BIM ¦ CyberSecurity ¦ Digitalisierung: BIM UND DIE IT-SICHERHEIT

Dynamische und digitale Entwicklungen führen eher früher als später auch zu technischen und prozessualen Sicherheitsherausforderungen. Alle Akteure im Bauprozess – von den Architekten, Ingenieuren und Planern über die Holzbaubetriebe bis hin zur Bauherrschaft – müssen sich im Zuge der Digitalisierungswelle ihrer Branche auch mit Fragen der Sicherheit auseinandersetzen.

Herausforderung Mensch
Ein geeignetes «Security minded»-Modell sollte der Sensibilisierung für eine maximale Sicherheitsorientierung und der Auditierbarkeit in Systemarchitekturen mit allen Akteuren dienen. Damit sich solche strategischen Vorgaben in der Praxis bewähren, stehen die Verantwortlichen vor einigen Herausforderungen.
Denn der Mensch ist – wie man so schön sagt – aus einem krummen Holz geschnitzt und passt sich nicht automatisch in die Prozesse oder Technologien ein. Dies gilt es gerade auch unter Betrachtung der physischen und logischen Sicherheit zu berücksichtigen.

Publizierter Artikel bei „Wir Holzbauer“ 07/18

Wir-Holzbauer-CyberSecurity-BIM-WHB_7_2018

 

Advertisements

Security by design in „massive interconnected“ Systems – BIM – SmartCity – IoT – eHealth

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» / „Stand der Technik“ mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell mit möglichst der Anwendung eines umfassenden „full stack security“ auf allen Ebenen dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Digitalisierung und „verteilte Systeme“ wie auch z.B. BIM, CAx, Gebäudetechnik / Gebäudeleitsystem GLS, SmartCity, SmartHome, IoT, Big Data, eHealth ePDG Stammgemeinschaften, Künstliche Intelligenz AI, «Cyberphysical Systems» und „personenbezogenen Daten“ hinterlassen grundlegende technische und prozessuale Konzept- und Security-Fragen. Erschwerend kommt dazu, dass dann diese „verteilten Systeme“ zusätzlich aus regulatorischen oder normativen Compliance-Anforderungen auch noch gar möglichst lückenlos «managed» und «auditiert» werden müssen.

Nächste (R)Evolutions-Stufen der „Industrie 4.0“ / „Digitalisierung“ in Bereichen wie „Künstliche Intelligenz KI / AI“ werden grosse und neuartige Chancen zur „business model maturity“ und „data monetization“ generieren aber auch Risiken und Abhängigkeiten von „verteilten, massive interconnected Systemen“ zur Folge haben.

Jede Medaille hat bekanntlich immer 2 Seiten. Eine solche sogenannte „Dual-Use-Technologie“ wird automatisch auch leider wiederum die „dunkle Seite der Macht“ weiterentwickeln in Richtung von „Malicious Use of Artificial Intelligence“ (die bösartige Nutzung von AI) und daraus werden ernsthafte Risiken und grosse interdisziplinäre Herausforderungen für alle Akteure erwachsen bei der „falschen“ Verwendung neuer mächtigen Technologien.

Dass dann hierbei entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit der gleichgelagerten Technologie (z.B. „cognitive Security“ , „predictive Security“)  zum Zuge kommen müssen liegt nahe. Hierbei wird auch im Rahmen der geforderten Interdisziplinarität eine „neue“ hilfreiche Transparenz über Sicherheits-Lücken / -Massnahmen und „best practices“ vonnöten sein zwischen den Technologie-Giganten, Staaten bzw. zwischen allen Akteuren.

Auch Grundsätze zur „Informations Ethik“ werden hier hilfreich sein in einer nötigen gesamtheitlichen Betrachtung und entsprechenden Massnahmen zur Förderung oder Erhaltung der „privacy by design“ bzw. zum Schutz von „personenbezogenen Daten“ der Daten-Subjekte.

Unterschiedliches Verständnis und Verwendung von entsprechenden Begrifflichkeiten (nur schon Security, Privacy, Plattform, Cloud, Open) verunsichern viele Akteure und bedürfen einer gemeinsamen Verständnisfindung und nachhaltige Sensibilisierung.

