Erfolgsfaktoren für die IT-Governance

Matt Fisher ist Vice President bei Centennial Software.

In der letzten Zeit binden immer mehr -Unternehmen ihr IT-Management im Rahmen des Konzepts der IT-Governance zunehmend in die strategische Planung ein. Die Chefetage erhofft sich dadurch weniger Kosten, mehr Effizienz und besseres Risiko-Management - so die Pricewaterhouse--Coopers-Studie «IT Governance in Practice». Weltweit regeln derzeit mehr als 25000 -gesetzliche Vorschriften die Kontrolle und Dokumentation im Unternehmen - etwa Basel II, Sarbanes-Oxley-Act oder die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU).

IT-Fachkräfte sollen Ordnung ins Wirrwarr bringen und zur Erfüllung von Compliance-Kriterien beitragen. Damit ergeben sich auch neue Ansprüche an IT-Kräfte: Neben fachlichen Qualifikationen erlangen Soft-Skills wie Führungs- und Durchsetzungsstärke an Bedeutung. Zudem muss die Firma das nötige Handwerkszeug bereit stellen, die das IT-Management zur Erfüllung der neuen Aufgaben braucht. Wichtige Voraussetzungen, um Sparpotenziale identifizieren zu können, ist eine vollständige Analyse der IT-Infrastruktur. Auch Sicherheitsrisiken im Netzwerk können am schnellsten durch entsprechende Tools aufgedeckt werden.

Investitionen in Inventarisierungsprogramme machen sich mehrfach bezahlt: Die dynamische Bestandsaufnahme des Firmen-netzwerks und aller enthaltenen Soft- und Hardwarekomponenten durch IT-Asset--Management-Lösungen hilft, verschiedene Unternehmens- und IT-Ziele umzusetzen.

Bevor etwa eine Migration auf ein neues Betriebssystem wie Vista erfolgt, sollte klar sein, welche Rechner im Netz Vista-fähig sind. Eine manuelle Überprüfung ist ab einer gewissen Firmengrösse aufwändig und teuer. Ein Asset-Management-Programm hilft, den Überblick zu wahren. Damit lässt sich automatisch überprüfen, welche Komponenten im Netzwerk installiert sind. Wird das Ergebnis der IT-Analyse etwa mit den bestehenden Lizenzverträgen abgeglichen, sind Über- oder Unterlizenzierungen rasch entdeckt. Aber eine Audit-Strategie, die nur auf Inventarisierung abzielt, lässt wichtige Aspekte punkto Sicherheit offen.

Daher sollten Tools eingesetzt werden, die das Netzwerk fortlaufend überwachen und Zusatzinformationen über Schadprogramme und andere Risiken, wie etwa ungepatchte Programme, liefern. Zum Beispiel sollte eine Lösung den Administrator benachrichtigen, sobald neue oder bisher unbekannte IT-Komponenten im Netz auftauchen. So kann das IT-Team Gegenmassnahmen treffen und eventuelle Sicherheitslücken schliessen.

Nichts fürchten Security-Leiter mittlerweile mehr als mobile Speichergeräte. Unauffällig und schnell können mit USB-Sticks oder PDAs grosse Datenmengen kopiert und mitgenommen werden. Einige Firmen greifen daher zu drastischen Massnahmen wie dem Verkleben der USB-Ports. Unumstritten ist, dass solche «Lösungen» dem modernen mobilen Alltag der Kommunikation nicht gerecht werden und Flexibilität zerstören.

Mit Endpoint-Sicherheits-Lösungen lassen sich Richtlinien zum Umgang mit mobilen Speichern zentral verwalten. Die Chef-etage entscheidet, wer mit welchen Geräten auf das Netzwerk zugreifen darf und wer nicht. Vor der Einführung von Massnahmen zum Umgang mit mobilen Speichern sollte sich die Geschäftsführung allerdings darüber informieren, zu welchen Zwecken die Mitarbeiter mobile Geräte benötigen. Wer ist oft unterwegs bei Kunden? Wer arbeitet häufiger zu Hause? Ein Sales Manager benötigt beispielsweise Zugriff auf die USB-Schnittstelle, weil er unterwegs Präsentationsunterlagen benötigt. Für einen Mitarbeiter in der Buchhaltung ist diese Option eher weniger relevant, da er kaum auf Dienstreisen ist. Durch Berücksichtigung individueller Positionen und Aufgaben können unterschiedliche Profile erstellt werden, die zwischen Zugriffsverweigerung und -erlaubnis, zeitlich begrenztem Zugriff oder Zugriff mit bestimmten Geräten unterscheiden. Nicht autorisierte Personen oder Geräte werden von der Software geblockt, sobald sie auf das Netzwerk zugreifen wollen und der Vorgang wird dem IT-Administrator gemeldet. Dies sorgt für ein hohes Mass an Kontrolle aller USB-, Bluetooth oder WLAN-Schnittstellen im Netzwerk. Durch eine automatische Verschlüsselung aller Daten, die auf mobilen Geräten gespeichert werden, sorgt eine solche Lösung für noch mehr Sicherheit. Sollte das Gerät einmal verloren gehen, können Dritte die Daten nicht einsehen.

Die erfolgreiche Umsetzung des IT-Governance-Konzepts ist an mehrere Erfolgsfaktoren geknüpft. Daten aus dynamischen Bestandsaufnahmen der IT-Infrastruktur helfen bei der Umsetzung verschiedener Unternehmensziele, etwa der Optimierung des Lizenzmanagements oder einer Sicherheitsanalyse. Ob ein Unternehmen die Compliance-Kriterien punkto IT-Sicherheit erfüllt, hängt von den Sicherheitsrichtlinien sowie deren Kontrolle und Verwaltung ab. Der Umgang mit mobilen Speichermedien lässt sich durch Endpoint-Sicherheits--Lösungen leicht, flexibel und überdies ohne grossen administrativen Aufwand zentral verwalten.