Ein Unternehmen kann in die neuesten Technologien investieren und hervorragende Fachleute einstellen, aber ohne eine sorgfältig ausgearbeiteten IT-Governance-Strategie ist es unwahrscheinlich, dass Unternehmensprozesse effektiv funktionieren – sie können sogar im Chaos versinken.
Die IT-Governance ist die Art und Weise, in der IT-Leiter die digitale Richtung für das gesamte Unternehmen vorgeben. Sie bestimmt, wie Entscheidungen getroffen werden, organisiert Prozesse und steuert Investitionen.
Welche Vorteile bietet eine gut geplante IT-Governance?
- Bereitstellung qualitativ hochwertiger Informationen zur Unterstützung von Geschäftsentscheidungen.
- Effektive Nutzung der IT, um Geschäftsziele zu erreichen
- Die Rentabilität der Ausgaben für IT-Dienste und -Technologie sicherstellen
- Risiken und Bedrohungen effektiv und schnell erkennen
- Gewährleistungen aller notwendigen Compliance Regularien
Was müssen Sie also bei der Entwicklung und Umsetzung eines IT-Governance-Rahmens beachten?
Wertschöpfung für Stakeholder
Eine der Herausforderungen ist die Schaffung eines messbaren Werts von IT-Governance-Prozessen und -Investitionen, um die Erwartungen der Geschäftsleitung zu erfüllen. Eine verbreitete Wahrnehmung von IT-Investitionen ist, dass sie eher eine Kostenstelle als ein Innovationstreiber ist. Das entspricht bei weitem nicht der Wahrheit. Die IT-Governance ist das Rückgrat fast aller Geschäfts Operationen. Die Geschäftskontinuität hängt von einem stabilen IT Governance-Ansatz, der einen umfassenden Schutz vor betrieblichen – oder finanziellen – Unterbrechungen bietet.
Identifizierung von Blindspots
Was man nicht sehen kann, kann man auch nicht schützen. Ein mangelnder Überblick und fehlende Überwachung führen zu schlechten Entscheidungen und erhöhten Gesamtrisiken. Daher liegt die Herausforderung in der Selbsteinschätzung und den Überwachungsmöglichkeiten der Organisation. Wenn eine Organisation beispielsweise dem Trend neuer Technologien – wie SaaS Lösungen – ohne einen ganzheitlichen Überblick über ihre eigenen IT-Ressourcen und -Risiken folgt, begibt es sich auf unbekanntes Terrain, ohne die Risiken zu kennen.
Von IT-Verantwortlichen wird erwartet, dass sie die die richtigen Änderungen vornehmen, insbesondere durch die Reduzierung von zeitintensiven Prozessen, die Optimierung von IT-Ressourcen und die Bewertung der Risiken Dritter. Da dies sehr zeitaufwendig sein kann, ist Automatisierung ein wichtiger Bestandteil der Unterstützung von IT-Leitern, um die aktuelle Position ihres Unternehmens zu ermitteln.
Unternehmenskultur
Eine häufig unterschätzte Herausforderung ist, ob ein IT Governance-Framework zur Unternehmenskultur passt. Ein erfolgreiches Framework hängt stark von den Menschen und deren Arbeitsweise innerhalb des IT-Prozesses ab. Die Art und Weise, in der die Mitarbeiter auf ihr Unternehmensziel hinarbeiten – sei es langfristig, ergebnisorientiert oder dezentralisiert – trägt wesentlich zum Erfolg oder Misserfolg eines implementierten Governance Frameworks bei. Gemeinsame Werte und Praktiken können unbeabsichtigt zu übereilten oder unsinnigen Entscheidungen führen. Dies ist besonders dann der Fall, wenn eine Organisation versucht den technologischen Fortschritten voranzutreiben, bevor die Kompatibilität mit den internen Prozessen festgestellt wurde. Die Umsetzung neuer Strategien und Frameworks nimmt daher viel Zeit in Anspruch. Abhilfe schaffen ein agiler Ansatz und die Konzentration auf schnelle Quick Wins, um das Engagement der Organisationskultur zu nutzen.
Ausgangssituation
Cyberkriminelle finden ständig neue Wege, um IT-Systeme zu infiltrieren und es wird immer schwieriger, sich ohne eine klar definierte Sicherheitsstrategie zu agieren. Daher müssen die Werkzeuge und Prozesse, die zur Bewältigung der Bedrohungen notwendig sind, sich auf eine möglichst große Visibility unter Berücksichtigung von Schnelligkeit und Erfolg konzentrieren. Dies kann nur erreicht werden, wenn die Governance-Richtlinien die wichtigsten Risiken kontinuierlich eindämmen. Wenn zum Beispiel die Organisation einen IT-Vorfall erleidet, kann eine Richtlinie, die die Rollen und Ziele klar definiert, sicherstellen, dass der Reaktionsprozess eine Unterbrechung des Geschäftsbetriebs vermeidet. Die Ausrichtung der Sicherheitsrichtlinien auf die Geschäftsziele, trägt zu einer intelligenten und rechtzeitigen Entscheidungsfindung bei.
Welche Frameworks gibt es für die Strukturierung einer IT-Governance?
Die bekanntesten Frameworks für die Strukturierung einer IT-Governance sind ITIL 4 und COBIT 2019. Beide Frameworks sind in stetiger Entwicklung und werden immer wieder aktualisiert. Im Gegensatz zu ITIL 4 wird bei COBIT 2019 strikt nach Governance und Management getrennt. COBIT 2019 definiert primär was umzusetzen ist, aber macht dabei keine Vorgaben wie Anforderungen umzusetzen sind.
ITIL 4 verfolgt einen ganzheitlichen Ansatz und stellt das “End-to-End-Service-Management von der Nachfrage bis zur Wertschöpfung” in den Mittelpunkt. Dabei wird ein Betriebsmodell beschrieben, das für das Bereitstellen technologie-basierter Services zuständig ist.