Neue und noch teilweise in Vernehmlassung stehende Regulationen > Gesetze aus Bundesbern zu Datenschutz-Aspekten (z.B. DSG, e-ID) sind noch nicht spruchreif und die möglichst europäisch / international orientierte Umsetzung (z.B. EU-DSGV0 / GDPR mit auch Privacy by design / Privacy by default / security by design, ePrivacy, eIDAS elektronische Signatur, ePDG) bzw. offene Formulierungen in Richtung „Stand der Technik“ noch verbesserungsfähig.

Ein reiner «Schweizer Datenschutz oder Schweizer Standard» in der Regulierung / Standardisierung / Normierung ist aktiv zu verhindern (bzw. mittels Orientierung an „Stand der Technik“ und europäische Standards und Regulationen zu optimieren), verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten. Dass es letztlich hierbei auch um das marktrelevante Thema der Innovationskraft und des Business Maturitäts-Levels geht liegt auf der Hand.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» und auch Nachfolge-Strategie NCS 2 werden ebenfalls adaptierbare Resultate und „best practices“ von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Militär, Spitäler zu erwarten sein welche wiederum auch den möglichst offen formulierte „Stand der Technik“ mitprägen.

Entsprechend möglichst offen formulierte «Open Systems / Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) mittels „verteilten Systemen“ und basierend auf „Stand der Technik“ als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Das Herz / Core-System gilt es zu intelligent orchestriert zu schützen

Das immer schneller pochende und geforderte „Herz des Core-Systems“ ist die Verfügbarkeit durch optimierte Angriffs- und Betriebs-Sicherheit der „massiven Interkonnektion der verteilten Systeme“.
Zunehmend sind geforderte Verfügbarkeiten und adäquate Ausfallszenarien abhängig von solchen „intelligent orchestrierten (Teil)Systemen“.
Damit alle einzelnen Kettenglieder der Wertschöpfungskette die forderten Dienste und Verfügbarkeit liefern können bedarf es unteranderem auch die Betrachtung der einzelnen „Akteure und Layers der Interkonnektion“.

OSI-Layer als eines von vielen Beispielen der nötigen Gesamtbetrachtung von der Collaboration von „verteilten Systemen“

Ein solches anerkanntes und hier im Kontext bewusst gewähltes, als einfach verständliches Modell ist das „OSI-Modell“. Das international seit über 30 Jahren bewährte OSI-Model ist ein Referenzmodell für Netzwerkprotokolle in der Betrachtung als Schichtenarchitektur der einzelnen Komponenten einer möglichst verlässlichen Kommunikation. Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische, verteilte Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben zur auch Optimierung von Fehlersuchen und Spezialisierungen.

Im Rahmen der Gesamtbetrachtung der Verfügbarkeit und auch Angriffs- und Betriebs-Sicherheit eines verteilten Systems kommt auch mit dem Beispiel des OSI-Modells sehr klar und gut zum Vorschein, dass z.B. beginnend mit der Verkabelung / Übertragungsmedium (OSI-Layer 0 > 1) bis hoch zur Applikation (OSI-Layer 7) jede Ebene / jeder Akteur inkl. dem inoffiziellen OSI-Layer 8 (der Anwender / Mensch / künftig AI und „cyberphysical Systems“) eine relevante und vitale Rolle einnimmt in der Sicherheit und Verfügbarkeit von verteilten Systemen.

Es ist unschwer zu erkennen, dass viele Fach-Artikel, Produkte, Technologien und auch Hypes sich sehr fokussiert mit „nur“ den höheren OSI-Layern befassen, also mit z.B. der Anwendungsschicht (OSI-Layer 7) und dem Anwender selber (inoffizieller OSI-Layer 8).

Genau darum ist es wichtig, dass ebene sämtliche technische Komponenten, Schichten und prozessuale Methoden, Akteure (also eben als gewähltes Beispiel ALLE OSI-Layer 1 bis 8) bzw. alle Aspekte betrachtet werden.

Weitere Informationen und Checklisten
.

