Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL

Transcription

Universität Hannover
Wirtschaftswissenschaftliche Fakultät
Institut für Wirtschaftsinformatik
Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL Vorlagedatum: 11.06.2007
Verfasser:
Sylvio Zapf
Prinzhornweg 2
31303 Burgdorf
0176 / 23217449
[email protected]
Betreuer: Robert Pomes
Informationsmanagement und sicherheit
im Sommersemester 2007
Seite I
Inhaltsverzeichnis
1 Einleitung...............................................................................................................................1
1.1 Herausforderung Informationssicherheit.............................................................................1
1.1.1 Relevanz......................................................................................................
..................1
1.1.2 Abhängigkeiten.................................................................................................
............2
1.2 Vorgehensweise und Zielsetzung...........................................................................
..............3
2 Informationssicherheit als Querschnittsfunktion von ITIL................................................3
2.1 Grundlagen der Informationssicherheit...............................................................................3
2.1.1 Ziele der Informationssicherheit ................................................................................
..3
2.1.2 Aspekte der Informationssicherheit.............................................................................5
2.1.3 Möglichkeiten der Sicherstellung............................................................................
.....8
2.2 ITIL als Standardregelwerk.....................................................................
...........................9
2.2.1 Darstellung der Version 3 von ITIL..............................................................
...............9
2.2.2 Etablierung von Informationssicherheit....................................................................
.13
2.3 Qualitätssicherung durch ITIL...............................................................................
............14
2.3.1 Was ist Qualität?............................................................................................
.............14
2.3.2 Die ITILHinterlegung.......................................................................................
........15
2.4 Der Zusammenhang der dargestellten Teilbereiche ..........................................................16
2.5 Informationssicherheit und seine Auswirkungen im und für das Unternehmen...............17
3 Bewusstsein von ITSicherheit, ITIL und Qualität in der Praxis .....................................18
3.1 Inhalte und Auswertung............................................................................
.........................18
4 ITIL und die Einführungsproblematik in Unternehmen..................................................21
4.1 Anforderungsanalyse...........................................................................................
...............21
4.2 Vorstellung einer erfolgreichen Vorgehensweise..............................................................23
4.3 Informationssicherheit und Qualitätssicherung.................................................................24
5 Fazit und Ausblick...............................................................................................................25
6 Literaturverzeichnis.............................................................................................................28
7 Anhang.................................................................................................................................III
Seite II
Abbildungsverzeichnis
Abbildung 1: Nutzung von IKT in Unternehmen durch Beschäftigte von 2002 bis 2006 in %.....1
Abbildung 2: Objekte der Bedrohung; ......................................................................
.....................2
Abbildung 3: Lifecycle von ITIL Version 3..................................................................................
.11
Abbildung 4: Zusammenhang der Bereiche und der IT................................................................16
Abbildung 5: Vorteile von ITIL......................................................................................
...............21
Abbildung 6: Größte Hürden für die Implementierung von ITIL.................................................22
Abbildung 7: Hürden bei der Implementierung von ITIL.............................................................23
Abbildung 8: Phasenmodell zur ITILImplementierung..............................................................24
Abbildung 9: Vorteile von Zertifizierungen.....................................................................
.............25
Abbildung 10: Angaben bezüglich Qualität..................................................................................27
Tabellenverzeichnis
Tabelle 1: Semantische Dimensionen von Verlässlichkeit und Beherrschbarkeit..........................5
Tabelle 2: deutsche Vorgaben und deren abgeleiteten Anforderungen an die ITSicherheit..........7
Tabelle 3: ausländische Vorgaben und deren abgeleiteten Anforderungen an die ITSicherheit.. .7
Tabelle 4: Inhalte der neuen Core Books......................................................................................
.13
1 Einleitung Seite 1
1 Einleitung
1.1 Herausforderung Informationssicherheit
1.1.1 Relevanz
Unternehmensprozesse basieren immer meh auf ITLösungen, IT steht hierbei für Informationstechnik. Vielfach ist ohne funktionstüchtige IT das Tagesgeschäft eines Unternehmens nicht zu bewältigen. Je höher die Abhängigkeit von der IT ist, desto wichtiger ist die Sicherheit von Informations und Kommunikationstechnik im und für das Unternehmen. Sicherheit stellt zu dem ein Grundbedürfniss der Menschheit dar, dies muss auch in der ITWelt Einzug erhalten. Dabei wird in dieser Zeit der stärkeren Vernetzung ein immer größeres Risikopotenzial eröffnet, dem mit geeigneten Mitteln begegnet werden sollte. Um diesen Risiken entgegen wirken zu können, sind das Bewusstsein im ganzen Unternehmen zu etablieren und zu fördern.
Wie in oben schon angedeutet, ist im 21. Jahrhundert sehr viele Geschäftsbereiche und tätigkeiten nicht mehr ohne IT zu erfüllen. Dies lässt eine hohe Abhängigkeit erkennen. Die Schäden bei nicht Sicherstellung der Informationssicherheit und der IT allgemein, können ein zerstörerisches Potenzial für das Unternehmen haben. Abbildung 1: Nutzung von IKT in Unternehmen durch Beschäftigte von 2002 bis 2006 in %
Quelle: Statistisches Bundesamt (2007), S. 5
Diese Gefährdung hat auch den Gesetzgeber veranlasst sich tiefer gehend mit diesem Bereich zu befassen. So existieren zahlreiche Regelungen, die dem Ziel folgen, den Einzelnen zu schützen. Unternehmen sind aufgefordert dies auch in ihrer IT umzusetzen, wodurch es einen entsprechenden Stellenwert im Unternehmen einnimmt. Es ist nicht geschäftsfördernd, wenn Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL
1.1 Herausforderung Informationssicherheit Seite 2
Konkurrenten beispielsweise die einzigartige Rezeptur für ein Produkt in die Hände bekommen oder die Kundenliste des Unternehmens. Die Gefahr steigt nicht nur durch die immer stärkere Vernetzung, sondern fängt mit dem Bewussten Umgang mit Informationen im Unternehmen an.
1.1.2 Abhängigkeiten
Informationssicherheit ist ein ständiger Prozess und muss sich an Veränderungen anpassen können.1 Das Betrachtungsfeld ist hier das MenschMaschineSystem, welches durch Fehler oder Fremdeinwirkung beeinträchtigt werden kann, wobei unterschiedlich vorgegangen werden muss. Bei der Komponente Maschine mit all ihren Bauteilen und Verbindungselementen kann der Mensch mithilfe von Überwachungs und Steuerungsmechanismen arbeiten. Wobei berücksichtigt werden muss, dass alles vom Menschen beeinflusst werden kann. Wodurch ihm ist diesem eine besondere Stellung in diesem Themenbereich zugesprochen werden muss, da er Sicherungsposten und Angreifer darstellen kann. Dieses Gefüge ist ein komplexerer Zusammenhang als bei der Maschinellen Komponente, bei der über ein Konfigurationsdatei gesteuert wird. Der Mensch ist ein selbständig denkendes und handelndes Wesen, was nicht von anderen gesteuert werden kann. So sind Unternehmen gefordert den Faktor Mensch im Unternehmen in die richtige Richtung zu lenken. Es gibt zahlreiche weitere Einflussgrößen die in Abbildung 1 dargestellt sind. Danach sind die Angriffe auf Informationssicherheit, nicht von denen auf physische Systeme zu Abbildung 2: Objekte der Bedrohung; Quelle: in Anlehnung an Humpert (2004)
unterscheiden, jedoch sind diese vielfältiger.2 Die Vielzahl von Szenarien können unterschieden werden zwischen Gefahren von Innen und Außen auf das Unternehmen. Der Mensch übt dabei 1 Vgl. Hornung (2005)
2 Vgl. Humpert (2004)
1.1 Herausforderung Informationssicherheit Seite 3
eine sehr stark Rolle auf die Sicherheit aus. So wurde 2007 eine Umfrage von CIO.de durchgeführt, wobei die größte Gefährdung durch eigene Mitarbeiter ausgeht, so 66 Prozent der 316 Teilnehmer. 2006 sahen es 60 Prozent so.3 1.2 Vorgehensweise und Zielsetzung
Im ersten Teil der Arbeit sollte verdeutlicht werden, warum der Bereich Informationssicherheit ein sehr wichtiges Themengebiet darstellt. Daran anschließend soll eine Definition zur Informationssicherheit gegeben werden und welche Umsetzungsmöglichkeitet es gibt. Aus diesen soll die Information Technologie Infrastructur Libary, kurz ITIL vorgestellt werden, als eine Möglichkeit. Des weiteren wird sich mit dem Gebiet der Qualität befasst. Danach soll das Zusammenwirken der Komponenten betrachtet werden und Folgen bei Verlust von Informationssicherheit aufgezeigt werden.
Um Aussagen zu bekräftigen, soll im dritten Teil eine Studie mit Chief Informations Officers's, kurz CIO's, in Unternehmen gemacht werden. Diese Daten und die der vorherigen Abschnitte sollen helfen Fragen bezüglich ITIL zu beantworten Die Arbeit endet mit der Beantwortung der Ausgangsfrage:
Stellt Informationssicherheit ein Qualitätsmerkmal eines ITServices nach ITIL dar?
