CyberSecurity: Sensibilisierung und Stärkung der „Schwachstelle“ Mensch zugunsten der Gesamtsicherheit


Publizierter Artikel bei KSGV als PDF: ksgv.ch – Gewerbeverband – CyberSecurity Sensilibisierung – Schwachstelle Mensch – Ausgabe Juli 2018 – Fridels_BLOG_F@R

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der Analogie zum Schutz der missionkritischen Daten mittels einem Schloss wird in der Grafik gut ersichtlich, dass zwar die Schlösser immer grösser werden jedoch werden die Hämmer (CyberAttacken, Hacker) immer schneller grösser und mittlerweilen verhältnismässig mächtiger (wie ein Vorschlag-Hammer z.B. durch Social Engineering, Künstliche Intelligenz KI / AI) als die Schlösser (Gegenmassnahmen).

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Datenschutz, Datensicherheit, Verschlüsselung und Self-Service im Vordergrund.

Die Sensibilisierung der zunehmend angegriffenen „Schwachstelle“ Mensch bzw. dessen Identität und personenbezogenen Daten ist ein zunehmend wichtiger Faktor beim Erreichen eines möglichst hohen Gesamt-Sicherheits-Niveaus.
Dass unverändert und zunehmend der Mensch und dessen Identität und Rechte das wichtigste Angriffsziel bleibt zeigen die folgenden einfachen Statistik-Aussagen: Rund 90% der erfolgreichen Attacken starten mit einem Phishing-Mail basierend auf Social Engineering (Das geschickt manipulierte Ausnutzen der menschlichen Tendenz zur Gutgläubigkeit und Vertrauen). Danach entsteht bei rund 80% der Fälle ein weitergehender Schaden wegen zu schwachen Kennwörtern bzw. Systemschutz oder zu hohen Berechtigungen des angegriffenen Mitarbeiters in der angezielten Systemumgebung.

Der Mensch als kritisches Einfallstor für CyberAttacken muss umfassend informiert, aufgeklärt, unterstützt und geschützt werden damit er überhaupt eine persönliche Mitverantwortung mittragen kann.

Die Technik alleine nicht mehr reicht gegen die dynamischen Bedrohungslagen von CyberCrime und als Beispiele gegen immer ausgereifteren z.B. Phishing-Mails, Phishing-Webseiten bzw. Social Engineering Attacken. Der weltweit sprunghaft ansteigende Wirtschaftsfaktor CyberCrime bedient sich auch von schier unerschöpfbaren monetären und technologischen Ressourcen und nutzt auch die „andere / dunkle Seite der Macht“ (dual use Problematik) von neuesten technologischen Errungenschaften rund um z.B. Künstliche Intelligenz KI / AI oder Super High Computing.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Kurz-Präsentationen, Visualisierung, Workshops, wiederkehrende Newsletters, interne Informationen, ICT Security Policy und auch Beispiele / Anatomie von erfolgreichen Attacken rund um Gefahren wie z.B. Phishing-Mails, Ransom-Ware, Trojaner, Social Engineering (Das geschickt manipulierte Ausnutzen der menschlichen Tendenz zur Gutgläubigkeit und Vertrauen), Verhaltensansweisungen im Internet / Social Media und beim Datenaustausch / Datenmedien-Nutzung von auch personenbezogenen Daten kann das Gesamt-Schutzniveau zusätzlich effektiv optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)
Je nach Rolle oder Risiko-Exposition des Mitarbeiters (z.B. Kader, Aussendienst, Mobile Workplace, HomeOffice etc.) können dann bei Bedarf weitergehende Detail-Instruktionen und Sondermassnahmen erfolgen und implementiert werden.

Vorsorge ist bekanntlich immer besser als Nachsorge und betrifft auch die ICT-Strategie, ICT-Risk-Management, ICT-Audit bis hin zu auch Compliance-Themen und dem Versicherungswesen.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Daten-, Zugangs- und Rechte-Minimierung“ / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

 

Cybersecurity – Der Virenschutz hat ausgedient!?

ksgv.ch – Gewerbeverband – Virenschutz hat ausgedient – Ausgabe Mai 2018 – Fridels_BLOG_F@R

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Verschlüsselung und Self-Service im Vordergrund.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Beispielen / KnowHow-Transfer rund um Gefahren wie z.B. Phishing-Mails, Trojaner, Social Engineering, Verhaltensansweisungen im Internet und beim Datenaustausch kann das Gesamt-Schutzniveau zusätzlich optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)

sh@re to evolve #45 – «Licht» in die jahrelang dynamisch gewachsene «Schatten-Informatik» (Shadow IT)

Erst wenn “Licht” in die jahrelang dynamisch gewachsene “Schatten-Informatik”  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle

Beitrag Gewerbeverband ksgv.ch

ksgv.ch – Gewerbeverband – AntiShadowIT – Ausgabe März 2017 – Fridels_BLOG_F@R

 

Evolving from system management to services management with „best out of all clouds“

itsm-landing-pg_shutterstock_106100270

Erst wenn “Licht” in die jahrelang dynamisch gewachsene <Schatten-Informatik>  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle.

Jahrzehntelang mussten mangels echter Alternativen die Business-Prozess-/Anforderungen abgebildet werden mit lokalen ICT-Support-Prozessen und auch bis dato funktionierenden und stets als robustes “Rückgrat” fungierenden “best practices” basierten System-Umgebungen.
Viele Hypes und Trends in Bereichen wie “bring your own devices (byod)”, “new economy”, “cloud computing” und der stetig (längs überfälligen…) aufholenden Industriealisierung und Automatisierung in der ICT veränderten auch die seitens Mitarbeiter und Führungsebene angewachsenen Bedürfnisse im “Fokus des Nutzens versus Technologie”

ICT in den Führungsgremien – Innovation und Marketing in der ICT
Als eine weitere “disruptive” Entwicklung im fortwährenden Kampf der Diversifizierung im Mitbewerber-Markt war die Umkehr der Kräfteverhältnisse. Früher war die Basis von neuen halbwegs durchgängigen und umsetzbaren Prozesse und Produktion mit-gelegt worden seitens der damals zur Verfügung stehenden ICT-Lösungen. Seit längerer Zeit müssen sich geradezu umgekehrt die ICT-Support-Prozesse richten an den Anforderungen des dynamischen Marktumfeldes (z.B. time to market) und adaptierbaren Innovationen. Diese Paradigmawechsel hatte (zum Glück…) auch die Folge, dass ICT-KnowHow gefragt war in der Führungsebene für auch Themen wie IT-Strategie, Compliance, Risk.

(R)Evolution auch im ICT-KnowHow
Dieses ICT-KnowHow in der Führungsebene hat sich mittlerweile innert kurzer Zeit (und auch angetrieben durch die massivst laufend (r)evolutionierten  Cloud Services) ebenfalls bereits wieder verändert vom ursprünglich gegebenen eher technischen ICT-KnowHow zum nun eher services- und nutzungs-orientierten Prozess-KnowHow.
Im Fokus stehen zunehmend die Nutzungs-Aspekte, Anwender – und letztlich die Kunden -und entsprechend änderten sich die gesuchten Qualitäten von reinen Spezialisten zu Generalisten mit auch “nicht-technischen”, aber prozessualen Kenntnissen.

Take back control and then evolve … – hervor unter dem Pult und dann offen für die Welt
Die vielen “unter den Pulten” gewachsenen und auch gelagerten (…) ICT-Systeme sind in vielen Fällen selbstverständlich erweiterbar und kombinierbar mit/als Hybrid-Cloud-Services. Mittlerweile sich stark veränderte Marktbedürfnisse, “time to market”-Aspekte und auch die oben beschriebenen Anforderungen der Führung / Firmeninhaber / Aktionären machen es nicht einfacher, die vielfach sonst schon “eher blockierten” Systeme in der verlangten Zeit und Qualität zu transformieren.
Die lückenlose Transparenz und letztlich volle Kontrolle zurückzugewinnen – bei auch besser bewertbarem Risiko-Management – ist entsprechend und verständlicherweise teilweise verbunden, mit der schrittweisen Transformation auf zukunftsorientierte, budgetierbare und skalierbare Hybrid Cloud Services.