Speziell mit eben der gesamtheitlichen Sicht auf den «Plattform Kapitalismus» und der stetig erhöhten Anforderung an die Verfügbarkeit und Angriffs- und Betriebs-Sicherheit der «massiven Interkonnektion» müssen alle diese Akteuren auch in einer nachhaltigen Interdisziplinarität noch besser miteinander abgestimmt werden mit dem Fokus auf „Stand der Technik“.

Einige, bewusst einfache Beispiele (ohne Anspruch auf Vollständigkeit) zur Verständnisförderung:

  • Keine „massive Interkonnektion“ ohne verfügbare, verlässliche Stromversorgung im Haus / Gebäude / Quartier / Ort / Region / smartGrid / smartEnergy / Schwarm-Versorgung oder Staat.
  • mit Sensoren und IoT-Elemente durchwachsene CyberCity funktioniert nicht ohne Internet, Netzwerk, Strom oder gar benötigte redundant ausgelegte, ausfallgesicherte Netze oder neue Services und Technologien wie 5G.
  • DoS / DDoS Distributed Denial of Service Attacken mittels z.B. Botnetzen und auch beauftragt aus dem „Darknet“ können durch Überlasten oder auch Gegenmassnahmen wie temporär Sperren / Blockaden die Verfügbarkeit der vernetzten oder zentralisierten Systeme reduzieren.
  • Verfügbarkeitsverluste oder vitale Unterbrüche durch mindere Qualität von eingesetzten (Aktiv)Komponenten und Netzwerkkabeln.
  • Suboptiomal orchestriertes oder zu wenig zugunsten Angriffs- und Betriebs-Sicherheit optimiertes Common Data Environment (CDE) oder deren Schnittstellen / Microservices / Middleware / API
  • Bestandesaufnahme, Dokumentation, Lizenzen Verwaltung, Rechtedefinitionen, Daten- und Risiken-Klassifizierungen in einem nachvollziehbaren und beweisbaren Register für den ganzen «Data Life Cycle»
  • Aspekte und Massnahmen zu «system design by weakest user» z.B. auf Baustelle (?) oder ? à „user centric security“
  • Multilayer Security“-Gesamtsystem Ansatz zur Verständigung der möglichen prozessualen und technischen Ansatzpunkte und Notwendigkeiten einer gesamtheitlichen Sicherheits-Strategie. Über den Perimeter bis in den Kern zum „Mission Critical Asset“
  • Adäquate Backup- und Verschlüsselungs-Strategie je nach z.B. Daten-Klassifizierungen (z.B. Schutz von kritischen Daten gegen z.B. auch Verschlüsselungs-Trojaner oder lange nicht entdeckter „Malicous Code“), Aufbewahrung (10 Jahre), Archivierung und Datenschutzregulationen (z.B. Recht auf Löschung)
  • Geräte-, System- und Services-Monitoring mit auch „predicted“ Maintenance und „behaviour analysis“ als proaktives Früherkennungssystem und erste maschinenunterstützte Abwehrlinie.
  • Fokus und offene Formulierungen in ICT-Strategie und ICT-Planung in Richtung „Stand der Technik“, „security by design“, „security by default“, Daten- und Rechte-Minimierung
  • Fehlendes Business Recovery System & Business Contingency Planning
  • ICT-Risk Management, ICT-Risk-Versicherungswesen
  • Gesamtheitliche ICT-Strategie oder nur schon ICT-Planung, Führungsverantwortung (GL und VR) zu CyberSecurity.
  • KnowHow-Management, Personenabhängigkeiten und Stellvertretungen
  • Massnahmen gegen Anti-Shadow-IT (do NOT build new legacy systems)
  • Mitarbeiter Sensibilisierung und Training zur sicheren und effizienten Collaboration – Unkenntnis schafft Unsicherheit …
  • Personal Analytics mittels Assessment und Tests bei Rekrutierung / Anstellung oder Arbeit / Aufgaben / KnowHow in kritischen Projekten
  • Der Akteur Mensch kann (muss!) mittels dem Fakt(or) der möglichst Reduzierung der „human interaction“ und technischen und prozessualen Unterstützung des Automatisierungsgrads werden.

