Risiko, Sicherheit, Datenschutz & Services – macht es doch gemeinsam!
Risikomanagement, Datenschutz und Informationssicherheit sind wichtige Aufgaben in Deinem Unternehmen. Wie Du diese zusammen mit Service-Management gemeinsam betrachtest, darüber sprechen wir heute.
Wenn ich mit meinen Kunden über die Definition von Services spreche, dann fällt bei mir häufig der Satz: „Wir müssen aufpassen, dass der Overhead nicht zu groß wird.“ Das ist eines meiner Mantras oder Designkriterien, bei der Servicedefinition.
Das Ziel unseres Service-Managements ist es, die Kundenbedürfnisse zu verstehen, entsprechende Lösungen mit und für die Kunden bzw. Nutzer zu schaffen und diese zuverlässig in guter Qualität zur Verfügung zu stellen. Wir dürfen tunlichst eine Selbstbeschäftigung und einen überbürdenden Verwaltungs- und Prozessapparat vermeiden.
Vernachlässigen wir letzteres, beschäftigen wir uns mit uns selbst und der Nutzen fürs Unternehmen wird mindestens fraglich.
Viel Compliance
Unsere Unternehmen unterliegen immer mehr Anforderungen und Regeln von außen. Dazu zähle ich beispielsweise das Risikomanagement und den Datenschutz entsprechend DSGVO. Aus der aktuellen Bedrohungslage in Sachen Cyberangriffen ergibt sich eine extrinsisch motivierte Verstärkung der Informationssicherheit.
Aus Sicht der Menschen in der Fachabteilung ergibt sich daraus häufig ein Overhead, der nicht verstanden wird. Ein „ne, das können wir wegen der Sicherheit nicht“ ist eine allseits bekannte und vielleicht noch die harmloseste Ausprägung.
Es entstehen Strukturen für den Datenschutz und Strukturen für die Informationssicherheit. Manchmal in der IT, manchmal außerhalb der IT. Manchmal arbeiten die nicht so zusammen, wie es sein könnte – habe ich mir sagen lassen.
Vierfach hält nicht besser!
Das jeder seinen eigenen Datenbestand in seinen eigenen Tools pflegt, ist da fast schon selbstverständlich. Das fängt bei der Excelliste für das Risikomanagement an und endet bei spezialisierten Tools für den Datenschutz.
Genau an der Stelle möchte ich ansetzen, den Overhead für Dein Unternehmen reduzieren und den Wert eines echten Service-Managements noch weiter steigern.
Meine Überzeug ist, dass wird in allen vier Bereichen über die gleichen Daten und Strukturen als Basis für die jeweilige Disziplin sprechen:
- Im Risikomanagement geht es darum, welche Gefahren erwachsen für die Geschäftsprozesse und damit Dein Unternehmen aus der Nutzung von IT. Wie hoch ist dieses Risiko und wie geht Dein Unternehmen damit um.
- Im Datenschutz geht es darum, wo werden durch wen und welche personenbezogenen Daten verarbeitet und gespeichert. Was erwachsen daraus für Risiken und wie kann ein adäquater Schutz der Daten erreicht werden. Basis für die Betrachtung sind auch hier die Geschäftsprozesse Deines Unternehmens.
- In der Informationssicherheit geht es darum, wo, wer, welche Informationen verarbeitet und speichert. Es geht um den adäquaten Schutz der Informationen in den Dimensionen Vertraulichkeit, Verfügbarkeit und Schutz vor Veränderung, sprich die Integrität. Ausgangspunkt für die Betrachtung sind auch hier die Geschäftsprozesse.
- Im Service-Management geht es darum, wie die Geschäftsprozesse optimal durch IT unterstützt werden können.
Es ist immer das Gleiche!
Es geht immer um die gleichen Objekte:
- Menschen,
- Prozesse,
- IT-Assets – in jeder Form egal ob Soft- oder Hardware oder ein eingekaufter Service,
- Daten und
- die Beziehung zwischen diesen Objekten.
Diese Objekte werden von den einzelnen Disziplinen nach unterschiedlichen Kriterien bewertet. Jede Disziplin braucht unterschiedliche Attribute. Der Datenpool ist der gleiche.
Dennoch betrachtet jede einzelne Disziplin diesen Datenpool für sich selbst und pflegt seine persönliche Wahrheit im Tool seiner Wahl.
Ich habe davon gehört, dass die einzelnen Wahrheiten nicht immer deckungsgleich sind.
Hinter jedem Datenpool steckt Aufwand. Der Aufwand, die Informationen zu erfassen. Der Aufwand, die Informationen aktuell zu halten. Der Aufwand überhaupt mitzubekommen, dass sich was verändert hat. Der Aufwand, die anderen für das jeweils eigene Thema zu sensibilisieren und dafür zu sorgen, dass die Regeln bekannt sind und eingehalten werden.