2 Informationssicherheit als Querschnittsfunktion von ITIL
2.1 Grundlagen der Informationssicherheit
2.1.1 Ziele der Informationssicherheit Um sich näher mit mit Informationssicherheit oder als synonym verwendet ITSicherheit zu befassen ist eine Definition nötig. Nach Eschweiler/ Atencio Psille gibt es diese nicht. Viele Autoren versuchen das Thema zu umgehen oder setzen eine allgemeine Definition voraus.4 Um sich die Begrifflichkeiten besser zu verdeutlichen, ist es wichtig sich klar zumachen dass sich Informationssicherheit mit dem MenschMaschineSystem beschäftigt. Dabei handelt es immer 3 Vgl. http://www.cio.de (im Anhang befindet sich die ganze Befragung von 2007)
4 Vgl. Eschweiler/Atencio Psille (2006) S. 11
2.1 Grundlagen der Informationssicherheit Seite 4
um eine Zusammenarbeit von Mensch und Maschine. Wobei diese zwei Fehlerquellen beinhaltet kann, den Faktor Mensch und die Maschine als komplexes System verstanden. Wie im ersten Kapitel versucht wurde darzustellen, ist es nicht abzustreiten, dass Informationssicherheit für das Unternehmen von Elementarer Bedeutung ist.5 IT umfasst hierbei alle notwendigen Komponenten, dabei geht es nicht nur um Hard und Software, sondern auch um Kommunikationstechnik, Arbeitsabläufe, Dokumentationen und vorhanden fachspezifische Ressourcen im Unternehmen.6 Federrath und Pfitzmann haben ITSicherheit wie folgt Zusammangefasst: „ITSicherheit bezeichnet die Funktion und Prozesse zur Schaffung und Erhaltung von Systemzuständen eines informationstechnischen Systems (ITSystem), in denen Bedrohungen, die auf das ITSystem einwirken, keine negativen Auswirkungen auf das System oder dessen Umwelt haben, d.h. das ITSystem verbleibt in einem sicheren Systemzustand.“7 Dieses betrachtet nur die Richtigkeit der Informationen. Jedoch wird in unserer heutigen Zeit, durch eine Vielzahl von Gesetzen, auch eine Nachweisbarkeit gefordert. Somit ergeben sich zwei Zielstellungen für Informationssicherheit, die Verlässlichkeit und die Beherrschbarkeit. Verlässlichkeit auf der einen Seite beschäftigt sich mit Schutz der Informationen, währenddessen sich die Beherrschbarkeit dem Schutz der Personen widmet. Beide haben semantische Dimensionen die in Tabelle 1 dargestellt sind.
Verlässlichkeit kennzeichnet die Sicherheit der Informationen, bei der weder die Systeme noch die mit ihnen verarbeiteten Informationen, noch die Funktionen und Prozesse in ihrer Nutzung, ihrem Bestand oder ihrer Verfügbarkeit unzulässig beeinträchtigt werden. Verfügbarkeit impliziert, dass Benutzer auf das Informationssystem und seine Objekte ohne Einschränkung zugreifen können. Integrität bedeutet, dass sämtliche Informationen vollständig, korrekt und unverfälscht vorliegen. Die Vertraulichkeit ist gegeben, wenn Objekte bezüglich 5 Vgl. vom Brocke/Budendick (2005), S. 1227
6 Vgl. Materna (2007), S.4
7 Vgl. Federrath/Pfitzmann (2006), S. 273
Informationsinhalten und verhalten, in zulässiger Weise nur einem definierten Nutzerkreis bekannt sind. Dabei lassen sich die Dimensionen je nach eigenem Interesse unterschiedlich stark Definieren und im Unternehmen implementieren, um ein eigens definiertes Maß an Sicherheit zu gewährleisten. Dies sollte mit den eigenen Ansprüchen abgedeckt sein, so ist es für ein Webportal wichtig jederzeit erreichbar zu sein und somit ein hohes Maß an Verfügbarkeit aufzuweisen muss.
Verlässlichkeit
- Sicherheit des Systems
Verfügbarkeit
Integrität
Vertraulichkeit
Beherrschbarkeit
- Sicherheit vor dem System
Zurechenbarkeit
Revisionsfähigkeit
Tabelle 1: Semantische Dimensionen von Verlässlichkeit und Beherrschbarkeit
Quelle: in Anlehnung an Dierstein (2004), S. 347ff
Beherrschbarkeit beschreibt die Sicherheit der Betroffenen, bei der Rechte oder schutzwürdige Belange der Betroffenen durch die Nutzung oder das Vorhandensein von Informationen nicht unzulässig beeinträchtigt werden darf. Als semantische Dimensionen lassen sich hier zum einen die Zurechenbarkeit und die Revisionsfähigkeit, auch als Rechtverbindlichkeit verstanden, nennen. Zurechenbarkeit fordert eine eindeutige personale Verantwortungszuordnung ausgeführter Aktionen, sowie deren Ergebnisse und Auswirkungen. Die Notwendigkeit einer hinreichend verlässlichen Beweiskraft von Informationen fordert die Revisionsfähigkeit, wodurch jeder Vorgang und dessen Ergebnis zweifelsfrei für Dritte erkennbar und beweisbar ist.
Beide Sichtweisen ergänzen sich und bilden so eine umfassende Darstellung. Diese sind zueinander Komplementär sind und von Dierstein als duale Sicherheit bezeichnet werden.8 2.1.2 Aspekte der Informationssicherheit
In den vorherigen Abschnitte wurde schon versucht Themenbereiche aufzuzeigen die Informationssicherheit für ein Unternehmen erforderlich machen. Dies soll hier gezielter 8 Vgl. Dierstein (2004), S. 343ff
anhand rechtlicher, technischer und opperativer Gesichtspunkten dargestellt werden. In vielen Artikeln bezüglich dieses Themas ist zu lesen, dass Informationssicherheit Chefsache ist. Dies ist auch die Position des Gesetzgebers in seinen Regelungen.. Durch Gesetzte, die die rechtlichen Aspekte beschreiben, werden meist gleichzeitig die organisatorischen und technischen mit genannt.9 In Unternehmen ist festzustellen, dass meist nur der Bereichen Technik und Organisation besteht und nur wenige den Bereich Recht berücksichtigen.10 In diesem Abschnitt soll ein kurzer Überblick über heranzuziehende Gesetzte und deren Auswirkungen auf das Unternehmen dargestellt werden. Zur besseren Darstellung geschieht dies anhand Tabelle 2 und 3.11 Beim Gesetzgeber erlangt diese Thematik eine immer höhere Aufmerksamkeit, durch die immer häufiger auftretenden Schadensfälle und deren Bedeutsamkeit für die Wirtschaft. Dabei ist festzustellen, dass die gesetzlichen Regelungen immer in Beziehung mit Informationssicherheit stehen, dies erklärt den oben genannten Zusammenhang.12 Dabei können die einzuhaltenden Vorschriften unterteilt werden in deutsche und ausländische Regelungen.
Regelungen in Deutschland
Gesetze/ Vorschriften
Inhalt/Ziel
Aufgaben der ITSicherheit
BGB
Bürgerliches Gesetzbuch
regelt Ansprüche bei Schädigung des Selbstbestimmungsrechts, zwischen dem Unternehmen und den betroffenen Personen
Regelung zum Zugang von Dritten
Vertraulicher Umgang mit Daten
HGB
Handelsgesetzbuch Recht und Pflichten im Handel
Sicherstellung der ordnungsgemäßen Abbildung der Buchführung mit der IT
StGB
Strafgesetzbuch
IT einerseits als Werkzeug, andererseits als Opfer
Schutz der ITSysteme
BDSG Bundesdatenschutz
gesetz
Schutz der Daten, die in Datenschutzbeauftragten berufen
jeglicher Form gespeichert oder Pflicht des Personals zur Beachtung von lesbar sein können (Papier, Regeln
Digital)
GoBS
verbindliche gesetzliche Rollen und Berechtigungskonzepte
9 Vgl. BITKOM(2005b), S. 4 oder Forthmann/Höfling (2007) 10 Niedermeier/Junker (2004), S. 4
11 Einen genauen Überblick über die Haftung der Beteiligten hat BITKOM im Jahre 2005 anlässlich der Cebit eine Haftungsmatrix aufgestellt
12 Vgl. Eschweiler/Atencio Psille (2006), S. 12
Grundsätze Regelung für die elektronische ordnungsgemäßer DV Buchhaltung von Unternehmen
gestützer Buchführungs
systeme
Datenhaltung
technische Authentisierung
GmbHGesetz/ Aktien
Gesetz Pflichten zur Führung eines Unternehmens
Sicherstellung einer bedarfs und rechtskonformen ITNutzung
Einfürhung und Aktualisierung eines Sicherheitskonzeptes
Verhinderung von Schäden an Dritten durch die eigene IT
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
Informationsbedarf an Überwachungssysteme zur Erfassung, Anforderungen von Kommunikation und Handhabung von internationalen Kapitalmärkten Risiken
anpassen
Tabelle 2: deutsche Vorgaben und deren abgeleiteten Anforderungen an die ITSicherheit
Quelle: in Anlehnung an Eschweiler/Atencio Psille (2006), S. 129ff
Je nachdem wie und wo das Unternehmen agiert sind die geltenden Bestimmungen einzuhalten. Dabei wird hier nicht darauf eingegangen für wenn und ab wann welche Regelungen zutreffen. Einige, wie das BGB, HGB, StGB und die GoBS sind immer verpflichtend. In Untersuchungen wurde dabei festgestellt das kleinere Unternehmen eher dazu neigen sich nicht mit dieser Ausländische Reglungen
Gesetze/ Vorschriften
Inhalt/Ziel
Aufgaben der Informationssicherheit
Basel II
Investitionsicherheit für Kreditgeber Kontroll, Mess, und und nehmer gewährleisten und soch Risikobewertungsverfahren einführen für die Finanzmärkte stabil halten
Kreditinstitute
SOX
effektive Vermeidung von Fehlhandlungen und somit den Schutz von Unternehmen und deren Partner durch Verbesserung der Berichterstattung
Kontrollmaßnahmen
Tabelle 3: ausländische Vorgaben und deren abgeleiteten Anforderungen an die ITSicherheit
Quelle: in Anlehnung an Eschweiler/Atencio Psille (2006), S. 135ff
Thematik zu beschäftigen. Meist begründet durch die eingeschränkten Ressourcen im Unternehmen, wie Zeit, Geldmittel oder Personal.13 In Tabelle 3 werden Regularien vorgestellt die für so genannte Global Player unter den Unternehmen beachtet werden müssen, beispielsweise durch Börsennotierung in den USA. 13 Vgl. Sunner (2007), S.1
In den Tabellen 2 und 3 werden unter dem Punkt Aufgaben der Informationssicherheit, einige organisatorische und technische Aufgaben genannt. Dabei sind unter den technischen Gesichtspunkten alle Maßnahmen und Mittel zu verstehen, die mit hilfe von Hard und Software helfen, Sicherheit zu gewährleisten. Diese müssen aufeinander abgestimmt werden und auch zusammenarbeiten, um das System vor internen und externen Eindringlingen zu schützen. Dabei sind aktive und pro aktive Maßnahmen zu erkennen, beispielsweise sind Virensoftwarelösungen überwiegenden pro aktiv, das heisst sie werden erst nach der Infizierung tätig. Teilweise sind sie durch vorab scans, von Dokumenten, auch aktiv tätig um Schadsoftware an der Ausführung zu verhindern. Wie am Anfang schon heraus gearbeitet wurde, ist bei MenschMaschineSystemen der Mensch als Schwachstelle zu identifizieren. Dieser Umstand trägt dazu bei, wie auch durch die gesetzlichen Regelungen, dass organisatorische Maßnahmen im Unternehmen zu implementieren sind. Dies soll helfen die Daten im System zu schützen. So wird versucht Technik und menschliches Verhalten aufeinander abzustimmen , um den effektiven Schutz zu erhöhen. So sind Sicherheitsrichtlinien, die auf das Unternehmen abgestimmt sind zu verfassen und dem Mitarbeiter in einer verständlichen und umsetzenden Weise zu kommunizieren. Dabei darf keine Überforderung auftreten und als Checkliste verstanden werden. Die Mitarbeiter müssen aktiv mit eingebunden werden, um Sicherheit wirkungsvoll zu verankern und zu leben.