Entsprechend ist die nötige Sicherheits Strategy  BASS (Built Asset Security Strategy) die erste und wichtige Grundlage für eine der vielen Organisations Informations Anforderung OIR der ICT-Gesamtsicherheits-Architektur. Hier legt man die Basis wie die interne oder organisationsübergreifende Architektur adressierte Sicherheitsaspekte definiert und regelt. Diese soll möglichst offen formuliert sich an „Security by design“ und „Stand der Technik“ anlehnen und dadurch aufgefordert dynamisch bleiben in der fortwährenden Dynamik der Bedrohungslage in der CyberSecurity.

Unabhängig vom effektiv benötigtem Umfang und Anwendungstiefe je nach Projekt lohnt es sich in jedem Falle, diese Grundlagen zu definieren und eine umfassende Klassifizierung bezüglich z.B. Schutzniveau, Schutzklasse, Schadenspotential, personenbezogenen Daten umzusetzen und zu unterhalten. Je nach benötigten Überwachungsparameter können mittels adäquaten unterstützenden Automatismen oder Monitoring-Systemen oder Monitoring-Methoden wie z.B. SCADA (Supervisory Control and Data Acquisition) oder Cloud-Monitoring-Systemen das operative bzw. „on going“ Sicherheits-Level (Betriebs- und Angriffs-Sicherheit) integriert überwacht werden.

Mit einem weiteren Hilfsmittel und Methode wie z.B.  BASMP (Built Asset Security Management), der Sicherheits Bewertung AIR (asset of information requirements of security) kann man entsprechende Anwendungsgrade erkennen und anwenden.

Damit ein solches Gesamt-System funktioniert und wirklich gelebt werden kann ist mittels entsprechenden weiteren Massnahmen und KnowHow-Transfer auch die Sicherheit auf Stufe der  Anwender (EIR employer’s information requirements of security) speziell zu integrieren in einem wiederkehrenden, «security minded» Sensibilisierungs-Prozess.

Damit auch externe dritte Akteure die gemeinsame Verantwortung des definierten Gesamt-Sicherheitssystem mittragen können müssen diese möglichst früh sensiblisiert, involviert, befähigt und bei Bedarf sogar zertifiziert werden.

Letztlich kann nach der möglichst umfassenden Integration aller Akteure (inkl. auch Vertragsrelevanzen) und entsprechenden Datenschutzfolgenabschätzungen auch die Organisation und Prozesse definiert werden für ein Incident Response Management mit Vorgaben für z.B. Sicherheitsvorfälle, Meldepflichten, Definition des Data Protection Officers DPO, Krisenkommunikation.

Aufgrund der Komplexität des Security Themas in einer Gesamtsicht ist es unumgänglich, die Zuständigkeit und Verantwortung je nach Projekt und teilnehmenden Akteure neu zu definieren innerhalb der teilnehmenden Akteuren (mit teilweise schon Erfahrungen und adaptierbaren «best practices» hierbei) oder externen Dienstleistern.

Je nach Umfang des Projektes oder Vertrages kann es mitunter nötig sein, weitergehende Analysen und präventive Massnahmen evaluieren zu lassen durch weitere Fachbereichs-Spezialisten für z.B. juristische, vertrags-technische, finanz-technische, ICT-security-technische Aspekte um evaluierte, absehbar weitergehende vitale Risiken zu minimieren.

Die Projektanforderung (das Was) rund um die Sicherheit sind adressiert in der  Sicherheits Bewertung AIR (asset of information requirements of security) und unterscheiden sich bzw. müssen gemappt bzw. stufengerecht adaptiert werden auf die Stufe der  Anwender (das Wie > EIR employer’s information requirements of security).

Bei vielen Bereichen sind unterschiedliche oder nicht abschliessende Definitionen erkennbar bei welchen nicht alles eindeutig festgestellt ist für das «Was», «Wie» und «Wann» und sind deshalb genauer zu definieren, um darauf basierend, auch die adäquat zur Verfügung zu stehenden Services rund um ICT bzw. Security orchestrieren zu können je nach Projekt. Hierzu sollten Elemente und Orientierungspunkte entsprechende schutzklassen-gerechte Anwendung finden aus Normen, Frameworks, Methoden wie z.B. PAS1192-5, CPNI, CEN, ISO (z.B. 27xxx), BSI, BS, OSSTMM, IFC, ITIL, CobIT, NIST, NCSC und anderen internationalen Standards.