Betriebssicherheit (Safety) und Angriffssicherheit (Security) durch/in der Cloud
Unter dem Aspekt von z.B. “Schatten-Informatik (shadowIT)”, Anforderungen von “new economy”, Abhängigkeit von Mitarbeiter / KnowHow-Träger und entsprechenden Qualitätsaspekten und sich stark veränderten Bedrohungslage sind auch in diesen Aspekten die Anforderungen an die entsprechenden Prozesse und Systeme im Sicherheitsbereich und im Risk-Management-System hochkomplex geworden.
Diese Herausforderungen welche auch zunehmend getrieben sind durch Revisions-Stellen, Audits, Complianceanforderungen (z.B. DSG, DSGVO / GDPR) – und der mittlerweilen zunehmend wahrgenommenen Verantwortung auf Führungsebene – zeigen ebenfalls zu einem neuen Trend. Der Trend zur Ausfall-Risiko-Optimierung und Gewaltentrennung (Unabhängigkeit von “internen” Maschinen und “internen” Menschen) durch Nutzung von externen, orchestrierbaren Services in Bereichen wie Security, Systemredundanzen, Disaster Recovery Services, standortgetrenntes Backup, Monitoring und Alarmierung und auch Servicedesk as a Service.

Neue Freiheitsgrade und Potentiale durch Fokus auf orchestrierbare Services gegenüber kopf-abhängiges System-Management
Passend orchestrierte Hybrid Cloud Services und völlig neue (bisher nur erschwert erreichbare) Managed Services und dosierte Öffnung zur “new economy” / neue Geschäftsmodelle ermöglichen auch neue Fokussierungs-Möglichkeiten. Dadurch entsteht auch die Chance und Herausforderung, effizient “Licht in die Schatten-Informatik” zu bringen. Die Verlässlichkeit, Standard und Sicherheit der Analogie zum “Strom aus der Steckdose” oder des “Wasser aus dem Wasserhahn” ergibt auch in der ICT die Möglichkeit, sich auf die Nutzung oder «Genuss des Stroms oder Wassers» zu konzentrieren (eine Art Services Management).
Diese Analogie sollte und wird auch entsprechend immer mehr Einzug halten in den ICT-Umgebungen und mit-helfen, neue Konzentrationen zu ermöglichen auf gelieferten Services von hoch-standardisierten / spezialisierten Anbieter. Dieser reinen Nutzung im Gegensatz zu reiner selbstproduzierter, mitunter aufwändiger Technik mit teilweisen Defiziten in der Verfügbarkeit bzw. Lieferbedingungen (Wasser aus dem selbstgegrabenen Wasserloch ? und Strom produziert vom eigenen Dynamo ?)
Dadurch können die Kernkompetenzen und die internen Prozesse weiter optimiert und die dosierte Weiterentwicklung zu neu adaptierbaren Geschäftsmodellen vorangetrieben werden. Dies auch mit der Befreiung und Entlastung der bisher teilweise “blockierten” KnowHow-Trägern oder “festgefahrenen” Systemen mit bisher beschränkten Skalierung.

“best out of all clouds” und «Stand der Technik»
Um sich als Konsument im Dschungel der unterschiedlichsten und nicht immer vergleichbaren Angeboten zurechtzufinden braucht es z.B. Vergleichstests, Angebotsportale, erfahrene Berater oder aber Gesamtanbieter (Solution Brokers, Managed Services Anbieter) mit entsprechenden weitergehend unterstützenden Branchenerfahrungen und Referenzen. Solche erfahrene und auch offizielle zertifizierte Gesamtanbieter – welche dann auch als Gesamtansprechpartner (single point of contact) sämtliche Herausforderungen abdecken, Probleme beheben und vorallem die besten Lösungen finden – haben sich über Jahre und aus eigenen Erfahrungen / entsprechendem Branchenwissen, die am besten orchestrierbaren und bestens bewährten Services aufgebaut. Da solche Gesamtanbieter teilweise dann auch über die entsprechenden zertifizierten Kompetenzen und spezielle Support-Verträge mit den Services-Lieferanten, haben profitiert der Kunde zusätzlich. Dieses “unbezahlbare” und aber für Kunden mittlerweile nutzbare Wissen, Skalierung und letztlich Vorteil gegenüber Mitbewerbern stellt den Anspruch sicher, dass die Endlösung wirklich basiert auf den maximalst bewährten, standardisierten und automatisierten “Managed Cloud Services” mit dynamischem Fokus auf «Stand der Technik». Durch genau solche auf “best out of all clouds” basierten Lösungen bleibt die Lösung standardisierbar, skalierbar, beherrschbar und letztlich auch unabhängig von den Anbietern. Aufgrund dieser zukunftsorientierten Nutzung entsteht eine nachhaltige Lösung mit fortwährenden Bestreben zum «Stand der Technik» und Einhalten von Compliance Anforderungen wie z.B. DSG, DSGVO / GDPR.

“Innovativ mit-denken, qualitativ handeln”
Dieser auf den ersten Blick einfach aussehende Idee, Anspruch und denkbare Anforderung für eine normale Weiterentwicklung von Prozessen oder Geschäftsideen funktionieren eben nur wenn man sich von möglichst vielen unterstützenden Themen (wie eben Wasser, Strom, Cloud…) entlasten und sich befreit, ungestört konzentrieren kann auf den «Reifegrad des eigenen Geschäftsmodells».

Change und Innovations Management inklusive
Viele solche Projekte gehen mitunter viel weiter und je nach Erfahrungen des gewählten Service Providers kann dieser den Kunden auch weitergehender beraten und begleiten. Weitergehend eben als nur die einmalige Planung, Migration und Betrieb der orchestrierten Cloud-Lösung sondern viel mehr auch im nötigen Change Management, Nutzungsoptimierung, Bewertung und Weiterentwicklung von adaptierbaren Innovationen oder Aufbau von neuen Basen für neue Geschäftsmodellen.

Zu guter letzt und wiederkehrend… Training, Befähigung und Weiterentwicklung
Bekanntlicherweise wird nur jeweils ein Bruchteil der effizienzsteigernden Features genutzt. Es ist lohnenswert durch eine fortwährende Nutzungsoptimierung, die enthaltenen, mit-lizenzierten Features mittels entsprechenden Lösungs-Demonstrationen und darauf aufbauenden Trainings und “best practices”-Workshops, diese Zusatz-Nutzen-Aspekte zugänglich zu machen. Die laufenden Services- / Features-Weiterentwicklungen können dann auch einfacher / kontinuierlich in der eigenen Weiterentwicklung / Effizienzsteigerung der Organisation nach-geschult und integriert werden.
Letztlich führen solche Werkzeuge / Möglichkeiten / Effizienzsteigerungen mitunter auch zur Optimierung und Unterstützung der Arbeitgeber-Attraktivität und Mitarbeiter-Motivation.

Adaptierte Innovation und Evolving in der Bauindustrie-Informatik

civil22

Der Wandlungsdruck in allen Business-Prozessen (z.B. heruntergebrochen auch in der Planungs-/Büro-Automatisation) aufgrund aktuellen und künftigen Anforderungen und Potentialen des Marktes, Auftraggeber, Mitbewerber, Regulatorieren setzen unteranderem auch die maximal effizient funktionierenden Hilfsmittel (z.B. passend orchestrierte ICT- / Cloud-Services) voraus.

Trends wie Mobility, Cloud (z.B. „People centric ICT“), Information (Stichworte BIM, Datenaustausch, GIS, BigData, IoT, App Economy, Baudigitalisierung) Social (Stichworte z.B. Outputs / Impacts laufend „liken“ und bewerten von Akteuren und an z.B. Mitarbeiter-Gesprächen miteinbeziehen) werden weitere Impacts auf „digital economy“ bzw. neue Business-Modelle im ganzen Planungs- und Bau-Prozess mit-prägen.