2.1.3 Möglichkeiten der Sicherstellung
Informationssicherheit kann durch verschiedene Wege und Absichten im Unternehmen etabliert und sichergestellt werden. Hier soll ein Überblick über Sicherheitsrichlinien gegeben werden.14 Bei diesen handelt es sich um die Normen BS 7799 und ISO 17799, das IT
Grundschutzhandbuch und die Information Technologie Infastructure Libary, kurz ITIL. Die Normen BS 7799 und ISO 17799 sind sehr ähnlich, da der britische Standard in eine ISO
Norm übernommen wurde. Diese Normen geben das Vorgehen zum Aufbau eines Informationssicherheitsmanagement an. Dabei geben sie eine Definition praxisorientierter Mindestanforderung und schaffen die Basis für die Entwicklung, Implementierung und 14 Vgl. Sauer (2005), S. 1ff
Messung einer effektiven Sicherheitsorganisation. Das ITGrundschutzhanbuch des Bundesministeriums der Sicherheit in der Informationstechnik, kurz BSI, stellt Standardsicherheitsmaßnehmen, Umsetzungshinweise und Hilfsmittel bereit für die Informationssicherheit. Die bisher erläuterten Sicherheitsrichtlinien betrachten nur den Bereich der Sicherheit an sich. Wohingegen ITIL versucht den Themenbereich Informationssicherheit prozess und serviceorientiert zu betrachten. Dabei verfolgt ITIL das Ziel der Standardisierung von Abläufen, um so Qualität, Sicherheit und Wirtschaftlichkeit von ITProzessen nachhaltig zu sichern und zu verbessern.
2.2 ITIL als Standardregelwerk
2.2.1 Darstellung der Version 3 von ITIL
Die Information Technologie Infastructure Libary stellt ein Referenzmodell auf der Basis von „Best Practies“ für ITServicemodelle dar. Entstanden ist es Mitte der achtziger Jahre in Großbritannien und wird dort vom britischen Office of Goverment Commerce (OGC) ständig weiterentwickelt und verfeinert. Informationssicherheit wird als unverzichtbar angesehen, wobei die Sicherheitsanforderungen an die Geschäfts und ITProzesse koordiniert werden. So lassen sich gleichzeitig Synergiepotentiale erkennen und nutzbar machen. Ein Grund für den Einsatz von ITIL sind veränderte Herausforderungen in der IT, die in anderen Bereichen schon durchlaufen wurden.15 ITIL wird weltweit als de facto Standard Rahmenwerk anerkannt und erfreut sich immer größerer Beliebtheit.16 Das Ziel von ITIL ist es die ITServices kunden, prozess und serviceorientiert zu gestalten und schlägt so ein Brücke zwischen geschäftlichen Anforderungen und der IT im Unternehmen.17 Dabei ist es unabhängig von Anbietern und Technologie, da es sich um ein generisches Modell handelt. Zum anderen ist es organisationsneutral und definiert durch sein Rollenkonzept Verantwortlichkeiten sowie Prozesse und Funktionen.18 Es beinhaltet meist nur das WAS aber nicht das WIE. Bei der Umsetzung wird auf die oben beschriebenen Normen ISO 17799 und BS 7799 verwiesen, die 15
16
17
18
Vgl. BSI (2005), S. 5f
Vgl. Materna Monitor (01/2007), S. 3
Vgl. Köhler (2006), S. 37f
Vgl. Materna (2007), S. 4
2.2 ITIL als Standardregelwerk Seite 10
ITIL bezüglich Informationssicherheit mit Leben füllen.
ITIL wurde beziehungsweise wird einer Neuerung unterzogen, von ITIL Version 2 die im Jahr 2000 in Kraft trat, in ITIL Version 3 die seit Mai/Juni diesen Jahres gestartet wurde. Dabei wird mit diesem Refresh das Rahmenwerk einer völligen Neuordnung unterzogen. Die Basisthemen der IT, die ITServices, sollen einen stärkeren Fokus bekommen.19 Die Neuerung der Umgestaltung ist das strukturgebende Element der Service Lifecycle. Somit wird nicht mehr der Prozess, sondern der Service in den Mittelpunkt gestellt. Dabei waren die Gedanken des Services in Version 2 schon im ICTInfrastructure Management vorhanden und wurden stärker herausgestellt. Der Service ist dabei das Zusammenwirken von Technologie und Prozessen.20 Dabei bilden sich Elementarketten von einzelnen Komponenten wie Netzwerk, Server und Anwendungen, die insgesamt den Service für den Anwender ermöglichen. Die neue Vorgehensweise hilft dabei den Blick auf das Ganze nicht zu verlieren. Dies geschah oft durch punktuelle Anwendungen von Teilbereichen in der Version 2. Zum anderen wurden nur Prozesse betrachtet, ein Service aber wie oben beschrieben beinhaltet mehr.21 Die Version 3 besteht aus Kern Publikationen, Ergänzungen und dem Internet, als Informationsquellen. Diese gemeinsame Nutzung der Medien soll helfen ITIL aktuell zu halten. Die Kernkometenzen umfassen jetzt fünf Bücher, die den Service Lifecycle ergeben und die einzelnen Phasen widerspiegeln wie in Abbildung 322 zu sehen ist. Die Phasen geben dabei die Vorgehensweise des ITIL Implementierungsprozesses wieder, angefangen vom Service Design bis zur Service Stilllegung. Genau sind dies die Service Strategies (Service Strategien), Service Design ( Modelle für den Betrieb), Service Transition (Service Implementierung beziehungsweise Einführung), Service Operation (Operativer Betrieb von Services) und Continual Service Improvement (kontinuierliche Verbesserung von Services). Die Bücher sollen einen geringeren Umfang aufweisen und nur Inhalte abgehandelt werden, die sich bewährt haben und keiner Änderungen unterliegen.23 Viele der alten Bücher werden nur neu einsortiert, 19
20
21
22
23
Vgl. Wisotzky (2007), S. 1
Vgl. Materne Monitor (02/2007), S. 13
Vgl. Materna Monitor (02/2007), S. 11ff
Darstellung von ITIL Version 2 im Anhang
Vgl. Bause (2006a), S. 1f
so sind sechzig Prozent der neuen Version aus der alten übernommen wurden. Die Neuerung bringt soweit Vorteile, dass Probleme mit Inkonsistenzen innerhalb der Bücher und die fehlende Struktur behoben wurden.24 Die einzelnen Inhalte sind in Tabelle 4 aufgezeigt. Dabei kann nicht vertiefend auf die einzelnen Abbildung 3: Lifecycle von ITIL Version 3
Quelle: in Anlehnung an Bause (2006a), S. 1
Inhalte eingegangen werden, da diese zum Zeitpunkt der Erstellung der Arbeit nicht verfügbar waren. So sind beispielsweise die Bereiche Service Support und Service Delivery, die mit die Haupteinstiegsprozesse in ITIL sind, mit übernommen wurden unter dem Bereich Service Opperation im Service Lifecycle.25 Die Ergänzungen sollen helfen das gesamte Rahmenwerk aktuell halten zu können, ohne dass alle Bereiche überarbeitet werden müssen. Dabei werden spezielle Interessengruppen angesprochen, beispielsweise die Einführung in kleinen Unternehmen. Das Internet soll Hilfestellungen für Anwender zur Verfügung stellen.26
Zielsetzung des Rahmenwerkes ist dabei die enge Zusammenarbeit mit dem Kunden und der ständige Dialog. Dabei trifft die Neuerung das ITManagement, aber auch ITVerantwortlichen, um den Begriff ITService Rechnung tragen zu können. Da alle Beteiligten die Verzahnung innerhalb der IT und dessen Einflussnahme auf die Services kennen müssen. Denn „Service Lifecycle Management ist ohne ständige, enge Kommunikation zwischen ITDienstleistern und Anwendern nicht möglich.“27
24
25
26
27
Vgl. Ostler (2007), S. 1f
Vgl. Bause (2006b), S. 1f
Materna Monitor (02/2007), S. 12