Ein höherer BIM-Maturity-Level bzw. „Business Model Maturity“ kann grundsätzlich nur ganzheitlich erarbeitet, erreicht und erhalten werden, wenn alle Elemente auf dem adäquat angepassten Level durchgängig prozessual und technologisch passen und funktionieren >> also auch eine entsprechend passende Maturität der Gesamtsicherheit (Security Maturity Level)

Weitere Artikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

https://fridelonroad.wordpress.com/2018/02/08/bim-startet-durch-es-stellt-sich-aber-die-frage-nach-der-sicherheit/

https://fridelonroad.wordpress.com/2018/03/06/shre-to-evolve-45-licht-in-die-jahrelang-dynamisch-gewachsene-schatten-informatik-shadow-it/

https://fridelonroad.wordpress.com/2018/02/08/100-sicher-ist-die-digitalisierung-ist-durchgestartet-und-etabliert-sich-aber-ist-diese-technologisch-99-sicher-genug/

https://fridelonroad.wordpress.com/2018/01/05/shre-to-evolve-44-ict-glossar-teil-2-sensibilisierung-und-verstaendnisfoerderung-in-digitalisierung/

https://fridelonroad.wordpress.com/2016/01/24/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie/

https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/

sh@re to evolve #45 – «Licht» in die jahrelang dynamisch gewachsene «Schatten-Informatik» (Shadow IT)

Erst wenn “Licht” in die jahrelang dynamisch gewachsene “Schatten-Informatik”  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle

Beitrag Gewerbeverband ksgv.ch

ksgv.ch – Gewerbeverband – AntiShadowIT – Ausgabe März 2017 – Fridels_BLOG_F@R

 

Digitalisierung – Küssnachter Wirtschaftsforum – Empowering und Mitgestalten für „better together“


Au
ch in diesem Jahr lädt die Volkswirtschaftskommission des Bezirks Küssnacht zu einem spannenden, hochaktuellen und informativen Wirtschaftsforum ein.
Am Donnerstag, 8. Juni 2017 steht die Digitalisierung, Industrie 4.0, im Mittelpunkt.
Die Digitalisierung Ist ein Megatrend und lnnovationstreiber. lndustrie 4.0 ist bereits in aller Munde – auch die KMUs müssen sich der digitalen Entwicklung stellen.
Mit der
Industrie 4.0 entstehen grundlegende Veränderungen und Herausforderungen. Sie bringt aber auch frischen Wind und Chancen in unsere Firmen.
Digitalisierung wird oftmals mit Informatik gleichgesetzt, Digitalisierung ist jedoch bei weitem mehr. Die Auswirkungen sind breiter, umfassender und betreffen insbesondere die Arbeitsprozesse und die Organisation. Vernetztes Denken und eine ganzheitliche Sicht sind gefordert. Wo Chancen sind, sind auch Risiken und ethische Fragen. Wo liegen diese? Wie kann man diesen begegnen? Auch diese Seite der Medaille soll am Wirtschaftsforum Küssnacht am Rigi aufgezeigt werden.


CEO / CFO / CMO gegen oder mit CIO: Hauptsache Business Prozess Support durch ICT

cio-cfo-ceo

Gretchenfrage – Who is the chief of the Next Digital Economy ?
Die Gretchenfrage ob nun künftig in den (sich in Transformation befindlichen) Organisationen eine neue Hack-Ordnung in den Entscheidungs-Gremien entstehen ist eher schwer abschliessend zu beantworten.

Jedoch ist es eher unumstritten, dass in künftigen Anforderungen der Next Digital Economy an die dynamische Flexibilität der Organisationen zunehmend auch gewisse Marktvorteile und Effizienz-Steigerungen mittels gut orchestrierten ICT-Prozessen vonnöten sind.