Die Unternehmen brauchen zunehmend eine durch Spezialisten passend orchestrierte „Insel der Ordnung“ in einer chaotisch dynamischen und dauer-hypenden Cloud-Welt. Traditionelle, auch interne ICT-Services und Ansätze stossen hierbei immer mehr (oder schon länger …) an ihre Grenzen.

Dass dabei sich immer mehr eine „Maxime der Spezialisierung auf die Kernkompetenzen“ die Gesamtdienstleistung auf mehrere hochspezialisierte Dienstleister (z.B. Partner, Subunternehmer) oder Services (z.B. „best out of all clouds“) stützt und nicht mehr alles alleine beherrscht werden kann (Nutzungs-Fokus versus Eigenbetriebs-Fokus, make or buy) kristallisiert sich immer mehr heraus.

Bei vielen Organisationen werden (müssen…) intern, nachvollziehbare und verständlich auch so dynamisch gewachsene Schatten-Informatik-Umgebungen zukunfts-ausgerichtet re-organisiert zugunsten der nötigen Optimierung, Transparenz, Transformation, Risiko-Management, Safety/Security und letztlich mitunter auch Chance der Rückgewinnung von Kontrolle und Vertrauen seitens der dafür verantwortlichen Führungsebene.

Die Daten-Intensität / -Dichte und Weiterentwicklungen in den Bereichen der innovativen Co-Information-Worker-Arbeitsmodelle und (Cloud)-Technologien fordern auch die Arbeitgeber, deren eingesetzten ICT-Services (und in Zukunft zunehmend auch „machine learning based“ unterstütztem Informations-Management) bezüglich deren Arbeitnehmer-Attraktivität und „war for talents“ (eine der massgebenden Zukunftsaufgaben der Unternehmen). Dieser Krieg um die besten bzw. passendsten Mitarbeiter wird auch im Bereich des HRM geprägt sein von dynamischer Individualität (als Megatrend), flexiblem Freiheitsgrad und komplexer Vereinbarkeit.

Ein Unternehmen beherbergt letztlich die Mitarbeiter welches es verdient (das beruht theoretisch auf Gegenseitigkeit… theoretisch). Ein Mitarbeiter welcher hierbei mit den besten Strategien, Prozessen, Services, Technologien, Apps, Pocket-Office, Dashboards, Reportings unterstützt wird und dabei weniger Reibungsverluste infolge z.B. ineffizienter / arbeitszeit-verschwenderischen Arbeitsweise zu beklagen hat wird besser an den gemeinsamen Firmen- und Projekt-Zielen mittragen können und dies letztlich motivierter auch wollen…
Unternehmen bzw. deren bereitgestellten Services könnten es schaffen, die künftige Arbeit als eine Art in allen Belangen „optimiertes Konsumerlebnis“ zu erleben. Dieses „Konsumerlebnis“ könnte es (leider…) auch schaffen in dosierter und zielgruppen-basierter Form, die teilweise digitalen Abstinenzler (z.B. in Freizeit oder generell) zu erreichen.

Ein mitunter dadurch entstehender gemeinsamer Willen und Bereitschaft entsprechende Wissens- und KnowHow-Transfer-Gemeinschaften intern und bei Bedarf auch extern (z.B. mittels andockbare Schnittstellen, Services, Collaboration, Apps, Selfservices) zu bilden kann zusätzlich helfen die Kosten zu reduzieren und letztlich die Personen-/Wissensträger-Abhängigkeiten zu optimieren.

Es kann eine völlig neue Innovations-Fähigkeit und auch Service-Qualität des Unternehmens entstehen welche wiederum die vorausgesetzte Basis ermöglicht für künftige, immer flexibler werdende Arbeitsgemeinschaften in der digitalisierteren Bauindustrie.

Die schon länger bekannte Forderung nach der geräte- und standort-unabhängige Arbeitsweise (auch bring your own device / bring your own desaster … byod) – nämlich genau „hier und jetzt“ bzw. wenn das beste Arbeits-Ergebnis erzielt werden kann – wird noch weitere Ausprägungen in einer 7x24h-Information-Worker-Gesellschaft mit sich bringen und dadurch Bereiche wie wiederum Safety (Betriebs-Sicherheit, Verfügbarkeit) und Security (Angriffs-Sicherheit, Datenschutz) weiter fordern.

Aufgabenfelder, Massnahmen:

– ICT-Strategie, ICT-Planung, ICT-Risk, ICT-Transformation, ICT-Innovation angelehnt und zur Unterstützung der Firmen-Strategie thematisieren in z.B. Workshops, Weiterbildung

– Anwendungs-spezifische Workshops, Kurse, Webcasts fuer optimerbare Büro-Automatisation, Planungs-Prozesse (PP) mittels best practises von denkbar „KnowHow-transfer-bereiten“ und sich weiterentwickelten Vorzeige-Organisationen (Wissens-Community-Gedanke)

– Zukunfts- und Ideen- / Impuls-Workshops für Aufzeigen, Erkennen und gar Adaptieren von aktuellen oder zukünftigen Trends

the „always ONline“ knowledge worker, supported by board, Big Data and IoT

digital-worker

People Centric ICT als Basis für die digitale Transformation
In Zukunft werden in ICT-nahen Berufen und Ausbildungen immer mehr Fähigkeiten benötigt, bei welchen der Mensch als seitens von Maschinen supportetem Anwender (People Centric ICT) im Mittelpunkt der angestrebten digitalen Transformation steht.
Die People centric ICT muss aber auch weiterentwickelt werden in Bereichen wie effizientere Collaboration (z.B. Ergänzung und Reduktion vom klassischem Email mit anderen Plattformen oder „machine learning“ Support-Prozessen) und auch optimierten Workplaces / Büroarchitektur (z.B. Massnahmen zur weiteren Reduktion von Ablenkungen und Optimierung der Arbeits-Konzentration, friendlyworkplaces) und Gesundheitsmanagement generell (z.B. Stressprävention, Fit at Work, Absenzenmanagement, Work-Life-Balance bzw. Online-Offline-Balance)
siehe auch: https://fridelonroad.wordpress.com/2014/07/02/ict-offline-ein-ding-der-unmoglichkeit/

War for talents + war against Brain-Drain – Austausch von high potentials
Solches Expertenwissen – kombiniert mit dem Lösungs-, Anwender- und User Experience-Fokus – ist jetzt schon rar und könnte noch akzentuiert schwieriger werden zu rekrutieren.
Die Arbeitgeber-Attraktivität bzw. Beliebtheitsgrad von solchen „digitalisierten Unternehmen“ wird zunehmend wichtig und seitens der Firmenstrategie angestrebt werden müssen.
Der „war for talents“ verlangt demnach auch einiges ab vom Arbeitgeber, Personalentwicklung in Bezug auf eine möglichst tiefe Mitarbeiter-Fluktuation und kleinstmöglichem KnowHow-Brain-Drain in solchen zunehmend firmenvitalen und „zu schonenden“ Schlüsselpositionen als beschränkte Ressourcen.
Dabei sind auch wir als politische und wirtschaftliche Mitglieder in einem demokratischen System, als Staaten und einem (Binnen)Markt gemahnt und gar in der Pflicht dafür besorgt zu sein, dass wir uns nicht abwenden oder isolieren von einem potentiellen und letztlich gewinnbringenden Austausch von solchen „high potentials“ mit irgendwelchen Initiativen oder regulatorischen Bestimmungen.
Diese beschränkten Ressourcen bedürfen auch weitere Unterstützungen in den Firmen mittels einer völlig neuen Form von Sparring und auch Gesundheitsmanagement / Work-Life-Balance (Gesundheit bringt mehr Leistung).
siehe auch: https://fridelonroad.wordpress.com/2014/07/02/ict-offline-ein-ding-der-unmoglichkeit/