Der Vorteil der Version 3 ist seine bessere Struktur und den höheren Praxisbezug, die durch gezielte Gespräche herausgearbeitet wurden.28 So soll dies die Einführung und Anwendung vereinfachen. Teilweise sind auch Empfehlungen zum genauen Vorgehen gegeben und somit nicht nur ein rein generisches Modell.29 Trotz Veränderung sind alle bestehenden Zertifikate gültig und durch die Nutzung von ITIL in Version 2 entsteht gegenüber der Neuerung kein Nachteil, durch den hohen Übernahmeanteil und den unverändeten Kernbereichen. Eine Veränderung tritt in der Zertifizierung auf, bisher konnten sich nur Personen zertifizieren lassen und seit kurzem, Anfang 2006, über ISO 20000 auch Unternehmen und ihre Prozesse. Dies soll sich mit ITIL Version 3 ändern. So sollen sich Unternehmen und ihre ITAbläufe zertifizieren lassen können, um Kunden nach außen hin ein Zeichen der Abläufe geben zu können.30
Service Strategies
●
●
●
●
●
Service Design
●
●
●
●
●
●
●
●
●
●
Service Transition
●
●
●
●
●
●
●
●
●
Service Operation
●
●
●
Service Management Strategie und Planung der Wertschöpfung
Verbindung der Businesspläne und der Ausrichtung auf die IT Service Strategie
Planung und Implementierung einer Service Strategie
Rollen und Verantwortlichkeiten
Herausforderungen, kritische Erfolgsfaktoren und Risiken
Der Service Lifecycle
Service Design Ziele und Elemente
Auswahl des Service Design Modells
Service, Menschen, Prozesse, Knowhow und Tools
Nutzen / Risikoanalyse
Kostenmodell
Nutzen / Risiko Analysen
Implementierung Service Design
Managing von organisatorische und kulturelle Veränderung
Knowlegde Management
Service Management Kowledge Base System
Lifecycle Stufen
Risiko Analysen und Management
Methoden und Tools
Messung und Steuerung
Sammlung von Best Practices
Service Operation Lifecycle Stufen
Prinzipen, Prozessgundlage und Funktionen
Application Management
28 Vgl. ITIL Refresh News (2006), S. 7f
29 Vgl. Ostler (2006), S. 1f oder ITIL Refresh News (2006), S. 6
30 Vgl. Wisotzky (2007), S. 3
2.2 ITIL als Standardregelwerk ●
●
●
●
●
●
Continual Service ●
●
Improvement
●
●
●
●
●
●
●
●
●
Seite 13
Infrastructur Management
Operationsmanagement
Steuerung von Prozessen und Funktionen
Skalierbare Vorgehensweisen
Business Driver für Verbesserungen
Technologie Driver für Verbesserungen
Ausrichtung
Business, finanzielle und organisatorische Benefits
Prinzipien der kontinuierlichen Verbesserung von Services
Methoden und Tools
Implementierung von Service Improvement
Sammlung von Best Practices
Tabelle 4: Inhalte der neuen Core Books
Quelle: in Anlehnung an ITIL Refresh News (2006), S. 4f
2.2.2 Etablierung von Informationssicherheit
Durch den hohen Aktualitätsgrad der Version 3 und die noch nicht veröffentlichten Bücher wird auch hier auf die Version 2 zurückgegriffen. Dort ist Informationssicherheit im Security Management hinterlegt. Dabei wird versucht die Ziele der Informationssicherheit, wie sie oben beschrieben worden sind, sicherzustellen. Es beinhaltet Tätigkeitsbereiche der Softwareauswahl zur Sicherung, Zuweisung von Verantwortlichkeiten und auch den Umgang mit Passwörtern im Unternehmen sowie das Einführen und Prüfen von Sicherheitsmaßnahmen.31 Dabei ist zu beachten, dass sich Informationssicherheit durch das Security Management erst im Unternehmen etablieren lässt, wenn schon ITILProzesse eingesetzt oder in Planung sind. Da auf andere Prozesse der Bereiche Service Support und Service Delivery zurückgegriffen wird. Diese werden um Sicherheitsmerkmale und prozesse erweitert. So wird das Rahmenwerk mit anderen Prozessen verknüpft, um einen umfassenden und weitreichenden Schutz zu verwirklichen.32 Erst diese Verzahnung von ermöglicht Überwachungssysteme und mechanismen hilfreich im Unternehmen einzusetzen.33
Festzustellen ist, dass Informationssicherheit einen immer höheren Stellenwert durch den 31 Vgl. Köhler (2006), S. 203ff
32 Vgl. Sauer (2005), S. 4f
33 Vgl. Greiner (2006), S. 1f
Gesetzgeber bekommt.34 In Version 3 sollen auch neue Sachverhalte wie ITOutsoucring beinhaltet sein und nicht in jedem einzelnen Buch berücksichtigt werden, sondern als eigenständiger Bereich, der somit bei allen Entscheidungen mit Einfluss nimmt.35
2.3 Qualitätssicherung durch ITIL
2.3.1 Was ist Qualität?
Qualität beschreibt die Beschaffenheit, die Eigenschaft und den Zustand von etwas, wobei keine Bewertung vorgenommen wird. Sie wird jedoch meist mit einer Wertung behaftet und damit versucht das Produkt oder die Leistung zu bewerten. Dies findet sich aber eigentlich in der Norm DIN EN ISO 9000:2000 wieder, wo Anforderungen mit den tatsächlichen Eigenschaften verglichen werden.36 Diese Norm beschreibt die Anforderungen an das Qualitätsmanagement, wobei sich acht Grundsätze ergeben. Diese beinhalten die Kundenorientierung, Führung, Prozessorientierung, ständige Verbesserung, sachliche Entscheidungsfindung und Lieferantenbeziehungen zum gegenseitigen Nutzen.37 Nach DIN EN ISO 8402 ist Qualität „die Gesamtheit der Merkmale und Merkmalswerte eines Produktes oder einer Dienstleistung bezüglich ihrer Eignung, festgelegte und vorausgesetzte Erwartungen zu erfüllen.“38 Festzuhalten ist, das Qualität den Erfolg des Unternehmens beeinflusst und Wettbewerbsvorteile generieren kann.39 Anwender, die die Technik nutzen wollen kümmern sich meist nicht um die Komplexität der Zusammenhänge, erst bei einem Problem zeigen sich die Qualitätsmängel. Im Bereich der Leistungsfähigkeit der IT sieht es der Awender besonders. Hier wird die Arbeits und Leistungsfähigkeit direkt beeinflusst. Ein weiterer Bereich wo sich die Servicequalität zeigt, ist bei der Anwenderbetreuung und der Störungsbearbeitung, um wieder produktiv das System nutzen zu können. Auch die Messbarkeit der Services ist meist nicht gegeben, was eine Bewertung zu liese. Um dies zu erreichen, muss die Servicequalität gesteigert, Prozesse 34
35
36
37
38
39
Vgl. Köhler (2006), S. 206f
Vgl. Materne Monitor (02/2007), S. 11
Vgl. http://www.wikipedia.de
Vgl. http://www.olev.de/
Köhler (2006), S.1
Vgl. Materna (2007), S. 3
2.3 Qualitätssicherung durch ITIL Seite 15
standardisiert und Kostensenkung realisiert werden.40 Servicequalität bedeutet zugleich Leistungsvereinbarungen zwischen zwei Parteien. Dies wiederum bringt soziale Interaktionen mit sich und muss somit gleichzeitig die benötigte Berücksichtigung von Sicherheitsfragen im Unternehmen bekommen.41
2.3.2 Die ITILHinterlegung
Wie oben dargestellt wurde, geht es bei Qualität nicht nur um Prozesse sondern auch um den Service.42 Dieser wird auch durch das ITIL Refesh, wie es im Kapitel 2.2.1 vorgestellt wurde, näher in den Fokus gestellt und kommt somit den aktuellen Herausforderungen der IT
Abteilungen entgegen. Die Unterscheidung zwischen Prozess und Services ist hierbei sehr hilfreich für die Betrachtung der Berücksichtigung in ITIL. Ein Prozess betrachtet nur einzelne Komponente, wie etwa das Netzwerk und auf diese werden Anforderungen vereinbart, die die ITAbteilungen zu erbringen haben. Diese Anforderungen gehen dabei mit auf Informatisonssicherheitsziele ein, wie die Verfügbarkeit. Wohingegen ein Service aus dem Prozess und den Komponenten besteht, somit das Zusammenspiel mit abbildet. Das bedeutet wiederum, dass ein Prozess alleine, so gut und sicher er im Sinne von Informationssicherheit etabliert ist, den Service für die Endanwender nicht sicherstellen kann.43 Durch die Einzelbetrachtungen werden die Zusammenhänge und Abhängigkeiten nicht wirklichkeitsgetreu dargestellt. Somit geht die Version 3, von ITIL, einen Schritt weiter zur qualitativen Betrachtung. Kundenwünsche und Anforderungen, wo auch die Qualität dazu zählt, können so besser durch die ITAbteilung als Servicedienstleister, bedient werden.