Aus meiner Sicht und Erfahrung wird die Wichtigkeit des Mitgestaltungs-Rechts des ICT-Bereiches auf der Stufe der Führungsebene von entscheidender Bedeutung in der laufenden digitalen Transformationen von vielen Geschäftsprozessen.

Budget by services
Dabei wird die Budget-Verantwortung einer Renaissance gleichkommen und sich zunehmend wiederfinden in den fachspezifischen Abteilungen oder Services-Bezügern welche als Direktbetroffene „am besten wissen“ was sie in welcher Qualität an Services brauchen – und aber auch die entsprechende Verantwortung dafür wahrnehmen können in fachtechnischer Hinsicht.

Durch diese Involvierung in Entscheidungs- und Budget-Prozessen – und letztlich auch Risiken – kann eine neue „Stärke und Wettbewerbs-Vorteil am Markt“ entstehen und die Organisation kann mittels guten Ideen in eine völlig neue Richtung des Innovations-Managements aufbrechen.

Knowledge Management – best out of the internal knowhow
Hierbei stellt sich dann eher nicht mehr die Frage ob nun der CEO / CFO / CMO oder CIO in gewissen ICT-nahen Bereichen / Entscheiden die hauptbestimmende Rolle einnimmt sondern vielmehr die Aufgabe der Führungsebene die geeignetesten internen (oder externen) Experten proaktiv und mitbestimmend einzubeziehen.

Mittels genau diesem gebündelten KnowHow(-Transfer) kann der wachsenden Komplexität der unterschiedlichsten Services-Anforderungen sichergestellt werden, dass möglichst alle davon Betroffenen in einem proaktiven Dialog zu Beteiligten gemacht werden können.
„Business Excellence“ wird zwar schon seit Jahren immer wieder gerne verwendet von vielen Beratern / Coaches kann aber funktionieren wenn die Organisation mit allen Betroffenen und Beteiligten die jeweils für sich passendste und auch lebbare Business-Support-Transformation findet.

Chef für Digitales
„Nur ein“ Chef für Digitales zu definieren scheint aufgrund der schier unendlichen Bandbreite der „digitalen“ Potentiale nicht mehr zu genügen – im „analogen“ Gleichklang zum zu grossen Risiko, ein firmenvitales Wissen auf „nur“ einen KnowHow-Träger zu belassen.

Neues Experten-Wissen gefragt – neue Führungsmethoden und Mindset nötig
Im Zuge der transformatorischen (R)Evolution muss auch neues Wissen extrahiert und retensiert werden können von neuen Spezialisten in den Bereichen wie Mobile, User Experience, Anwenderfokus, Cloud und Data Sciences (Big Data).
Diese neuen Mitarbeiter-Profile werden – auch aufgrund der anfangs dünn gesäten Auswahl – entsprechend andere Anforderungen an die Arbeitgeber-Attraktivität stellen und entsprechend auch die HR-Abteilungen und Führungsebenen vor neue Herausforderungen führen und aber auch Chancen von echten, neuen Innovationen ermöglichen.

Interdisziplinäre Zusammenarbeit nötig
So kristalliert sich heraus, dass solche Weiterentwicklungen entsprechend eine übergeordnete, interdisziplinäre Zusammenarbeit voraussetzt zwischen allen CxO – und dies sicherlich auch teilweise über die eigenen fachlichen Grenzen hinaus in neue zu ergründende (Grenz)Bereiche.

Entscheidungs-Hoheiten und Daten-Kontrollgrade schwinden
Vorallem auch der Fakt, dass die künftigen Entscheidungs-Hoheiten und auch Daten-Kontrollgrade nicht mehr ausschliesslich durch Menschen gegeben sind sondern zunehmend unterstützt und geprägt werden durch Maschinen (Big Data) wird so manche Führungsebene herausfordern und Mindsets verändern.