Orchestrator als digitaler Lotse auf Führungsebene für den maximalen Business-Support durch ICT
Damit viele solche Herausforderungen und deren Auswirkungen in der „Transformation zur digitalen Economy und digitalen Gesellschaft“ beherrschbar bleiben braucht es auch auf der Führungsebene auf Stufe der Vorgesetzten, Geschäftsführung und Verwaltungsräten entsprechende Innovationen.
Eine Art Chef oder besser gesagt intelligent agierender Orchestrator für „das Digitale“ (CDO – Chief Digital Officer) in einer Organisation kann und wird mitentscheidend sein für den nachhaltigen Erfolg und Innovationskraft in der immer kompetetiver werdenden Mitbewerberschaft und eben diesem Umbau (geleitet durch einen digitalen Bauleiter) auf ein transformiertes Geschäftsmodell.
Diese vielfältige Querschnittsaufgabe kann mitunter auch abteilungsübergreifendes (Teil)Wissen voraussetzen und bedarf auch an einem hohen Mass an Change Management Fähigkeiten und Mindset eines Generalisten.
Eine solchen „Bauleiter für das Digitale“ sollte auch Erfahrungen oder Affinitäten haben in den Bereichen Technologien, Leadership, Marketing, Verkauf, Personal, Kundenbetreuung mitbringen damit die Betroffenen überzeugend und nachhaltig begeistert werden können zu „mitbrennenden“ Beteiligten.
Dabei muss sich nicht die Frage gestellt werden ob nun dieser „Chef für das Digitale“ eine wichtigere Rolle hat in der Firmenführung sondern viel mehr um die Frage wie kooperative die einzelnen CxO an diesen gemeinsamen Zielen zusammenarbeiten und entsprechende Projekte und Budget sprechen.
siehe auch: https://fridelonroad.wordpress.com/2014/09/26/ceo-cfo-cmo-gegen-oder-mit-cio-hauptsache-business-prozess-support-durch-ict/

Vorsprung durch Knowledge Workers, Wissen, Transformation und Innovation
Ein befähigter und nachhaltig begeisterter Knowledge Worker, ausgestattet mit den besten Werkzeugen (best of all) und unterstützt mit den besten Supportprozessen (z.B. ICT, HRM, Board) kann durchaus matchentscheidend sein ein einem digitalisierten Geschäftsmodell durch Transformationen und Innovationen.
Damit diese beschränkten, menschlichen Ressourcen sehr gezielt und effektiv eingesetzt werden können bedarf es zunehmend Unterstützungen von Technologien / Ansätzen wie z.B. Mobility, Cloud, Mobile Apps, neuer Bedienungskonzepte, Machine Learning, Big Data, Internet of things (IoT) und letztlich „kontextual basierte smart digital assistants“ je nach Aufgabenbereich.
Wie weit ein solches dann auch „Human Interface“ gehen kann – siehe auch:
https://fridelonroad.wordpress.com/2014/10/31/wearables-human-interface-potential-future-and-war-for-tracked-untrusted-wellillness/

Digital Assistant versus Human Assistent – big data as a new co-worker ?
Wie weit ein Mitarbeiter als persönlicher Assistent sinnvoll und effektiv unterstützt oder gar ersetzt werden kann ist natürlich auch abhängig von der Aufgabe und Funktion des Mitarbeiters oder Ziele des jeweiligen Projektes.
Trotzdem wird in den künftigen Ansätzen von Big Data, Machine Learning, IoT immer mehr an Fleissarbeit, Vorarbeiten, Informationsaufbereitungen, (Vor)Auswertungen, Trends, Berechenbarkeit (auch Arbeitszeit- und Leistungs-Erfassung… falls diese dann überhaupt noch den gleichen Stellenwert haben werden …) – und letztlich Human Assistant – sinnvoll ergänzt oder gar ersetzt werden können. Big Data – mit allen den immer mehr nutzbaren Potentialen – könnte eine Art „super digital assistant“ werden.
siehe auch: https://fridelonroad.wordpress.com/2014/07/06/big-data-better-data-or-not/

Digitalisierung jedes Geschäftsmodelles digitalisiert auch Prozesse und Mitarbeiter
Letztlich setzt die Digitalisierung eine Unmenge an Daten, daraus extrahierten nutzbaren Informationen und Herausforderungen an Informations-Management-Prozessen voraus welche einen neuen Typus von (r)evolutioniertem Mindset in den Organisationen voraussetzt.
Dabei scheint mir besonders ein differenzierendes Merkmal entscheidend zu werden:  Die Bereitschaft und Fähigkeit den neuen Rohstoff des Wissens und Informationen auch pro-aktiv zu teilen und dadurch weiterzuentwicklen – „share to evolve“
Es werden neue Karriere-Pfade – eine Art „big data career“ – ermöglicht werden für Knowledge Workers mit den besten Fähigkeiten aus diesen Tools, neuen darauf ausgerichteten internen oder externen Ausbildungen mehr als andere zu extrahieren als neue Fachexperten im Bereich Information Management.
Es liegt auf der Hand, dass in dieser volldigitalisierten Welt immer wieder auch die Gesamt-Sicherheits-Aspekte (Betriebs-Sicherheit und Angriffs-Sicherheit) betrachtet werden müssen damit ein Vorfall oder Ausfall (Stichwort Black Out) nicht ein ganzes System – oder einen einzelnen Knowledge Worker – zum Wanken oder Fallen bringen kann.
siehe auch: https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/
oder
https://fridelonroad.wordpress.com/2014/10/27/kommentar-digitale-transformation-innere-betriebssicherheit-versus-externe-angriffssicherheit/

Data Loss Prevention DLP – vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil

dlp3dlp

Als Grundlage – und bei weitergehendem Informations-Interesse als „nur“ dem Artikel-Haupt-Thema – für meine persönliche Philosophie zum schier unfassbar grossen Big Thema Security / Safety / Risk Management referenziere ich meinen publizierten Artikel bei ISACA Chapter Switzerland im SWISS IT MAGAZINE
>> 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Viele Produkte und Technologien rund um DLP – wo bleiben der Mensch und die Prozesse?
Sämtliche Bemühungen in technischer und prozessmässiger Hinsicht zur „beinahen“ Verhinderung oder eher „nur“ Behinderung von Daten-Lecks bzw. Entwendung oder Nutzen-Veränderung von firmen- oder personen-sensitiven Daten scheinen zunehmend reine eher reaktive Symptombekämpfungen anstelle proaktive integrierte Ursachenbekämpfungen zu sein. Hierbei steht einmal mehr der Mensch und die Prozesse im Vordergrund und im Fokus der Wirkung am Ziel.

Angriffs- und Betriebs-Sicherheits-Krieg auf höchstem Niveau – Mensch immerschwächer werdendes Glied in der Kette
Die sehr raffinierten Angriffs- und Verteidigungs-Methoden im Kontext von z.B. auch Zeitfaktoren / Multifaktor-Anmeldungen / Berechenbarkeit / Eintrittswahrscheinlichkeiten / Verschlüsselung scheinen mittlerweilen auf einem Höchst-Niveau abzulaufen – jenseits in dieser Betrachtung vom sicherheits-technisch immer schwächer werdenden Glied in der Kette – des Menschen selber.
Der grösste Schaden – es gibt genügend Beispiele seit längerer Zeit – basiert meist auf einer raffiniert aufgebauten und von langer Hand geplanter Angriffs-Strategie basierend auf  einer „Vertrauens-Bildung zwischen Angreifer und Opfer“.
Hierbei können folgende stichwortartig aufgelistete sehr einfache Fälle als Referenz dienen:
– Mail-Anhang mit bösartigem Code von einem (gefälschten) Bekannten öffnen
– Zugangs-Kennwort per Telefon, Webseite, Socialmedia, Email oder gar Zuruf bekanntgeben
– Kennwörter an beliebten Orten öffentlich zugänglich machen (Tastatur, Pult, Tasche etc.)
– Arbeitsplatz ungesperrt hinterlassen und den Zugang ermöglichen für Kollegen oder Externe
– „Unsicheres“ Daten austauschen per Webmail, Socialmedia, Smartphone, Wechseldatenträger
– Social Engineering – extern aber auch von intern …

Patt-Situation – Informations-Schutz versus Menschen-Schutz – was schützen und klassifizieren wir zuerst ?
Wo nun die Organisationen / Führungsebene beginnen sollten im Teil-Bereich von „Data Loss Prevention DLP“  ist demnach nicht einfach zu beantworten bevor man überhaupt weiss was „schützenswerte“ Informationen sind mittels einer zuerst nötigen Basis-Arbeit der Daten-Klassifikation.
Aufgrund dieser Klassifikation (auf die genaue Methode und Ansätze wird hier nicht eingegangen) entsteht dann ein klareres und überschaubareres Gesamt-Bild der schützenswerten Objekten und deren Einstufungen in z.B. Eintrittswahrscheinlichkeit, Risiken, Schadenspotential. Daraus sollten sich dann eine hoffentlich beherrschbarere Gesamtsicht entstehen mit z.B. Massnahmen, Compliance-Anforderungen, Auswirkungen auf Mitarbeiter Security Policy und Risk-Management / Audit.