40
41
42
43
Vgl. BSI (2007b), S. 15 und S. 21
Vgl. Höfling (2005), S. 2
Vgl. Materna Monitor (02/2007), S. 12f
2.4 Der Zusammenhang der dargestellten Teilbereiche Seite 16
2.4 Der Zusammenhang der dargestellten Teilbereiche In den obigen Abschnitten wurde alle drei Gebiete vorgestellt und dargestellt wie Informationssicherheit und Qualität in ITIL implementiert ist. Die Zusammenhänge und Einflussmöglichkeiten dürfen jedoch nicht nur auf die IT gerichtet sein, sondern beinhalten noch mehr. Zu nennen sind hier die Entscheider, Mitarbeiter, Kunden, sozusagen alle die einen Einfluss auf den ITBereich oder auf einzelne Bereiche selbst haben. Dies wird versucht in Abbildung 4 zu verdeutlichen. Daraus geht hervor das Abhängigkeiten zueinander und Abbildung 4: Zusammenhang der Bereiche und der IT
Quelle: eigene Darstellung
insgesamt bestehen. Wie oben aufgezeigt wurde ist Informationssicherheit für alle Bereiche ein muss oder notwendig für die Gewährleistung der Arbeit, wie durch gesetzliche Anforderungen vorgegeben. Informationssicherheit ist ein wichtiger Bestandteil, von ITIL und Servicequalität, der berücksichtigt werden muss.44 Nur so kann gewährleistet werden, dass die ITServices sichergestellt sind. Durch diese Sicherstellung des ITBetriebs ist Informationssicherheit für die Qualität notwendig. Gleichzeitig aber auch für ITIL erforderlich, da sonst keine Sicherstellung der Prozesse nötig wäre, dies aber durch oben erwähnte Normen, die sich ITIL bedient, gefordert wird. Um eine Aussage bezüglich der Wirksamkeit von Informationssicherheit und dessen abgeleiteten Maßnahmen machen zu können sind Messgrößen wichtig. Hierdurch wird die Verzahnung mit ITIL verdeutlicht, denn durch die Standardisierung werden Anhaltspunkte für Messgrößen ersichtlich und durch die einheitliche Umsetzung im Unternehmen auch 44 Vgl. Höfling (2005), S. 2
2.4 Der Zusammenhang der dargestellten Teilbereiche Seite 17
vergleichbar.45 Messgrößen, so genannte Key Performance Indikatoren, die die Qualität der Informationssicherheit auf ITServices nach ITIl wiedergeben sind beispielsweise im Incident Management zu finden. Zu nennen sind hier die Anzahl von Vorfällen im Unternehmen oder die benötigte Zeit der Fehlerbehebung. Dabei können, durch die gewonnenen Daten, Rückschlüsse auf die Etablierung von Informationssicherheit geschlossen werden.46 Des weiteren sind die Anzahl versuchter Angriffe, abgefangene virenverseuchter Emails, aber auch die Anzahl von Schulungsmaßnahmen der Mitarbeiter zu Vorbeugung zu nennen.47
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI hat hierzu im Jahr 2005 eine Broschüre herausgegeben, mit dem Titel „IT Infrastructure Libary (ITIL) und Informationssicherheit“48. In ihr wird umfangreich dargestellt, wo sich Synergiepotentiale ergeben, aber auch wo gegenläufige Ziele vereinbart werden müssen. So können beispielsweise mit Hilfe des Service Desk, als zentrale Anlaufstelle der Anwender für Fragen und Problem im ITILAnsatz, Sicherheitsvorfälle frühzeitig entdeckt und die Lücken so schnell geschlossen werden. Was dazu beiträgt das Services sicherzustellen und somit die Servicequalität aufrecht zu erhalten. Doch gleichzeitig sind die Zielsetzungen entgegengesetzt, ITIL will eine schnelle Wiederherstellung eines Services bei einem Ausfall, währenddessen Informationssicherheit die Ursache ermitteln möchte, um so die Gefahrenquelle zu beseitigen.
2.5 Informationssicherheit und seine Auswirkungen im und für das Unternehmen
Unternehmen können durch Beachtung der Informationssicherheit die vorhanden Risiken für das Unternehmen senken. Aber wie es im Abschnitt 2.1.2 schon versucht wurde zu verdeutlichen, sind nur technische Maßnahmen zu etablieren. Da es hierbei nur ein Glied in der Kette darstellt und damit meist nur maschinelle Komponenten betroffen sind. Der Mensch, kann von diesen betroffen sein, bleibt jedoch an sich bei der Betrachtung außen vor. Somit ist zu sehen, dass erst eine umfassende Sichtweise die Gefahren minimiert. So ist immer das 45
46
47
48
Vgl. Sauer (2005), S. 4f
Vgl. Franzl/Lauer (2007), S. 5
Vgl. Köhler (2006), S. 205ff
siehe http://www.bsi.de/literat/studien/ITinf/itil.pdf
2.5 Informationssicherheit und seine Auswirkungen im und für das Unternehmen Seite 18
schwächste Glied in der Kette das größte Gefährdungspotenzial zu zuordnen. Demzufolge ist sicherzustellen, dass alle Bereiche betrachtet werden. Bei Vorgaben sind diese auch zu kontrollieren und bei Verletzung und Umgehung, zu sanktionieren. Dies spiegelt wieder, dass Informationssicherheit im Unternehmen gelebt und getragen werden muss. Wobei den Mitarbeitern die oben schon erwähnte Stellung eingeräumt werden muss, da für sie Regelungen auch einschränkend wirken und somit die Gefahr steigt diese zu umgehen, um sich als Mensch zu sehen und entfalten zu können. Dabei spielen rechtliche Forderungen eine wichtige Rolle. So bestehen Haftungsrisiken für die Unternehmensleitung aber auch für Mitarbeiter, bei Verstößen.
Wer Informationssicherheit richtig im Unternehmen etabliert und seine Auswirkungen auf andere Bereiche berücksichtigt und richtig bewertet, kann so auch Wettbewerbsvorteile generieren und sichern. Beispielsweise verdeutlicht dies der oben beschriebene Zusammenhang zwischen Qualität und ITIL. So werden Kunden und bezogene Leistungen zufriedenstellend bereitgestellt und bei Störung nach genauem Muster, durch Standardisierung, abgearbeitet. Des weiteren kann mit Hilfe von ITIL durch Kennzahlen die Prozesse abgebildet werden. Eines wurde in dieser Betrachtung ausgeblendet die benötigten Ressourcen zur Implementierung und Sicherstellung. Mitarbeiter dürfen in diesem Zusammenhang nicht überfordert und überlastet werden durch neue Tätigkeitsbereiche und der finanzielle Aufwand muss gesichert sein. So ist es sinnvoll eine NutzenKostenAnalyse für das gewünschte Sicherheitsniveau durchzuführen. Da jede höhere Stufe sehr viel mehr an finanziellen Mitteln erfordert. Das Optimum ist im Schnittpunkt von Kosten und Nutzenkurve erreicht und stellt das optimale Sicherheitsniveau dar.49
3 Bewusstsein von ITSicherheit, ITIL und Qualität in der Praxis 3.1 Inhalte und Auswertung
Mittels einer Umfrage sollten die teils theoretischen Inhalte und die Erfahrungen in der Praxis versucht werden zu validieren. Die Umfrage wurde in drei Teilbereiche gegliedert, die die 49 Vgl. Breitner/Pomes (2005), S. 23f
3.1 Inhalte und Auswertung Seite 19
Struktur der Arbeit abdecken soll. Die Schwerpunkte dabei lagen auf Informationssicherheit, ITIL und Servicequalität im Zusammenhang mit den beiden anderen Bereichen. Adressaten waren CIO's von Unternehmen mit unterschiedlicher Größe in Deutschland. An der Umfrage beteiligten sich elf CIO's, wobei nicht jeder alle Fragen beantwortet hat. Bezüglich des Umfangs der Arbeit sind alle hier vorgestellten Ergebnisse graphisch im Anhang abgebildet sowie der Fragebogen selbst.50
Im ersten Teil wurden Fragen zur Informationssicherheit gestellt und die die angesprochen Aussagen bekräftigen. So wurden auch hier die eigenen Mitarbeiter als größtes Bedrohungspotenzial eindeutig bestimmt, gegenüber externen Personen. Des weiteren wurde die Einschätzung zu den Aspekten der Informationssicherheit hinterfragt. Die Ergebnisse zeigen, dass rechtlichen Anforderungen den benötigten Stellenwert im Unternehmen zugeordnet wird, jedoch das Risiko meist unterschätzt wird . Der Mitarbeiter, so die Teilnehmer, lassen sich schwer sensibilisieren und begründet somit die oben gegeben Bedrohung für das Unternehmen. Im technischen Bereich verwenden fast alle Hard und Software zur Absicherung. Die Hälfte verschlüsselt die Daten und alle verwenden eine Firewall und außer einem Teilnehmer auch Virensoftware. Im organisatorischen Bereich fallen die Ergebnisse schlechter aus. Es setzen nur die Hälfte der Befragten ITSicherheitsrichlinien ein, die restlichen gaben an dies bewusst abzulehnen. Ein ähnliches Bild ergab sich bei der Regelung von privater Nutzung bei Mobilen Endgeräten in den Unternehmen. Die Teilnehmer wurden zudem befragt durch welchen Personenkreis Schaden entstanden ist und in welcher höher, falls dies bekannt war. Es stellte sich heraus das von acht Unternehmen sechs mit Sicherheitsvorfällen im Unternehmen zu tun hatten, in einem Unternehmen sogar von Innen und Außen. Nur zwei gaben an, dass keine Vorfälle aufgetreten sind. Die sich daraus ergebenden Schadenshöhen sind nicht außer acht zu lassen. Fünf beteiligte gaben an einen Schaden zwischen 1.000 und 10.000 Euro beziffern zu können, drei sogar über 10.000 Euro. Einem Unternehmen war es nicht bekannt und ein anderes konnte den Vorfall nicht bewerten, beispielsweise ein Reputationsverlust. Ein Unternehmen erlitt keinen Schaden.