Gemeinsames Ziel aller CxO sollte sein: Eine gemeinsam erschaffene „Insel der Ordnung“ in einer chaotisch dynamischen, digitalen Cloud-Welt

ICT Transformation + Innovation = (Hybrid)Cloud2

 

hybrid-cloud
Im Spannungsfeld der Möglichkeiten und Bedürfnissen von EDV- / Cloud-Services und Anwendern ist eine gemeinsame Bereitschaft zur Transformation nötig

EDV-Lösungen / Cloud-Services und EDV-Organisationen mit deren derzeit gegebenen Services werden zunehmend gefordert von z.B. auch den EDV-Anwendern selber. Hierbei spielen Fach-Themen wie z.B. ByoD (Bring your own Device), PcIT (People centric IT), Consumerization oder nicht immer mit den Firmen-Regeln vereinbare Anwender-Anspruch an z.B. Webmail, Daten-Synchronisation (z.B. Dropbox, iCloud, OneDrive), Social Media (z.B. Facebook, Twitter, Skype, Xing, Blog) oder offener Firmen-Internet-Zugang gewichtige Rollen.

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Entwicklung und den mittlerweilen entsprechend grossen Angeboten von Cloud-Services, Apps und Geräten. Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential.

Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

Viele EDV-Organisation aber auch deren EDV-Anwender sind entsprechend noch längst nicht auf (oder in) irgendeiner „Wolke 7“ bzw. nutzen die bereits jetzt vorhandenen bestehenden Möglichkeiten der jetzigen EDV-Prozessen mit „angezogener Handbremse“ zulasten der Arbeits-Effizienz und Flexibilität / verlangten Mobilität.

Das strukturierte, meist langfristig statische ICT-Management, Prozesse, Standardisierung und auch Mitarbeiter-Schulungs-Stand steht vielfach im Widerspruch zu der gängigen Ansicht der Anwender, dass viele neue Funktionen oder Cloud-Services „einfach“, „schnell“ per „plug and play“ etabliert werden können.

Das gemeinsame zu vereinbarende Ziel dieser unterschiedlichen Ansichten, gegebenen Möglichkeiten, Lieferanten – und im Mittelpunkt stehenden Anwendern – sollte in Richtung einer passenden ICT-Transformation mit auch einem sinnvollen Mass an ICT-Innovation gehen. Ein entsprechend nachhaltiger – mitunter auch „mutiger“ innovativer – Mehrwert muss realistisch erreichbar sein mit allen beteiligten Anwendern, Prozessen und bestehenden zu optimierenden oder neuen Systemen. Die entsprechende Schulung von Anwendern, speziell auch der Sensibilisierung zur aktiven Mitarbeit im Thema Sicherheit und Know-How-Transfer zwischen internen und externen Services-Lieferanten ist dabei ein entscheidender Teil-Faktor um nicht in eine firmen-kritische Abhängigkeit von Personen oder Services zu geraten.

Eine zu transformierende ICT-Umgebung muss in aller „begeisternden Euphorie“ beherrschbar bleiben für die Service-/Support-Organisation. Dabei gilt es firmen-vitale Fach-Aspekte sauber zu definieren, zu dokumentieren und kontrollierbar zu halten wie z.B. Sicherheit / Datenschutz, Security Policies für Mitarbeiter, Prozesse, Risk Management / IKS, Audit / Compliance, Business Support, Disaster Recovery / BRS.

Letztlich sollte auch ein neues internes oder externes Service Level Agreement (SLA, OLA) massgeschneidert vereinbart werden. Rechtliche Unklarheiten oder Unsicherheiten mit z.B. externen (Cloud)Services sind bei Bedarf speziell abzuklären und in die Vertrags- / SLA-Definitionen zu integrieren. Je nach vorhandener oder künftiger angestrebter Qualitäts-Sicherung (QM,TQM) können hier auch erweiterte Service-Management-Aspekte von z.B. ITIL oder CMDB (serviceorientierte Configuration Management Datenbank) eingeführt werden.

Infolge der zunehmenden Granularität und Verteilung der (Hybrid)Cloud-Services ist es ratsam, spezielle Massahmen in in den Bereichen Technologie und Prozessen zu etablieren. Hierzu gehören auch spezielle Massnahmen in der Mitarbeiter-Sensibilisierung durch Informationen und Schulungen gegen die sehr dynamischen Bedrohungslagen/ Cyber-Security in Nutzungs-Themen wie z.B. Internet, Email, Webmail, Social Media, Datenschutz, Datenaustausch, Smartphone-Einsatz, HomeOffice-Nutzung, Spam-Problematik und letztlich Social Engineering (einfach gesagt gezielte Attacken / Sicherheitsprobleme via/durch Mitarbeiter).