Datenschutz und Persönlichkeits-Rechte – und trotzdem auch Schutz-Recht von Firmen-Eigentum ?
Zum Schutze und als Basis der (hoffentlich) gemeinsamen Interessen – auf der einen Seite des Mitarbeiters und dessen z.B. Persönlichkeits-Rechten und auf der anderen Seite der Firma und deren z.B. „intellectual property“ – sollte eine gemeinsame Vereinbarung in Form einer „ICT Security Policy / ICT Weisungen“ verabschiedet und als verbindlicher Bestandteil zum Arbeitsvertrag unterzeichnet werden.
Diese Spielregeln können letztlich kein Daten-Leck verhindern jedoch dient diese vorallem auch der Sensibilisierung und Aufklärung zu betriebs-vitalen oder gar betriebs-hoch-kritischen Gefahren, Regeln und Massnahmen.
Dabei ist auch die Balance zu finden zwischen den Rechten beider Partner (Arbeitnehmer und Arbeitnehmer oder auch Kunden und Service-Anbieter) unter Wahrung der Persönlichkeitsrechten und Balance zwischen Vertrauen und genau zu beschreibenden Kontroll- und Verteidigungs-Mechanismen (z.B. mehrstufig, anonymisiert, Trends, Baselines, Anomalien, Traffic-Controlling, Filterungen, Blockaden, Alerting).

Sensibilisierung via ICT Security Policy verschwindet nach der Unterzeichnung
ICT Security Policies als Bestandteil zum Arbeitsvertrag werden a) nur vor dem Start des Arbeitsverhältnisses unterzeichnet, b) geraten dann schnell in Vergessenheit, c) beinhalten vielfach keinen offenen ergänzbaren Bereich für die die hoch-dynamischen Bedrohungs-Lagen und d) sollten eine Arbeitspapier als Ausgangslage für weitergehende, wiederkehrende Schulungen und Sensibilisierungen. Hierbei reichen vielfach nur schon ausgewählte und auf die Firma adaptiert kommentierte, einfache Beispiele von Daten- und Sicherheits-Lecks von anderen betroffenen Organisationen und auch entsprechende juristisch strafrechtliche Auswirkungen.
Es sollte dadurch selbsterklärend sein, dass dann mitunter auch „naive“ Aussagen oder Ausreden im Sinne von „das war mir gar nicht bewusst oder das hat mir niemand so explizit gesagt“ nicht mehr einfach akzeptiert werden.

Lange Rede rund um… und nun: Am Schluss kommt „nur“ noch die Technologie
Und eine Wiederholung mehr: 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf
Zuerst umfassend sensibilisierte Mitarbeiter (Mensch) und klassifizierte schützenswerte Informationen (Maschinen, Prozesse) bilden dann die beherrschbare Basis für dann ein umfassend orchestrierte und bewusst vielschichtig aufgebaute Gesamtlösung.

Data Loss Prevention – best out of breed and out of best practices
Alleine die Aufzählung von verschiedenen Ansätzen, Methoden, Produkten würde jeglichen Rahmen sprengen dieses Impuls-Artikels. Ich beschränke mich hiermit auf die stichwortartige Aufzählungen von gewissen Ansätzen, Szenarien und einfach erklärten Ideen:
– Sehr hohe Priorität sollte dem „Schutz der digitalen Identität“ zugewandt werden – z.B. bei Kennwort-Richtlinien, Kennwort-Manager-Software, Multifactor-Anmeldung, One Time Token, Devices, Cloud-Dienste etc. damit hier nicht mittels einem „zentralen Einfalls-Tor alle anderen Zugänge und Angriffs-Schutz-Mechanismen“ ausgehebelt werden …
– Filterung, Ueberwachung und Sperren von WLAN-, Smartphone-, Internet- und Webbrowser-Zugänge und Berechtigungen für die proaktive Verhinderung von unerwünschten oder gefährlichen Webseiten- oder Internet-Aufrufen
– Software- und/oder Hardware-Verschlüsselung von z.B. Festplatten, Wechseldatenträger, Smartphones, Emails, Dokumenten (z.B. Bitlocker)
– Transportregeln auf Basis des Email-Systems welche per Voll-Text-Inhalts-Filterung gewisse geschützte und so klassifizierte Mails oder Anhänge sperrt / umleitet oder archiviert
– Automatische Disclaimer-Erzwingung oder PopUp-Fenster-Anzeige im Mail-Programm an den Anwender (proaktive Sensibilisierung) bei allen ausgehenden Emails oder bei klassifizierten Informationen
– Automatische Email- und Datenaustausch-Verschlüsselung (und auch z.B. Sender-Identitäts-Nachweis) ohne Einwirkung des Senders und Empfängers
– Verschlüsselungs-Punkte in der ganzen Kette der Kommunikation (User to Services, Daten zwischen Datencentern, Daten auf Datenträgern, End-to-End-Verschlüsselung von User zu User)
– Geschützte Output-Umgebungen mit Druck / Scan per Kennwort, Keycard, Token
– Compliance-Einschränkungen von z.B. Smartphone für Kamera, Bluetooth, NFC, WLAN, Cloud, Apps, Socialmedia, Speicher-Einschränkungen, Kennwort- und Geräte-Sperr-Vorgaben und Remote Löschungen
– Device Management Lösungen oder Software-Agents auf Clients für z.B. Sperre von Printscreens, Copy Paste Sperre je nach Anwendung, Software-Compliance-Kontrollen, AppLocker
– Zentral verwaltete, proaktive Endpoint Protection Lösungen welche zusammen mit neuartigen Internet-Firewalls auch Anomalien aufspüren oder Base-Line-Vergleiche sicherstellen kann (Stichwort: Trojaner, RootKits, Viren, Würmer, Schläfer, Kennwort-Logger, Spionage-Tools, Datenströme
– Baseline-Compliance-Vergleiche von zugelassenen und unerwünschten / nachträglich installierten Tools / Malware / Apps mit entsprechender Alarmierung
– Fingerprinting, Watermarking, Metadaten-Kennzeichnung, Keywords für das Filtern und Aufspüren von Informations-(Ab)flüssen oder Missbrauch
– Erweiterte Right Management Services (RMS) oder Digital / Information Right Services (DRM, IRS) welche eine sehr hohe, erweiterte Granularität von z.B. Dokumenten-Rechte / Schutz beim Empfänger steuern kann (z.B. Regelung von Autorisierung / Weitergabe / Druck / Speicherung / Protokollierung / Gültigkeitsdauer)

– Je nach Informations-Klassifizierung und Risk-Management gar erweiterte Massnahmen mittels einem „Intellectual Property Management“ System zum erweitertem Schutz von firmenvitalen Geisteseigentum.