50 Die Befragung selbst hat Online und konnte so ohne Einflüsse des Verfassers beantwortet werden. Geschaltet ist die sie unter http://www.zapfonline.de.vu mit den Zugangsdaten ITIL und dem Passwort Umfrage. Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL
Im zweiten Themenbereich wurden ITIL spezifische Fragen gestellt. Dabei ist das Rahmenwerk, in Version 2, neun von zehn beteiligten bekannt gewesen. Version drei kannten bereits sieben. Vier der befragten Unternehmen setzten ITIL im Unternehmen ein und zwei weitere planen es. Die Hälfte der Teilnehmer gaben an nach ITIL zertifiziert zu sein. Es wurde weiterhin gefragt, ob die Teilnehmer ITIL weiter empfehlen würden und ob der Standard die gesetzten Ziele erreicht hat. Sechs von sieben würden ITIL weiter empfehlen und ein Teilnehmer war sich unsicher. Zwei von fünf gaben an, dass die gesteckten Ziele erreicht wurden, zwei waren sich unsicher und in einem Unternehmen wurde dies nicht erfüllt.
Die letzte Frage bezog sich auf die Servicequalität und ihrem Zusammenhang zu anderen Faktoren. Fünfzig Prozent gaben dabei an, dass die Qualität abhängig von der IT ist. Den Bereich Informationsicherheit stellten achtzig Prozent als positiv beeinflussend heraus, von einem Teilnehmer wurde dieser Zusammenhang strikt abgelehnt. Der Einfluss von ITIL bezifferten siebzig Prozent als positiv, zwanzig bestätigten dies teilweise und ein Teilnehmer lehnte dies strikt ab. Bei der Frage ob Servicequalität sich nur durch Transparenz der Prozesse darstellen lässt, gaben fünfzig an dies treffe zu und die restlichen Teilnehmer bestätigtes dies teilweise.
Die Umfrage und deren Ergebnisse decken sich mit denen von größeren wie von Materna51 oder KES52. Die Ergebnisse zeigen auf, dass es noch Handlungsbedarf besteht. So kann ein eingetretener Vorfall und dessen Schadenshöhe verheerende Konsequenzen nach sich ziehen. Auch wenn die Umfrage ergab, dass gesetzliche Regelungen beachtet werden, so mangelt es an der Umsetzung im Unternehmen. Was sich teilweise durch die relative Hohe Anzahl von Sicherheitsvorfällen von innen heraus begründet. So ist meist nur technische Sicherheit ausgereift und findet weite Anwendung in Unternehmen. Jedoch durch die fehlenden gelebten Richtlinien sind diese Maßnahmen nur wirksam zum Schutz von Außen, obwohl der eigene Mitarbeiter als größte Gefahrenquelle selbst identifiziert wurde. Die Gelder die nach einem Vorfall benötigt werden, sollten lieber vorbeugend eingesetzt werden. So wie es im Kapitel 2.5 angedeutet wurde.
51 http://www.materna.de
52 htttp://www.kes.de
Im nächsten Kapitel soll mit Hilfe der ITILEinführung aufgezeigt werden, welche Potentiale im Rahmenwerk selbst stecken und wie diese im Unternehmen umgesetzt werden können.
4 ITIL und die Einführungsproblematik in Unternehmen
4.1 Anforderungsanalyse
Der Bekanntheitsgrad und die Implementierungsrate von ITIL steigt, was zum Teil aus der oben dargestellten Studie ersichtlich ist. Es muss jedoch beachtet werden, dass ITIL kein Tool ist sondern eine Verfahrensbibliothek. Diese kann helfen, Verbesserungen bezüglich Transparenz und Qualität im Unternehmen zu erzielen. Es sind dabei nicht die einzigen Gründe für eine Implementierung von ITIL. Durch ITIL wird es geschafft, dass alle im Unternehmen Abbildung 5: Vorteile von ITIL
Quelle: Pütter (2006), S.1
an einem Strang ziehen und auch Schwachstellen aufgezeigt werden können.53 Weiterhin kann das vorhandene Wissen im Unternehmen gebündelt werden und so neue Mitarbeiter leichter eingearbeitet werden, aber auch ein Zusammenbruch der IT bei ausscheiden des Administrators verhindert werden.54 Ein weiterer Aspekt ist die Steigerung der Produktivität von Nutzern der IT, wie auch bei den Verantwortlichen, durch die Struktur der Kontaktaufnahme und Abarbeitung von Störungen.
Damit sich der Nutzen von ITIL einstellen kann, sind gewisse Sachverhalte zu berücksichtigen. ITIL hat teilweise die gleichen Anforderungen wie jedes andere einzuführende ITProjekt, aber 53 Vgl. Schmitt (2005), S. 1f
54 vor allem in kleineren Unternehmen
4.1 Anforderungsanalyse Seite 22
auch Besonderheiten. In den ersten Kapiteln wurde deutlich, dass der Mensch ein sehr feinfühliges und mitwirkendes Individuum im Unternehmen ist. Die Ressource Mensch muss Abbildung 6: Größte Hürden für die Implementierung von ITIL
Quelle: Pütter (2007), S.1
daher besonders berücksichtigt werden bei der Einführung, Umsetzung und auch bei der Wirksamkeit von Maßnahmen, aber auch bei neuem geplanten Vorhaben. Ein Projekt ist stark abhängig von den Mitarbeitern und Ihrer Akzeptanz und der Aufklärung gegenüber Neuen. Hierbei ist auch zu berücksichtigen, dass es sich bei ITIL um ein Organisationsprojekt handelt und somit auch ein Wandel der Unternehmenskultur mit sich bringt. Um dies zu realisieren ist eine ITILEinführung nur Topdown realisierbar, das heißt das oberste Management muss dies mit Tragen und initialisieren. So muss an und mit den Mitarbeiter kommuniziert werden warum ITIL eingesetzt werden soll, über Medien wie Portale, FAQ's, Roadshows.55 Durch die weitreichenden Änderungen von ITIL im und für das Unternehmen sind auch andere Bereiche des Unternehmens frühzeitig mit ins Boot zu nehmen, um so Synergiepotentiale zu entfalten und Ablehnung zu verringern.56 Des weiteren sind die Projektverantwortlichen entsprechend zu schulen, dabei ist auch die Wahl des Anbieters zu beachteten, denn dies entscheidet über die Qualität. Diese ist wichtig für die Aufnahme der Prozesse im Unternehmen, hilfreich hierbei ist die Toolunterstützung. Dabei ist zu beachten, dass die Prozesse zuerst definiert werden und bei der Toolauswahl auch Mitarbeiter 55 Vgl. Materna Monitor (02/2007), S. 15ff
56 Vgl. Greiner (2006), S. 3
4.1 Anforderungsanalyse Seite 23
mit entscheiden sollten, da diese damit arbeiten werden.57 Aber auch finanzielle und zeitliche Ressourcen sind zu prüfen und deren Verfügbarkeit sicherzustellen. So soll auch kein Mitarbeiter in der IT nachher mehr Arbeit erledigen müssen Abbildung 7: Hürden bei der Implementierung von ITIL
Quelle: Greiner (2006), S. 2
als zuvor, denn darunter leidet die Qualität und die Motivation. ITIL möchte die Tätigkeiten ja effektiver gestalten. Die aufgezeigten Fehlerquellen aus Studien und der Projekterfahrungen sollten in die Planung aufgenommen werden, so können einige von ihnen im Vorfeld umgangen werden. So sollte einer erfolgreichen Einführung nichts entgegenstehen. Es ist vor allem wichtig eine klare Zielsetzung mit Realismus und Kontrollen zu haben.58
4.2 Vorstellung einer erfolgreichen Vorgehensweise
Für das Vorgehen für die Implementierung von Version 2 gibt es verschiedene Phasenmodelle. Folgende Grafik verdeutlicht alle wichtigen Punkte. Die Vorgehensweise unterscheidet sich nicht von anderen Projekten. Nur ist bei ITIL auszuwählen was implementiert werden soll. Diese Anpassungsmöglichkeiten an das Unternehmen sichert ITIL die nötige Flexibilität und trägt zu deren weiteren Verbreitung bei. Durch die Umgestaltung von ITIL in Version 3 und den Lifecycle ergibt sich ein anderes Vorgehen, da nun nicht mehr der Prozess im Vordergrund steht wie es im Kapitel 2.2.1 dargestellt wurde. Dabei stellt der Lebenszyklus das Vorgehensmodell 57 Vgl. Schmitt (2005), S. 3
58 Vgl. Schmitt (2005), S. 2
4.2 Vorstellung einer erfolgreichen Vorgehensweise Seite 24
selbst dar, wie in Abbildung 3 zu sehen ist. Mit dieser sukzessiven Beschäftigung und Abarbeitung der einzelnen Teilbereiche gelangt man stückweise zur Implementierung. Diese Neugestaltung gibt den Unternehmen gleich eine Leitpfaden an die Hand und versucht damit dem gesetzten Ziel die Einführung zu erleichtern und einen Beitrag zu leisten. Die einzelnen Inhalte sind in Tabelle 4 nachzulesen. Aber wie auch in Version 2 kann nicht alles Abbildung 8: Phasenmodell zur ITIL
Implementierung
Quelle: Püttner (2007)
beziehungsweise ist es nicht nötig alles zu Implementieren. Somit bleibt die Flexibilität des Rahmenwerkes erhalten. Die Einstiegs und Entscheiungspunkte für ITIL werden immer noch im Service Support zu finden sein, diese können dann bei Bedarf stückweise erweitert werden. Die neue Struktur enthält nicht nur den Weg zu Implementierung, sondern auch zur ständigen Verbesserung. Dies ist für ein Lebenszyklus unumgänglich, jedoch ist es jetzt durch die einzelne Betrachtung in ITIL stärker hervorgehoben.
