Offline-Balance – ein Ding der (Un)möglichkeit?!

unerreichbar

Ein neues Berufsbild oder gar Berufung könnte « ICT-Offline-Therapie » werden im digitalen Informations-Austausch-Wahn und 7x24h-Online-Präsenz

Publizierter Artikel im Management Magazin von sia.ch MM_06_2014_ITBox

 Die Arbeit auf 7 Tage verteilen zu können mittels ICT-Technologien, ergibt grundsätzlich einen grossen Freiheitsgrad aber birgt auch eine Gefahr von einer zu einseitig entschwindenden Entgrenzung der Arbeit und Dauer-Erreichbarkeit. Es sollte uns selber (oder notfalls mit Hilfe von Spezialisten oder Technologien) gelingen, im Moment zu leben ohne ständig online zu sein in der unterschwelligen Furcht etwas verpassen zu können. „Fear of missing out“ ist schon ein gängiger Begriff um diesen krankhaften und optimierbaren Zustand erklären zu versuchen. Die fortwährende und vorallem auch immer dynamischer werdende Informationsflut und „Krieg der Informations- und Aufgaben-Delegation“ zwingt viele Personen und auch ICT-Systeme in die Knie aufgrund fehlenden Regeln, Workflows oder schlicht mangels gesundem Menschenverstand.

Sich selber einer Art „Informations-Diät“ zu erzwingen kann unterstützt werden mit einfachen Regeln oder Filtern in den gängigen Mail-, Social-Media- oder Collaborations-Programmen. Oder noch pragmatischer: Wer braucht wirklich die progressive „Push-Funktion“ auf dem Smartphone welches mehrmals pro Stunde eine „Mikroverletzung am Gehirn / Konzentration / Arbeit und letztlich Privatsphäre“ generiert? >> siehe auch anderen Artikel hierzu

Eine der besten aber effektiv-schwächsten Erfindungen im Internet-Zeitalter ist das Medium Email welches ohne Unterstützungen mittels z.B. Regeln, Workflows oder ergänzenden Ersatz-Systemen wie z.B. Yammer, OneNote, Sharepoint, Evernote, Delve sehr schnell zum „Work-Life-Balance“-Killer werden kann.

Die Privatsphäre wird mittels Email, Whatsapp, SMS, Facebook, Twitter sehr schnell missbraucht von fordernden Absendern welche kurz vor deren Feierabend noch eine dringliche Aufgabe mit sehr grosser Erwartungshaltung am nächsten frühen Morgen (oder gar am gleichen Abend) erledigt haben wollen und dabei mitunter auch eigene Versäumnisse, Projekt-Missstände oder verhinderbare Fehler bequem und vermeintlich ohne Konsequenzen delegieren versuchen.

Die Effektivität von digitalen Informationsmedien scheint aufgrund z.B. der begrenzten Aufnahme- und Bearbeitungs-Fähigkeit (auch Ablenkbarkeit oder begrenztem adaptiven Lernen) des menschlichen Gehirns zunehmend nur noch mit unterstützenden, zukünftigen Technologien wie z.B. strukturierterem Informationsaustausch mittels gemeinsam festgelegten Regeln / Workflows oder gar mittels „Künstliche Intelligenz / Machine Learning“ oder „Big Data / Data Mining“ sichergestellt zu werden.

Ein Wissensvorsprung und gar Wettbewerbsvorteile sind weitere Faktoren welche zu solchen neuen, unterstützenden ICT-Technologien führen.

Schliesslich können zunehmend leider nur „echte Maschinen“ den „working anytime and everywhere“ Menschen unterstützen im neuen „sharing focussed“ Informations-Austausch-Zeitalter welches zunehmend auf „extracted output“ und „customized work“ basiert – wenigstens während der Schlafenszeit oder Ruhepausen … also doch bald eher „Online-Offline-Balance“ anstelle „Work-Life“?

ICT-Audit und Controlling: Innovationen durch Risk-Management

audit

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatorien oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann „einfach abgehakt“
>> siehe auch anderer Artikel Sicherheits-Anforderung versus eigener Sicherheits-Sensibilität

Einige Firmen reagieren darauf und lassen sich durch externe Fachexperten eine Zweitmeinung bilden im Sinne eines Mehraugenprinzips bei dem zunehmend organisationskritischen ICT-Prozess-Bereich.

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. „Best Practices“ oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das „Abhaken“ von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Performance- und Penetration-Tests
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Lerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige Beispiele für die Verdeutlichung)
„Was passiert ab wann bei einem Internet-Zugangs-Ausfall“
„Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?“
„Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung“
„Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen „analogen“ Prozessen oder auf dem „Papierweg“ weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden“
„Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren“
„Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen“
„Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy“
„Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es uebergeordnete Monitoring-Systeme?“
„Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)“
„Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy“
„Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen“
„Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen“
„Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff“ „Gibt es ein Change Management fuer kontrollierte Systemaenderungen“
„Sind die eingesetzten EDV-Mittel genuegend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet“
„Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt“
„Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen“
„Ist die externe sichere Backup-Aufbewahrung sichergestellt“

Vielfach vergessen: Controlling des ICT-Vertragswesens und SLA / OLA
Ein sehr wichtiger und aber leider vielfach zu wenig dokumentierter Teilbereich identifiziere ich bei vielen auditierten Organisationen im Bereich des ICT-Vertrags- und Versicherungs-Wesens.
Um die Gesamt-Sicherheit und letztlich die System-Verfügbarkeit allumfassend beurteilen zu können, müssen auch die entsprechend klassifizierten Vertragsnehmer hinsichtlich deren Service Level Agreements (SLA) / Reaktionszeiten / Gewährleistungen geprüft werden.
Vielfach wird dann auch unterlassen, dass nebst den klassichen SLA-Betrachtungen teilweise auch übergeordnete sogenannte OLA (Operation Level Agreements) nach noch schärferen Kriterien und Reaktionszeiten abgeschlossen werden müssen damit die SLAs (interne oder externe) überhaupt abdeckbar sind. Etwelche Verträge oder Gewährleistungen sind mitunter aufgrund nicht passenden internen oder externen SLA / OLA eigentlich gar einhaltbar und würden weiteren Negativ-Punkte in einem detaillierten ICT-Audit oder IKS abgeben.