– Letztlich: strategisch bewusstes Auslagern / Archivieren oder Sichern / Spiegeln von (Teil)Daten / Zusatz-Backups oder ganzen Systemen auf viel leistungsfähigere und ausfallsicherer orchestrierbare Public Cloud Dienste für die Reduktion von internen (grösseren…) Gefahren in einem lokalen Betrieb und lokalem physischen Datenzugang (Analogie: Die Suche nach der berüchtigten Nadel – aus Sicht eines Angreifers – in einem BigData-Heuhaufen und in einem reissenden Daten-Strom kann schwieriger sein als Firmendaten gezielt an einer Firmen- oder System-Lokation angreifen versuchen …) –> Enhanced Cybersecurity with Big Data …

Vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil ?? und es tropft weiter …
Mittels einigen genannten Beispielen aber vorallem mittels einer eigens aufgebauten und an die zu schützenden Organisation angepasstes Szenarien- / Frage-Framework sollten rasch die klassifizierten und priorisierten, schützenswerten Informationen und deren Schwachstellen (Lecks, Leaks) erkannt werden können für entsprechende stufenweise eingeführten Gegenmassnahmen für die möglichst grosse Reduktion von Informations-Missbräuchen / Abfluss (Loss).

Data Loss Prevention im Spannungsfeld zu Data Leak Management bzw. „offener“ Informations-Verbreitung / -Nutzungsänderung in der künftigen New Economy
Auch hier wird am Schluss eine Teilmenge von Risiken übrigbleiben welche im Risk-Mangement bewertet / überwacht und kontrolliert werden muss. Denn das Daten-Ventil tropft immer irgendwo weiter und weiter …
In einem teilweise (un)beherrschbarem Wachstum und derer Weiterentwicklung von z.B. Big Data, Internet of things (IoT) und Daten-Universum werden sich auch Business Modelle ändern (müssen) für einen offeneren – dann aber geregeltem und in einen mehrwert-generierenden – Informations-Austausch.
Bisher schützenswerte, klassifizierte Informationen / Datenbanken / Produkte / Schnittstellen / Standards / Normierungen / Apps / geistiges Eigentum finden – basierend auf einem neuen (r)evolutionierten Business-Modell – neue und mehrwert-generierende Services-Nutzungs-Kanäle für den Anbieter / Nutzer.

Digital Health durch IoT und Wearables – potential future and war for tracked, (un)trusted well(ill)ness ?

wearables3

Digital Health durch IoT und Wearables

Digitale und vorausgesagte Ziele innerhalb einer Systemgläubigkeit sollten nicht die physischen und psychischen Signale und gegebenen indiviuellen Grenzen übersteigen“

Antreibende Peitsche ohne Leder Seit mehreren Jahren sind zunehmend viele Menschen „versklavt“ mit einem activity tracker oder wearable. Wenn dieses Teil eine Verlängerung aus Leder hätte wäre es eher eine weitere „antreibende Peitsche“ im Mythos des sonst schon anspruchsvollen und herausfordernden Work-Life-Balance.

Wearables und IoT als Basis für „Digital Health“ Pulsmesser, Fitnessuhren, Watt-Leistungsmesser, GPS-Trackers kennen wir seit Jahren und zusammen mit den parallel laufenden hoch-technologisierten Weiterentwicklungen von z.B. Sensoren, Chips, Smartphones, Apps, Cloud, Wearables, Internet der Dinge, Künstliche Intelligenz, Bluetooth, WLAN, NFC entstehen neue Möglichkeiten für andere Anwendungen und Formfaktoren.

Der Drang nach übertriebener Wellness führt zur Illness ? Per laufenden Warnmeldungen (Mikroverletzungen) der Wearables bezüglich zu wenigen Bewegungen pro Zeiteinheit wird man allenfalls mal zum hyper-aktiven Wellness-Abhängigen. Durch weitere Messparameter und dann auch Vorhersagen wie z.B. Puls, Schlafphasen, Kalorienverbrauch wird man noch mehr fremdgesteuert im Bezug auf Einschlaf- / Aufweckphasen, Bewegung, Arbeit und Essverhalten. Aus meiner Sicht ist auch hier wieder mal die Frage nach dem ertragbaren Mass und Verhältnismässigkeit gefragt um sich nicht noch weiter fremdsteuern zu lassen im heutigen Mainstream von Internet, Social Media, Mail, Smartphone und letztlich der Systemgläubigkeit.

Die „Big Mother“ passt auf uns Kinder und unsere Digital Health Data auf oder eben nicht ? Im Zuge der weiter voranschreitenden Globalisierung speziell in den Bereichen von Cloud, Big Data, App Economy und Plattform-Daten-Kapitalismus wie z.B. Microsoft, Google, Amazon, Apple werden wir uns auch Fragen stellen müssen was irgendwann mal an sinnvollen oder weniger sinnvollen / unerwünschten Daten in falsche Hände geraten. Dabei geht es aus meiner Ansicht nicht um den Fakt, dass unsere Daten so oder so überall sicher und gleichzeitig auch unsicher sind sondern viel mehr um die Frage wie weit wir alle als Datenlieferanten die Beherrschbarkeit der Datenauswerter mitgestalten können. Beispiele welche in Zukunft Themen werden könnten: – Wollen wir aus Präventionsgründen unsere Vitaldaten laufend übermitteln an ein Medical-Center für Trends, Auffälligkeiten oder gar Warnungen und Notfall-Eskalationen? – Wie weit vertrauen wir an unsererseits hoffentlich wissentlich zugelassene Datenauswerter wie z.B. Krankenkassen, Versicherungen, Banken, Pflegeinrichtungen, Arbeitgeber, Rekrutierung, Behörden, Staat welche dann im Gegenzug das „Personen- / Gesundheits-Risiko“ dann hoffentlich belohnen mit tieferen Prämien / Risiko-Bewertung? – Werden wir künftig in den CVs von Kandidaten / Projektteilnehmern auch Fitness- und Activity-Werte vorfinden und teilweise einbeziehen in Entscheide und Risiko-Abwägungen? …

Regulatorisch gesteuerte Berechenbarkeit und Überwachung von Personen(Daten) Hoffen wir, dass in 10 oder 20 Jahren die Staats-Bevormundung (z.B. übergeordnete Staats-Krankenkassen oder Versicherungen) durch regulatorische Effekte oder globale Markt- / Risiko-Absprachen eine weitergehende Berechenbarkeit nicht zu gross wird von uns zunehmend datenliefernden Menschen.

Mensch und Maschine verschmelzen: Brain Computer Interface, Biosensor Chips Die zunehmende Distanz vom technischen rasanten Fortschritt zur langsamen Adaptionsmöglichkeit des Menschen (slow Evolution, Human Interface) und des menschlichen Gehirns (zu tiefe Nutzung des Potentials) hinterlässt schwer überwindbare Brücken (über welche wir gehen wollen und müssen…). Solche Brücken scheinen mittels der digitalen Transformation (Cloud, Big Data, Supercomputing, Künstliche Intelligenz) teilweise überbrückbar werden. Letzten Endes werden bereits jetzt schon vorhandene und funktionierende Konzept der Robotik und Biosensoren / Advanced Interfaces (z.B. SmartGlass, SmartLenses, eInk oder implantierte Chips) weitere Potentiale oder gar Notwendigkeiten generieren. Eine Art Brain Computer Interface für die noch direktere Koppelung (die Brücke…) von Sensoren, Human Interfaces, Processing scheint nicht mehr einfach nur eine Utopie (z.B. eInk) zu sein.