4.3 Informationssicherheit und Qualitätssicherung
Wie auch in Version 2 ist die sicherste Implementierung der Informationssicherheit durch die Norm ISO 20000. In Abbildung 9 sind Gründe dafür zu sehen.
Qualität wurde im Kapitel 2.3 besprochen und im Zusammenhang mit der Norm ISO 9000. „Der ISO 20000 Standard schlägt die Brücke von ISO 9000:2000 im Aufbau von Qualitätsmanagementsystemen hin zur wirksamen Umsetzung des ITService Managements gemäß ITIL...“59 Über diesen Standard werden Mindestanforderungen definiert und Empfehlungen für die Weiterentwicklungen des ServiceManagements gegeben. Dies kann genutzt werden zur Selbstbewertung oder Zertifizierung für das Unternehmen. Der Standard 59 KBSt (2006), S. 18
4.3 Informationssicherheit und Qualitätssicherung Seite 25
beschäftigt sich neben den ITILProzessen Service Support, Service Delivery, Busines Relationship und Supplier Management, auch mit dem Security Management. Dies wurde im Kapitel 2.2.2, im Zusammenhang von Informationssicherheitetablierung in ITIL beschrieben.
Eine direkte Implementierung und Sicherung der Informationssicherheit im Unternehmen kann Abbildung 9: Vorteile von Zertifizierungen
Quelle: Pütter (2007), S. 1
über die im Kapitel 2.1.3 angesprochen Standard des BSI über den ITGrundschutz realisieren oder über ISO 27001. Beide geben genaue Inhalte vor mit deren Hilfe Informationssicherheit im Unternehmen sichergestellt werden kann. Die Servicequalität kann so, über den dargestellten Zusammenhang im Kapitel 2.3.2, Einzug in das Unternehmen mit Hilfe von ITIL erhalten. 5 Fazit und Ausblick
Die aufgezeigten Argumente und Positionen stellen heraus, dass Informationssicherheit für Unternehmen ein sehr wichtiges Gebiet darstellt. So kann das Unternehmen nur profitieren, wenn die Umsetzung der Maßnahmen mit Ausgaben verbunden ist. Nur durch die Sicherstellung der IT ist es möglich so störungsarm wie möglich seinen Visionen im Unternehmen zu verfolgen. Voraussetzung ist die richtige Stellung im Unternehmen und die Beachtung der Menschen. Diese Ressource des Unternehmens hat einen sehr großen Einfluss auf die Sicherstellung der Informationssicherheit, dies wurde an den nötigen Punkten versucht zu verdeutlichen. Mit Hilfe von Informationssicherheit kann die richtige Sichtweise etabliert werden. Dabei ist ITIL sehr hilfreich. Die Neuerungen des Rahmenwerkes trägt dazu bei, dass Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL
5 Fazit und Ausblick Seite 26
diese vielschichtige und komplexe Verfahrensbibliothek eine Struktur bekommt. Diese war in der Version 2 für Einsteiger schwierig zu finden und bezog sich bei der Umsetzung nur auf einzelne Bereiche. Das Zusammenwirken von Informationssicherheit und ITIL ist nicht ohne tiefere Betrachtung erkennbar. Es wirken immer Teilbereiche von ITIL auf die Informationssicherheit, aber ohne eine genaue Hinterlegung kann dies im Unternehmen nicht einheitlich verstanden werden. Für Unternehmen gibt ITIL somit die Chance Informationssicherheit nicht nur auf einzelne Bereiche, Prozesse und Tätigkeiten zu konzentrieren, sondern erhält die Möglichkeit der Lenkung und Steuerung von Geschäftsprozessen und Services. Dies bietet den Vorteil das Kunden durch diese spürbare Verkettung profitieren. Das Unternehmen selbst kann kritische Prozesse bei Partnern feststellen und versuchen diese abzusichern, um Gefahrenquellen zu verhindern.
ITIL ohne den Gedanken an Informationssicherheit, dann fehlt eindeutig die Sicherstellung der vereinbarten Services, denn die Qualität kann ohne diese nicht tief gehend etabliert werden. Unternehmen, die sich nicht auf Kundenanforderungen und wünsche einstellen und sichern können, werden auf lange Sicht starke Wettbewerbsnachteile haben. Diese Fähigkeit der Flexibilität in vielen Bereichen stellt für Unternehmen eine große Herausforderung dar. Damit diese sich aber nicht negativ für das Unternehmen auswirken, ist Informationssicherheit ein wichtiger Teilaspekt, der durch ITIL noch tiefer berücksichtigt wird. Die Fragestellung dieses Themas ist mit einem eindeutigen ja zu beantworten. Die Begründung jedoch nur schwer aufzuzeigen. Dies kann in der Umfrage gesehen werden, dass die Befragten aus der Praxis den Zusammenhang klar herausstellten. Wie oben verdeutlicht wurde, ist eine umfassende Umsetzung Einflussnahme auf ITServices möglich, mit der Hilfe von ITIL. Durch die Anwendung des Rahmenwerkes können so die Auswirkungen und Erfolge von Informationssicherheit mit Kennzahlen abgebildet werden. Diese sollten dazu genutzt werden die Wirksamkeit festzustellen und Risiken durch Schwachstellen so früh wie möglich zu erkennen und schwerwiegende Folgen verhindern. Um eine Zeichen nach Außen zu setzen, kann die Umsetzung eines Qualitätsmanagements zertifiziert werden. Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL
5 Fazit und Ausblick Seite 27
Informationssicherheit und die gewonnenen Erkenntnisse der Einflussnahme auf die Qualität Aussagen bezüglich Qualität
Servicequalität ist unabhängig von der IT, somit auch von IT
Sicherheit und ITIL
ITSicherheit wirkt sich Positiv auf die Servicequalität, für interne und externe Kunden aus
ITIL und sein Servicegedanke unterstützen den Qualitätsgedanke
Servicequalität lässt sich nicht ohne Transparenz der Prozesse messen
0
1
2
3
4
5
6
7
8
9
10
Stimme ich nicht zu
Stimme ich teilweise zu
Stimme ich voll zu
Abbildung 10: Angaben bezüglich Qualität
Quelle: eigene Umfrage
sollten Unternehmen und dessen Verantwortliche Anreiz und Motivation geben, sich tiefer mit der Problematik zu beschäftigen, ohne dass der Gesetzgeber dies in Vorschriften festhalten muss. Diese sollten eher als Mindestanforderungen betrachtet werden und nicht als einfordernde Umsetzungsvorschrift. Die Notwendigkeit der Veränderung der Sichtweise ist nötig, um den gesetzliche Regelungen, die immer einen Anspruch an Informationssicherheit haben, hinterherzuhetzen. So können sich Unternehmen Gestaltungsmöglichkeiten schaffen und sich ganz entscheidend von ihren Mitbewerbern abheben. Möglich ist dies aber nur, durch eine Einstellung die Informationssicherheit nicht als notwendiges übel ansieht, sondern als einen Vorteil für das Unternehmen bei gezielter Umsetzung. Dies kann genauso auf die Implementierung von ITIL bezogen werden mit seiner Servicebetrachtung.
6 Literaturverzeichnis Seite 28
6 Literaturverzeichnis
Bause, M. (2006a). ITIL V.3 – Innovation oder Aufguß. In: Serview Editorial.
Erstelldatum: 2006. Druckdatum 05/2007
URL: http://www.itsmi.de/content/image/mb_editorial3.pdf
Bause, M. (2006b). ITITL V.3 – Die Verunsicherung ist groß!. In: Serview Editorial. Erstelldatum: 2006. Druckdatum: 05/2007
URL: http://www.serview.de/content/unternehmen1/presse/servieweditorial BITKOM (2005a). Unternehmen unterschätzen Haftungsrisiko bei der ITSicherheit. Erstelldatum: 03/2005. Druckdatum: 05/2007. URL: http://bitkom.de/files/documents/PI_ITSicherheit10_03_2005_final.pdf
BITKOM (2005b). Matrix der Haftungsrisiken – ITSicherheit – Pflichten und Risiken, Erstelldatum: 03/2005, Druckdatum: 05/2007
URL: http://bitkom.de/files/documents/BITKOM_Leitfaden_Matrix_der_Haftungsrisiken
V1.1f.pdf
Breitner, M. H./Pomes,R. (2005). ITSicherheit –Kein Selbstzweck, sondern Notwendigkeit. In IZN Mail. Heft 4 (H 45664). S. 2126
von Brocke, J./Budendick, C. (2005). Security Awareness Management — Konzeption, Methoden und Anwendung. In: Wirtschaftsinformatik 2005. S. 12271246
URL: http://springerlink.com/content/l0x6728k333762t7/?p=39075cfd16024fb3a5d46eac94f4159e
&pi=0
BSI (2005). ITIL und Informationssicherheit. Erstelldatum: 2005 . Druckdatum: 04/2007
URL: http://www.bsi.de/literat/studien/ITinf/itil.pdf
Dierstein, J. (2004). Sicherheit in der Informationstechnik—der Begriff ITSicherheit. In: InformatikSpektrum. Volume 27. Number 4. S. URL:http://springerlink.com/content/13b6x34xu34u9u3h/?p=b0b2a7fdde0c47d4bd1031e94
8bf9fe2&pi=3
Eschweiler, J./Atencio Psille, D.E. (2006). Security@Work. Berlin, Heidelberg.