Immer wichtigerer Teil-Aspekt legale Software-Nutzung und Software-Lizenzierung
Der Kunde ist verantwortlich für die lückenlose Lizenzierung sämtlich eingesetzter Software, Tools auf seinen genutzten Umgebungen vor Ort oder auf den Cloud-Plattformen des Cloud-Services-Dienstleister. Der Kunde bewahrt die entsprechenden Lizenz-Keys, Lizenz-Papiere, Volumen-Lizenzen-Informationen / Zugänge oder anderweitige Belege auf und übermittelt diese zu Beginn der Zusammenarbeit als z.B. Scan oder Mail an den ICT-Support- oder Cloud-Services-Dienstleister für den Lizenz-Nachweis und Dokumentation.
Lokale Lizenzenänderungen sind ebenfalls entsprechend laufend zu melden.
Als speziell genannte Beispiele für die kundenseitige Verantwortlichkeit gehören hierzu z.B. Microsoft Office, Microsoft Windows, Microsoft Server Palette, Datenbanksoftware, Apps, Virenschutz, Grafikbearbeitung, CAx, Entwicklungsumgebungen, Microsoft Volumen-Lizenzen und allfällig zusätzlich benötigte Client-Zugriffs-Lizenzen.
Der Kunde informiert sich bei Unklarheiten zur lokalen Lizenzierung in dessen Umgebung / Netzwerk / Domaine / Arbeitsgruppe (z.B. Upgrade- / Down-Grade-Rechte, Versionen, Anzahl benötigter Lizenzen etc.) proaktiv und direkt bei dessen Softwarelieferanten. Der ICT-Support- oder Cloud-Services-Dienstleister kann ihn hierbei (meist kostenpflichtig) unterstützen.
Aufwändungen für allfällige Lizenzen-Audits / Dokumentationen / Abklärungen / Besprechungen seitens der Software-Lieferanten wie z.B. Microsoft sind in jedem Fall kostenpflichtig und nicht abgedeckt seitens der ICT-Support- oder Cloud-Services-Dienstleister.
Der Kunde nimmt explizit zur Kenntnis, dass bei allfälligen Lizenzierungs- / Rechts-Verstössen der Kunde rechtlich direkt belangt würde seitens der Software-Lieferanten wie z.B. Microsoft und der ICT-Support- oder Cloud-Services-Dienstleister hierauf keinen Einfluss hat.
Spezielle Cloud-Services-Lizenzen welche der Kunde je nach Vertrag durch seine Services mietet und separat bezahlt via a) dem Microsoft SPLA-Agreement oder b) Microsoft Online Services (z.B. Office 365, MS Azure, Windows Intune) oder c) Volumen-Lizenz-Verträgen werden vielfach seitens der ICT-Support- oder Cloud-Services-Dienstleister verwaltet und monatlich reported. Allfällige Änderungen bei diesen gemäss separater Vertrags- und Verrechnungs-Positionen gemieteten Software, Benutzerzahlen, Versionen sind unverzüglich an den ICT-Support- oder Cloud-Services-Dienstleister zu melden für die lückenlose und genaue Lizenzen-Reporting-Anforderung.
Auch hier ist es vielfach so, dass Ueber- / Unter-Lizenzierung zu grossen negativen oder positiven Potentialen führen kann in den Bereichen wie Kosten, rechtlichen Angriffsflächen oder letztlich Compliance-Themen.
Es gibt einige auf SAM (Software Asset Management) spezialisierte Firmen, Dienstleistungen und Tools die (lieber vor…) während einem Audit eingesetzt werden können.
Vielfach entstehen vorallem in der heutigen Bandbreite der Lizenierungsoptionen nennenswerte Innovationen im Lizenzierungsbereich z.B. reine Miete, Miete-Kauf, günstigere Kauf-Optionen und auch Lizenzierung mit weitergehenden Zusatzservices und Zusatzrechten (wie Office365 für den Bereich der Office-Lizenzierung oder Windows Intune für den Bereich der Windows- und Endpoint-Protection-Lizenzierung)

Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art „Business Excellence in der ICT“.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das „möglichst Beste aus der Praxis und Theorie“ einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.

100% Sicherheit gibt es nicht – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Methoden / Compliance Anforderungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001, IEC17799, SOX, IT GSHB können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken. Jedoch sind diese eben „nur generisch“ und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet werden müssen.
Innerhalb des Risk-Management-System geht um einen laufenden Loop von „Erkennung“, „Bewertung und Klassifizierung“, „Managen“ und „Ueberwachung und Kommunikation“
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: „Das ist vieles abdeckbar mit Prozessen, ICT-Technologien und vorallem Tests. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich was mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System“