Umgekehrte Welt – neue technische Weltordnung – Computer Company search for best human talents … Wie würden wir umgehen – derzeit noch bisschen utopisch – wenn eine autonome „reine“ Computer Company in einem staatlich geschützten Umfeld dann „best human talents“ rekrutiert für deren zu überschreitenden Brücken? Selbsterklärend würden dann solche „reine“ Computer Companies nur die besten vernetzten Menschen finden der technokratischen Elite (siehe weiter unten) und die freiwilligen oder teilweise unfreiwilligen Abwender nicht finden (wollen) …

Vertrauen – Manipulation – Sicherheit Es wird ein neues Spannungsfeld geben in welchem immer mehr auch Fragen des Vertrauens gestellt werden in Bezug auf Data Security, Privacy, Manipulation seitens Anwender (ev. ist ein anderes Familienmitglied oder ein Haustier aktiver und manipulierbarer temporärer Träger des Daten-Trackers…) und Sicherheit seitens App- / Cloud-Servicedienstleister (sind das wirklich meine und nicht verfälschte Daten…) von solchen Wearables oder Daten-Auswertungen im Big Data Umfeld

Ethik muss auch Platz haben in der High Tech Informationsethik ist ein grundsätzlicher und noch ungelöster Aspekt der digitalen Gesellschaft in der Nutzung / Datenanalytik von digitalen Assistenten. Anstehende Evolutionsschritte der zuerst begrenzten Nutzung am Körper, über die Erweiterung auf den Wohn-, Arbeits- und Pflege-Raum bis hin zu einer digitalisierten „smart city“ fordert und prägt auch letztlich die dosierte Regulation und Entwicklung von auch eGovernment. Ein Code of Ethic oder Code of conduct im Rahmen dieser Weiterentwicklungen durch Spezialisten, Unternehmen oder Behörden wird weitere Spannungsfelder erzeugen.

Misstrauen – Ablehnung – Offline-Abseits – deklariertes unberechenbares Risiko Es wird künftig weitere Zweiklassen-Gesellschafts-Formen geben: die voll-digitalisierten Digital-Natives mit Big Data Wissen (technokratische Elite ? mit aber niedriger Selbstkontrolle der persönlichen Daten) und die teil-offline-rückgeführten Abwender (mit bewusst höherer Selbstkontrolle der persönlichen Daten) – mit dann auch Sicht des Big Data als unberechenbares, da nicht erfasstes Risiko deklariert (?!)

eSkin die modernen Tätowierungen und Wearables der digitalen Zukunft Es ist zu erwarten, dass auf oder unter die Haut platzierte, sogenannte eSkins mit Chips oder Sensoren eine moderne Form von Tätowierungen darstellen könnten. Es bleibt die Hoffnung, dass diese Anwendung – im Gegensatz zu einer Tätowierung – möglichst noch lange freiwillig bleibt …

Technologischer Fortschritt als Allerheil-Mittel für das kranke Gesundheitswesen ? Es ist anzunehmen, dass die vielen Chancen der Digitalisierung auch positive Auswirkungen und Unterstützung bieten kann in Themen wie z.B. Gesundheitsprävention, Unfallprävention. Auch im Rahmen der voranschreitenden Demografie und neuen Betreuungs- und Wohn-Konzepten wie „betreutes, digitalisiertes Wohnen“ oder „modernen Pflege“ nimmt die Digitalisierung und technlogische Fortschritt eine tragende Rolle ein. Weitere Regulatorien wie das EPDG (Bundesgesetz über das elektronische Patientendossier) verlangt nach einer intensiven, interdisziplinären Auseinandersetzung von unterschiedlichsten Experten / Task Forces für eine möglichst ausgewogene Stossrichtung in Bereichen wie Privacy, Data Security aber auch (informations)ethischen Aspekten. Digital eHealth könnte die Chance sein, um die „Zukunft vor der Vergangenheit zu schützen“ und nicht umgekehrt.

CEO / CFO / CMO gegen oder mit CIO: Hauptsache Business Prozess Support durch ICT

cio-cfo-ceo

Gretchenfrage – Who is the chief of the Next Digital Economy ?
Die Gretchenfrage ob nun künftig in den (sich in Transformation befindlichen) Organisationen eine neue Hack-Ordnung in den Entscheidungs-Gremien entstehen ist eher schwer abschliessend zu beantworten.

Jedoch ist es eher unumstritten, dass in künftigen Anforderungen der Next Digital Economy an die dynamische Flexibilität der Organisationen zunehmend auch gewisse Marktvorteile und Effizienz-Steigerungen mittels gut orchestrierten ICT-Prozessen vonnöten sind.

Aus meiner Sicht und Erfahrung wird die Wichtigkeit des Mitgestaltungs-Rechts des ICT-Bereiches auf der Stufe der Führungsebene von entscheidender Bedeutung in der laufenden digitalen Transformationen von vielen Geschäftsprozessen.

Budget by services
Dabei wird die Budget-Verantwortung einer Renaissance gleichkommen und sich zunehmend wiederfinden in den fachspezifischen Abteilungen oder Services-Bezügern welche als Direktbetroffene „am besten wissen“ was sie in welcher Qualität an Services brauchen – und aber auch die entsprechende Verantwortung dafür wahrnehmen können in fachtechnischer Hinsicht.

Durch diese Involvierung in Entscheidungs- und Budget-Prozessen – und letztlich auch Risiken – kann eine neue „Stärke und Wettbewerbs-Vorteil am Markt“ entstehen und die Organisation kann mittels guten Ideen in eine völlig neue Richtung des Innovations-Managements aufbrechen.

Knowledge Management – best out of the internal knowhow
Hierbei stellt sich dann eher nicht mehr die Frage ob nun der CEO / CFO / CMO oder CIO in gewissen ICT-nahen Bereichen / Entscheiden die hauptbestimmende Rolle einnimmt sondern vielmehr die Aufgabe der Führungsebene die geeignetesten internen (oder externen) Experten proaktiv und mitbestimmend einzubeziehen.

Mittels genau diesem gebündelten KnowHow(-Transfer) kann der wachsenden Komplexität der unterschiedlichsten Services-Anforderungen sichergestellt werden, dass möglichst alle davon Betroffenen in einem proaktiven Dialog zu Beteiligten gemacht werden können.
„Business Excellence“ wird zwar schon seit Jahren immer wieder gerne verwendet von vielen Beratern / Coaches kann aber funktionieren wenn die Organisation mit allen Betroffenen und Beteiligten die jeweils für sich passendste und auch lebbare Business-Support-Transformation findet.

Chef für Digitales
„Nur ein“ Chef für Digitales zu definieren scheint aufgrund der schier unendlichen Bandbreite der „digitalen“ Potentiale nicht mehr zu genügen – im „analogen“ Gleichklang zum zu grossen Risiko, ein firmenvitales Wissen auf „nur“ einen KnowHow-Träger zu belassen.

Neues Experten-Wissen gefragt – neue Führungsmethoden und Mindset nötig
Im Zuge der transformatorischen (R)Evolution muss auch neues Wissen extrahiert und retensiert werden können von neuen Spezialisten in den Bereichen wie Mobile, User Experience, Anwenderfokus, Cloud und Data Sciences (Big Data).
Diese neuen Mitarbeiter-Profile werden – auch aufgrund der anfangs dünn gesäten Auswahl – entsprechend andere Anforderungen an die Arbeitgeber-Attraktivität stellen und entsprechend auch die HR-Abteilungen und Führungsebenen vor neue Herausforderungen führen und aber auch Chancen von echten, neuen Innovationen ermöglichen.

Interdisziplinäre Zusammenarbeit nötig
So kristalliert sich heraus, dass solche Weiterentwicklungen entsprechend eine übergeordnete, interdisziplinäre Zusammenarbeit voraussetzt zwischen allen CxO – und dies sicherlich auch teilweise über die eigenen fachlichen Grenzen hinaus in neue zu ergründende (Grenz)Bereiche.

Entscheidungs-Hoheiten und Daten-Kontrollgrade schwinden
Vorallem auch der Fakt, dass die künftigen Entscheidungs-Hoheiten und auch Daten-Kontrollgrade nicht mehr ausschliesslich durch Menschen gegeben sind sondern zunehmend unterstützt und geprägt werden durch Maschinen (Big Data) wird so manche Führungsebene herausfordern und Mindsets verändern.