URL: http://springerlink.com/content/n07136/
Federrath, H./Pfitzmann, A. (2006). Handbuch IT in der Verwaltung. Berlin, Heidelberg. URL: http://springerlink.com/content/r17810/
Greiner, W. (2006). Herausforderung sichere ITServices
Erstelldatum: 06/2006. Druckdatum: 05/2007.
URL: http://lanline.de/article.html?thes=&art=/articles/20060S2/30691666_ha_LL.html
Hornung, K. (2005). Management der ITSicherheit: David gegen Goliath?. Erstelldatum: 04/2005. Druckdatum:05/2007 URL:http://www.securitymanager.de/magazin/artikel_645_management_der_it
sicherheit.html
Höfling, J. (2005). Gefühlte ServiceQualitäten
Erstelldatum: 08/2005. Druckdatum: 05/2007 URL:http://informationweek.de/showArticle.jhtml?articleID=193002622&queryText=gefüh
lte+servicequalitäten
Humpert, F. (2004). ITSicherheit. In: M. Mörike (Hrsg.). HDM – Praxis der Wirtschaftsinformatik. ITSicherheit. Stuttgart. S. 7–18
ITIL Refresh News (2006). ITIL Refresh News (2006)
Erstelldatum: Herbst 2006. Druckdatum: 06/2007
URL:http://www.bestmanagementpractice.com/officialsite.asp?FO=1241696&DI=579370
KBSt (2006). ITIL und Standards für ITProzesse
Erstelldatum 08/2006. Druckdatum: 05/2007
URL: http://www.kbst.bund.de/cln_046/nn_991292/SharedDocs/Anlagen
kbst/itil__und__standards__fuer__it__prozesse,templateId=raw,property=publicationFile.pd
f/itil_und_standards_fuer_it_prozesse.pdf
Köhler, P (2006). ITIL Das ITServicemanagement Framework. Berlin, Heidelberg. URL:http://springerlink.com/content/p6r412/?p=2d852a4d9f64453da3ac28e1a45ba0a2&pi
=1
Materna (2007). ITITLkomformes ITServiceManagement – Eine Einfürhung
Erstelldatum: 2007. Druckdatum: 05/2007 URL:http://www.materna.com/nn_65998/SharedDocs/Dokumente/Downloads/DE/ITSM/IT
ILPocketbrosch_C3_BCre,templateId=raw,property=publicationFile.pdf/ITIL
Pocketbroschuere
Materna Monitor (01/2007). Erstelldatum: 01/2007. Druckdatum: 04/2007 URL:http://www.materna.com/nn_19530/SharedDocs/Dokumente/Presse__und__Events/M
onitor/DE/2007/200701,templateId=raw,property=publicationFile.pdf/200701
Materna Monitor (02/2007)
Erstelldatum: 06/2007. Druckdatum: 06/2007 URL:http://www.materna.com/nn_19530/SharedDocs/Dokumente/Presse__und__Events/M
onitor/DE/2007/200702,templateId=raw,property=publicationFile.pdf/200702
Niedermeier, R./Junker, M. (2004). Rechtliche Pflichten im Bereich der ITSicherheit : Leitfaden. München. Heussen Rechtsanwaltsgesellschaft.
Druckdatum: 06/2007
URL: http://www.surfcontrol.com/general/guides/SurfControl_RechtlicherLeitfaden.pdf
Ostler, U. (2006). Die Beschreibung der ITProzesse erhält einen WieAkzent. Erstelldatum: 12/2006. Druckdatum: 05/2007 URL:http://www.searchnetworking.de/themenkanaele/einfuehrunginnetzwerke/leitfaeden/ar
ticles/50267/
Pütter, C. (2007). Implementierung kostet erst einmal Zeit und Geld Deutsche und Briten sind ITILEuropameister
Erstelldatum: 01/2007. Druckdatum: 05/2007
URL: http://www.cio.de/knowledgecenter/it_integration/831476/index.html
Sauer, J. (2005). Sicherheitsrichtlinien im Vergleich. Erstelldatum: 07/2005. Druckdatum: 05/2007
URL: http://lanline.de/article.html?thes=&art=/articles/20050S3/30460614_ha_LL.html
Statistisches Bundesamt (2007). IKT in Unternehmen
Erstelldatum: 02/2007. Druckdatum: 06/2007 URL:https://www.ec.destatis.de/csp/shop/sfg/bpm.html.cms.cBroker.cls?CSPCHD=000100
01000142gqi5uo000138481767&cmspath=struktur,vollanzeige.csp&ID=1019869
Sunner, M. (2007). Gefahr erkannt, aber nicht gebannt?.
Erstelldatum: 02/2007. Druckdatum: 05/2007. URL:http://www.securitymanager.de/magazin/artikel_1354_gefarhr_erkannt_aber_nicht_ga
bannt.html
Wisotzky, H.H. (2007). Vom Prozess zum Service.
Erstelldatum: 02/2007 Druckdatum: 05/2007 URL:http://www.searchnetworking.de/themenkanaele/einfuehrunginnetzwerke/leitfaeden/ar
ticles/57594/
7 Anhang
7.1 Umfrage von CIO.de
7.2 ITIL Version 2
Quelle: OGC
Seite III
7.3 Fragebogen
Seite IV
Seite V
Seite VI
7.4 Auswertung:
Teilbereich 1
●
Frage 1: Größe des Unternehmens
Unternehmensgröße
Mitarbeiteranzahl
1 bis 20
20 bis 200
über 200
0
●
1
2
3
4
5
6
7
8
Frage 2: Sicherheitsrisiken in Ihrem Unternehmen
Sicherheitsrisiken
Mobile Endgeräte
WLAN und die
Benutzung
sehr gering
gering
mittel
hoch
Unerlaubte
Softwareinstallation
durch Mitarbeiter,
sehr hoch
Benutzung des
Internets durch
Mitarbeiter
0
2
4
6
8
10
12
●
Seite VII
Frage 460: Bedrohungen durch unberechtigten Zugriff auf Daten
Bedrohungspotential
sehr
hoch
hoch
Hacker /
Industriespionag
e
Externe
Dienstleister
oder Partner
Eigene
Mitarbeiter
mittel
gering
sehr
gering
0
●
1
2
3
4
5
Frage 5: Rechtliche, organisatorische und technische Herausforderungen
Herausforderungen
Unser Management hat ein zu
geringes Risikobewusstsein
Stimme ich nicht zu
Es ist schwierig Mitarbeiter zu
sensibilisieren
Stimme ich voll zu
Risiken sind schlecht
einzuschätzen
Rechtliche Aspekte zur ITSicherheit haben den
benötiigten Stellenwert im
Unternehmen
Bei Kombination von
verschieden Komponenten
besteht vielmals eine
0
●
1
2
3
4
5
6
7
8
9
10
11
Frage 6: Eigene Schutzmaßnahmen und Regularien im Unternehmen
Eingesetzte Schutzmaßnahmen
IT-Sicherheitsrichtlinie
Richtlinie für den Umgang
mit Mobilen Endgeräten
(private Nutzung,
VPN
bewusst abgelehnt
geplant
nicht eingesetzt
teilweise realisiert
wird verwendet
Verschlüsselung von Daten
Zugriffsbeschränkungen
(technisch und räumlich)
Firewalleinsatz
Virenschutz
Netzwerküberwachung
0
1
2
3
4
5
6
7
8
60 die Frage 3 wurde gelöscht bevor die Befragung gestartet wurde
9
10
11
●
Seite VIII
Frage 7: Sicherheitsvorfälle im eigenem Unternehmen verursacht durch
Sicherheitsvorfälle
Anteile von Sicherheitsvorfällen
Eigene Mitarbeiter
Eigene
Mitarbeiter
externe
Personen
(Hacker,
Schadsoftware
kein Vorfall
bekannt
externe Personen
(Hacker,
Schadsoftware)
kein Vorfall
bekannt
0
●
0,5
1
1,5
2
2,5
Frage 8: Schadenshöhe
Schadenshöhe
keiner
nicht bekannt
bis 1.000€
zwischen 1.000
und 10.000
über 10.000
nicht monetär
bewertbar, wie
Repuationsverlu
0
1
2
3
4
5
Teilbereich 2
●
Frage 911: Fragen rund um ITIL
hier wurden nicht all gestellten Fragen beantwortet
ITIL
Ist Ihnen ITIL als
defacto Standart
bekannt?
nicht vor
Ist Ihnen ITIL Version 3
bekannt?
geplant
nein
ja
Verwenden Sie im
Unternehmen ITIL?
Sind Sie nach ITIL
zertifiziert?
0
1
2
3
4
5
6
7
8
9
10
3
3,5
4
Seite IX
Aussagen von ITIL-Anwender
unsicher
nein
Zielerreichung
ja
Weiterempfehlung
0
1
2
3
4
5
6
7
Teilbereich 3
●
Frage 12: Haben ITIL und ITSicherheit Einfluss auf die Servicequalität im Unternehmen
Aussagen bezüglich Qualität
Servicequalität ist unabhängig von der IT, somit auch von IT
Sicherheit und ITIL
ITSicherheit wirkt sich Positiv auf die Servicequalität, für interne und externe Kunden aus
ITIL und sein Servicegedanke unterstützen den Qualitätsgedanke
Servicequalität lässt sich nicht ohne Transparenz der Prozesse messen
0
1
2
3
4
Stimme ich nicht zu
Stimme ich voll zu
5
6
7
8
9 10

Informationssicherheit als Qualitätsmerkmal eines ITService nach ITIL

Transcription

Documents pareils

ITIL – sozial verträglich!

Definition Economies of scope

Prozessberatung und

ITIL Foundation V3

ITIL Foundation Training

Kursunterlagen ITILv3 Foundations

IT Boot Camp

3. ITIL-Kongress 2005 - IT

exagon-Erhebung: Anforderungsmanagement bei den IT