Migrationen und Transformationen bieten auch Chancen für weitere Standardisierungen, Homogenisierung, Innovationen und Weiterentwicklungen in Prozessen. Neuere, laufend weiterentwickelte (Hybrid)Cloud-Services wie nur schon neue, bisher ungenutzte Produkte-Funktionen, prozess-orientierte Dokumentenmanagementsysteme (DMS), Business Intelligence (BI, Big Data / Data Mining) oder Enterprise Social Media können hierbei weitere wertvolle und effizienz-steigernde Mehrwerte generieren in der Prozesslandschaft.

Viele ICT-Serviceorganisationen erkennen darin letztlich auch Chancen als eine Art „Überlebensfaktor“ im Vergleich zu anderen internen oder externen Mitbewerben oder Cloud-Lösungen. Hierbei werden zunehmend auch externe ICT-Coaches, „Cloud Solution Experts“ oder „Solution Brokers“ konsultiert für „Das Beste aus den Clouds“ bzw. „Hybrid Cloud Lösungen“.

Die auch durch Cloud-Services verbundene zunehmende “Entgrenzung der Arbeit” (Stichwort: Arbeit nicht nur innerhalb der “Firmengrenzen” mehr sondern eben überall und wiederum “Hier und Jetzt”) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich “Business-Support durch ICT” definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Gemeinsam mit allen Beteiligten und festgehalten in der ICT-Strategie könnte dann ein laufendes, übergeordnetes Ziel der ICT ins Auge gefasst werden in Richtung von selbsterklärenden Begrifflichkeiten wie „Reducing, Unlocking, Accelerating, Benefit“.

Moderne, attraktive Arbeitsplätze – mit verbessertem ICT-Business Support – sind zunehmend auch positiv wirkende Faktoren bei der Personal-Rekrutierung im ausgetrockneten Fachkräfte-Arbeitsmarkt und letztlich der Arbeitgeber- / Arbeitsplatz-Attraktivität.

Der Trend der künftigen Arbeitweise zeigt zunehmend auf eine dynamische Projektarbeit im Gegensatz zum bisherigen starren Aufgabenbereich. Für diese Dynamik werden auch entsprechende Werkzeuge und Technologien benötigt von modernen Cloud-Umgebungen.
Die Mitarbeiter-Kultur und Projekt-Strukturen werden sich entsprechend anpassen und die Mitarbeiter-Team-Zusammensetzungen in den Projekten werden gezielter mittels ausgewählten „Wissens-Projekt-Arbeiter“ gezielt zusammengesetzt.
Der laufende interne KnowHow-Transfer und proaktive Informations-Austausch – unterstützt mit Austausch-Begegnungsmöglichkeiten auf Enterprise Social Media Plattformen oder an Meetings / Events – wird dann eine der wichtigen Aufgaben für die Führungsebene werden für die Motiviations- und Retensions-Bemühungen vom Human-Kapital.
Diese wohl zu dosierende Form wird auch den Arbeitsort und Arbeitsplatz der Projekt-Mitarbeiter mittelfristig prägen und flexibler machen.

Wenn sich dann letztlich alle Betroffenen zu auch aktiven motivierten Beteiligten (Mensch und Maschine) transformieren lassen entsteht ein gemeinsamer Konsens und die Organisation ist dann sozusagen „ready to transform / to (hybrid)cloud2“ mit echtem Mehrnutzen und Nachhaltigkeit – bei maximierten “Business-Support durch ICT.

>> Siehe daraus publizierter Artikel im „Management Magazin“ von SIA Schweizerischer Ingenieur und Architekten Verein
Management-Magazine_3_2014_GER_FRA

>> Siehe daraus publizierter Artikel / Gast-Kolumne „Rigi-Anzeiger“
Artikel-Rigianzeiger-Hybrid-Cloud-Transformation-Kolumne-2014_05_02

http://rigianzeiger.ch/transformation-in-ein-neues-informatik-zeitalter/