Gemeinsames Ziel aller CxO sollte sein: Eine gemeinsam erschaffene „Insel der Ordnung“ in einer chaotisch dynamischen, digitalen Cloud-Welt

ICT Transformation + Innovation = (Hybrid)Cloud2

 

hybrid-cloud
Im Spannungsfeld der Möglichkeiten und Bedürfnissen von EDV- / Cloud-Services und Anwendern ist eine gemeinsame Bereitschaft zur Transformation nötig

EDV-Lösungen / Cloud-Services und EDV-Organisationen mit deren derzeit gegebenen Services werden zunehmend gefordert von z.B. auch den EDV-Anwendern selber. Hierbei spielen Fach-Themen wie z.B. ByoD (Bring your own Device), PcIT (People centric IT), Consumerization oder nicht immer mit den Firmen-Regeln vereinbare Anwender-Anspruch an z.B. Webmail, Daten-Synchronisation (z.B. Dropbox, iCloud, OneDrive), Social Media (z.B. Facebook, Twitter, Skype, Xing, Blog) oder offener Firmen-Internet-Zugang gewichtige Rollen.

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Entwicklung und den mittlerweilen entsprechend grossen Angeboten von Cloud-Services, Apps und Geräten. Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential.

Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

Viele EDV-Organisation aber auch deren EDV-Anwender sind entsprechend noch längst nicht auf (oder in) irgendeiner „Wolke 7“ bzw. nutzen die bereits jetzt vorhandenen bestehenden Möglichkeiten der jetzigen EDV-Prozessen mit „angezogener Handbremse“ zulasten der Arbeits-Effizienz und Flexibilität / verlangten Mobilität.

Das strukturierte, meist langfristig statische ICT-Management, Prozesse, Standardisierung und auch Mitarbeiter-Schulungs-Stand steht vielfach im Widerspruch zu der gängigen Ansicht der Anwender, dass viele neue Funktionen oder Cloud-Services „einfach“, „schnell“ per „plug and play“ etabliert werden können.

Das gemeinsame zu vereinbarende Ziel dieser unterschiedlichen Ansichten, gegebenen Möglichkeiten, Lieferanten – und im Mittelpunkt stehenden Anwendern – sollte in Richtung einer passenden ICT-Transformation mit auch einem sinnvollen Mass an ICT-Innovation gehen. Ein entsprechend nachhaltiger – mitunter auch „mutiger“ innovativer – Mehrwert muss realistisch erreichbar sein mit allen beteiligten Anwendern, Prozessen und bestehenden zu optimierenden oder neuen Systemen. Die entsprechende Schulung von Anwendern, speziell auch der Sensibilisierung zur aktiven Mitarbeit im Thema Sicherheit und Know-How-Transfer zwischen internen und externen Services-Lieferanten ist dabei ein entscheidender Teil-Faktor um nicht in eine firmen-kritische Abhängigkeit von Personen oder Services zu geraten.

Eine zu transformierende ICT-Umgebung muss in aller „begeisternden Euphorie“ beherrschbar bleiben für die Service-/Support-Organisation. Dabei gilt es firmen-vitale Fach-Aspekte sauber zu definieren, zu dokumentieren und kontrollierbar zu halten wie z.B. Sicherheit / Datenschutz, Security Policies für Mitarbeiter, Prozesse, Risk Management / IKS, Audit / Compliance, Business Support, Disaster Recovery / BRS.

Letztlich sollte auch ein neues internes oder externes Service Level Agreement (SLA, OLA) massgeschneidert vereinbart werden. Rechtliche Unklarheiten oder Unsicherheiten mit z.B. externen (Cloud)Services sind bei Bedarf speziell abzuklären und in die Vertrags- / SLA-Definitionen zu integrieren. Je nach vorhandener oder künftiger angestrebter Qualitäts-Sicherung (QM,TQM) können hier auch erweiterte Service-Management-Aspekte von z.B. ITIL oder CMDB (serviceorientierte Configuration Management Datenbank) eingeführt werden.

Infolge der zunehmenden Granularität und Verteilung der (Hybrid)Cloud-Services ist es ratsam, spezielle Massahmen in in den Bereichen Technologie und Prozessen zu etablieren. Hierzu gehören auch spezielle Massnahmen in der Mitarbeiter-Sensibilisierung durch Informationen und Schulungen gegen die sehr dynamischen Bedrohungslagen/ Cyber-Security in Nutzungs-Themen wie z.B. Internet, Email, Webmail, Social Media, Datenschutz, Datenaustausch, Smartphone-Einsatz, HomeOffice-Nutzung, Spam-Problematik und letztlich Social Engineering (einfach gesagt gezielte Attacken / Sicherheitsprobleme via/durch Mitarbeiter).

Migrationen und Transformationen bieten auch Chancen für weitere Standardisierungen, Homogenisierung, Innovationen und Weiterentwicklungen in Prozessen. Neuere, laufend weiterentwickelte (Hybrid)Cloud-Services wie nur schon neue, bisher ungenutzte Produkte-Funktionen, prozess-orientierte Dokumentenmanagementsysteme (DMS), Business Intelligence (BI, Big Data / Data Mining) oder Enterprise Social Media können hierbei weitere wertvolle und effizienz-steigernde Mehrwerte generieren in der Prozesslandschaft.

Viele ICT-Serviceorganisationen erkennen darin letztlich auch Chancen als eine Art „Überlebensfaktor“ im Vergleich zu anderen internen oder externen Mitbewerben oder Cloud-Lösungen. Hierbei werden zunehmend auch externe ICT-Coaches, „Cloud Solution Experts“ oder „Solution Brokers“ konsultiert für „Das Beste aus den Clouds“ bzw. „Hybrid Cloud Lösungen“.

Die auch durch Cloud-Services verbundene zunehmende “Entgrenzung der Arbeit” (Stichwort: Arbeit nicht nur innerhalb der “Firmengrenzen” mehr sondern eben überall und wiederum “Hier und Jetzt”) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich “Business-Support durch ICT” definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Gemeinsam mit allen Beteiligten und festgehalten in der ICT-Strategie könnte dann ein laufendes, übergeordnetes Ziel der ICT ins Auge gefasst werden in Richtung von selbsterklärenden Begrifflichkeiten wie „Reducing, Unlocking, Accelerating, Benefit“.

Moderne, attraktive Arbeitsplätze – mit verbessertem ICT-Business Support – sind zunehmend auch positiv wirkende Faktoren bei der Personal-Rekrutierung im ausgetrockneten Fachkräfte-Arbeitsmarkt und letztlich der Arbeitgeber- / Arbeitsplatz-Attraktivität.

Der Trend der künftigen Arbeitweise zeigt zunehmend auf eine dynamische Projektarbeit im Gegensatz zum bisherigen starren Aufgabenbereich. Für diese Dynamik werden auch entsprechende Werkzeuge und Technologien benötigt von modernen Cloud-Umgebungen.
Die Mitarbeiter-Kultur und Projekt-Strukturen werden sich entsprechend anpassen und die Mitarbeiter-Team-Zusammensetzungen in den Projekten werden gezielter mittels ausgewählten „Wissens-Projekt-Arbeiter“ gezielt zusammengesetzt.
Der laufende interne KnowHow-Transfer und proaktive Informations-Austausch – unterstützt mit Austausch-Begegnungsmöglichkeiten auf Enterprise Social Media Plattformen oder an Meetings / Events – wird dann eine der wichtigen Aufgaben für die Führungsebene werden für die Motiviations- und Retensions-Bemühungen vom Human-Kapital.
Diese wohl zu dosierende Form wird auch den Arbeitsort und Arbeitsplatz der Projekt-Mitarbeiter mittelfristig prägen und flexibler machen.

Wenn sich dann letztlich alle Betroffenen zu auch aktiven motivierten Beteiligten (Mensch und Maschine) transformieren lassen entsteht ein gemeinsamer Konsens und die Organisation ist dann sozusagen „ready to transform / to (hybrid)cloud2“ mit echtem Mehrnutzen und Nachhaltigkeit – bei maximierten “Business-Support durch ICT.

>> Siehe daraus publizierter Artikel im „Management Magazin“ von SIA Schweizerischer Ingenieur und Architekten Verein
Management-Magazine_3_2014_GER_FRA

>> Siehe daraus publizierter Artikel / Gast-Kolumne „Rigi-Anzeiger“
Artikel-Rigianzeiger-Hybrid-Cloud-Transformation-Kolumne-2014_05_02

http://rigianzeiger.ch/transformation-in-ein-neues-informatik-zeitalter/