Vieles ist schon da!
Im Service-Management hast Du genau dafür die entsprechenden Prozesse und Praktiken. Du hast eine CMDB, Du hast ein automatisches Discovery und Du hast (hoffentlich) ein funktionierendes Configuration-Management. Das heißt, alle Objekte, die durch die verschiedenen Disziplinen betrachtet werden, sind da.
Die Beziehungen zwischen den Objekten sind da. Wenn Du echtes Service-Management betreibst, dann sind auch die Beziehungen zu den Geschäftsprozessen da. Wenn nicht, kannst Du von Datenschutz, Risikomanagement und Informationssicherheit im ersten Schritt profitieren. Du kannst Deine CMDB mit diesen Informationen befüllen.
Hast Du Services, hast Du die Verbindungen sowieso klar.
Die Objekte und Beziehungen sind da. Steht dann die Frage zur Entscheidung, wie Ihr damit umgehen wollt. Entweder die Daten den spezialisierten Tools zuliefern oder die zusätzlichen Informationen für die einzelnen Disziplinen in der CMDB als Attribute speichern.
Im Bereich Datenschutz sind das unter anderen folgenden Informationen:
- Zweck, Rechtsgrundlage, Datenkategorie und so weiter
- Dokumentation der technisch-organisatorischen Maßnahmen, Datenschutzfolgeabschätzung und die Einordnung der Daten
Diese kannst Du als Attribute oder Links in der CMDB pflegen. Als ein Report kannst Du auf dieser Basis das Verzeichnis der Verarbeitungstätigkeiten generieren.
Wenn es für den Risikomanager, Datenschützer oder den Sicherheitsbeauftragten darum geht, Änderungen mitzubekommen, dann sind Service-Design und Change-Management die richtigen Ansatzpunkte. Zum Thema Datenschutz im Service-Design (Teil 2) habe ich schon in zwei Folgen ausführlich gesprochen.
Integration in die Prozesse
Im Change-Management geht es genauso wie im Service-Design darum, die notwendigen Menschen einzubinden und so dafür zu sorgen, dass rechtzeitig alle Interessen beachtet werden. Du darfst über die Grenzen der IT hinaus denken, wenn Du Deine Abläufe gestaltest.
Wobei das falsch ist – das sind nicht Deine Abläufe. Es geht immer darum, dass ein Wert für den Kunden geschaffen wird. Der Wert in diesem Bereich liegt vor allem darin, dass Regelungen eingehalten werden und die entsprechenden Maßnahmen auch wirklich die Situation in Deinem Unternehmen verbessern. Die Zeiten, dass Datenschutz und Sicherheit als Feigenblatt ausreichen, sind definitiv vorbei.
Für uns steht vor allem die Frage wie effektiv und wie effizient wir das umsetzen – zum Nutzen unseres Unternehmens.
Im Datenschutz kann jeder, dessen Daten Dein Unternehmen verarbeitet, kommen und die Löschung verlangen. Wie das bis ins Backup rein funktioniert, habt Ihr im Service-Design geklärt. Dafür gibt es einen Service-Request. Der wird von den entsprechend autorisierten Personen ausgelöst und möglichst automatisiert umgesetzt. Ein wunderbares Beispiel für einen Standard-Change.
Ebenso die Implementierung neuer Sicherheitsmechanismen oder die Beseitigung von Sicherheitslücken ist ein klassischer Change. Davor steht vielleicht die Ursachensuche, warum es zu einem Sicherheitsvorfall gekommen ist. Dafür haben wir das Problem-Management.
Den Vorfall selber hat der Mitarbeiter dem Service-Desk gemeldet und der wurde entsprechend der definierten Abläufe im Incident-Management bearbeitet.
Alle für einen
Alles Abläufe, die heute oft mehrfach im Unternehmen aufgebaut werden, weil jeder sein eigenes Süppchen kocht. Genau das ist der Fehler!
Es braucht keinen eigenen Prozess oder ein eigenes Tool für den Security-Incident. Es braucht keinen eigenen Prozess oder ein eigenes Tool für den Datenschutzverstoß. Nein, das sind Varianten des Incident-Prozess mit ggf. abweichenden Berechtigungen. Alles im gleichen Tool, damit auch alle auf die gleichen, aktuellen Daten zugreifen können.
Das Service-Management in vielen Unternehmen bietet insbesondere in den operativen Prozessen (Incident, Change und vielleicht Problem) alle Möglichkeiten, um die Anforderungen aus Risikomanagement, Datenschutz und Informationssicherheit abzubilden. Nutze das Potential bitte. Dein Unternehmen und Deine Kollegen werden davon profitieren.