Praxisbeispiele Compliance

Am zwei Praxisbeispielen zeigte Roggli, was gute und auch schlechte Compliance für Auswirkungen haben kann.

Im Negativbeispiel ging es um eine grosse Firma, die neue Hardware beschaffen wollte. Die IT-Abteilung gab die Anforderungen an die Hardware vor und schätze, wieviel Hardware ersetzt werden muss. Die Compliance offenbarte dann eine Unsicherheit über die vorhandene Hardware sowie auch Unklarheit über den Status und die Lifecycles der Hardware. Eine Nachforschung durch Flexera-Brainware zeigte, dass aufgrund der mangelnden Asset-Kenntnis 600 Systeme nicht in der Planung berücksichtigt waren. Das hätte nicht geplante Mehrkosten mit sich gebracht und hat schlussendlich dazu geführt, dass die Firma das Vorhaben abbrechen musste.

Im positiven Beispiel ging es um die Neuaushandlung eines Software-Lizenzvertrags. Eine Firma hatte 3000 Lizenzen für eine Mindmapsoftware. Es sollte nun herausgefunden, ob man überhaupt so viele Lizenzen benötigt. Die Compliance durch die Firma hat dann gezeigt, dass nur 1800 Exemplare der Software überhaupt installiert worden sind. Weiter wurde ermittelt, dass in den letzten 90 Tagen 1400 Benutzer die Software nicht ausgeführt hatten. Der Compliance Manager der Firma kam schlussendlich zur Erkenntnis, dass bloss 320 Lizenzen wirklich gebraucht werden. Die nicht gebrauchten Lizenzen wurden deinstalliert und die Neuverhandlungen des Lizenzvertrags war erfolgreich. Es wurden jährliche Einsparungen im mittelhohen sechsstelligen Bereich erzielt. Dies weil die Firma durch ihre genauen Assetdaten zeigen konnte, wie viele Lizenzen denn wirklich gebraucht werden.

Marc Roggli hat dann aus dem positivem und negativem Praxisbeispiel das folgende Fazit abgeleitet:

Die neue EU-Datenschutzverordnung (DSGVO) hat natürlich auch Auswirkungen auf die IT-Compliance. Deshalb ist Roggli aus aktuellen Anlass in seinem Referat auch darauf eingegangen. Seine Firma Flexera-Brainware hat darauf reagiert und unterstützt die DSGVO mittels verschiedener Massnahmen in ihren Produkten. So wird die Sicherheit von personenbezogenen Daten über Berichtigungskonzepte und der Trennung personenbezogener Daten von sonstigen Prozessdaten sichergestellt. Weiter können Änderungen an personenbezogenen Daten über Änderungsprotokolle eingesehen werden, für die separate Berichtigungen erteilt werden können. Ausserdem sind laut Roogli zusätzliche, geeignete technische und organisatorische Massnahmen auch kundenseitig zu treffen. Sein Fazit lautet: Compliance ist Datenschutz! Er empfiehlt Firmen bei Fragen zum Datenschutz im Unternehmen auf spezialisierte Firmen in diesem Bereich zuzugehen.

Am Ende seiner Ausführungen präsentiert Roggli die Findings: «Durch Compliance können Kosten gesenkt werden und die Transparenz erhöht werden.» Danach stellte er sich den diversen Fragen der Teilnehmer an der Computerworld Breakfast Session. Da ging es dann um Themen wie Cloud-Dienste, Bring your own Device sowie Infrastruktur-Provider.