IT-Governance: 7 Mythen, die Ihr Business gefährden

Wird das IT-Governance-Framework Ihres Unternehmens durch Annahmen, Mutmaßungen und Mythen beschädigt? [...]

Geht es um IT-Governance, führt Irrglaube ins Verderben. Diesen sieben Mythen sollten Sie nicht verfallen (c) pixabay.com

Bei der Abstimmung von IT- und Business-Zielen spielt IT-Governance eine tragende Rolle – wenn sie richtig konzipiert ist und funktioniert. Leider erliegen jedoch viele IT-Entscheider weit verbreiteten Missverständnissen, die nicht nur eine effektive IT-Governance verhindern können, sondern auch dazu führen, dass wichtige Geschäftsziele erreicht werden. Das kann zu unnötigen Risiken, Schwachstellen bei der Einhaltung von Vorschriften und letztendlich zu verpassten Geschäftschancen führen.

Die folgenden sieben Governance-Mythen verhindern, dass IT- und Business-Governance-Frameworks harmonisch zusammenwirken. Höchste Zeit also, mit ihnen aufzuräumen.

1. Outsourcing verlagert Risiken

Viele IT-Entscheider gehen leichtfertig davon aus, dass Drittanbieter in Sachen Cyberhygiene gute Standards praktizieren. „Oft wird eine Due-Diligence-Prüfung versäumt, die nötig ist, um sicherzustellen, dass der Anbieter die Grundlagenarbeit in Sachen IT-Kontrollen für alle Unternehmensbereiche erledigt“, meint Tom Garrubba, Vice President und CISO bei der globalen Risk-Management-Organisation Shared Assessments. „Im Fall eines Cyberangriffs oder eines Systemausfalls kann blindes Vertrauen zu unerwarteten Problemen führen.“

Garrubba rät deshalb zu regelmäßigen, detaillierten Assessments, mit deren Hilfe die IT-Hygienekontrollen eines Anbieters validiert und geprüft werden können. Darüber hinaus sei es ratsam, die Cyberperformance des Anbieters mit verschiedenen Tools kontinuierlich zu überwachen, um sicherzustellen, dass die Erwartungen erfüllt werden, fügt der Experte hinzu. Unternehmen, die auf eine (vollständige) Risikobewertung von Dritten verzichten, seien – unabhängig von ihrer Branche – bereits jetzt rückständig: „Solche Bewertungen werden mittlerweile in allen Branchen als Standardverfahren angesehen“, weiß er.

2. Software behebt alle Schwächen

Mit Hilfe von Workflow-Software können Organisationsabläufe effektiv gesteuert werden, um die Einhaltung und Vervollständigung von definierten Prozessen zu gewährleisten. Für viele Unternehmen ist ein „definierter Prozess“ allerdings kaum mehr als ein mythisches Konzept, ist Bryan Shoe, IT-Governance-Coach bei DevelopIntelligence, überzeugt: „Tools sind kein Mittel, um bestehende organisatorische Probleme zu lösen.“

Bevor sich Unternehmen einer Governance-Software bedienen, müssten sie zunächst sicherstellen, dass ihre Vision, Mission und Ziele klar definiert sind: „Von diesem Punkt aus sollte die Governance die Entscheidungen darüber leiten, welche Geschäftsprozesse eingezogen werden, um Vision, Mission und Ziele zu erreichen. Im Anschluss können Unternehmen dann Software-Tools auswählen und konfigurieren, um diesen Prozess der Zielerreichung zu unterstützen.“

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

3. Mit All-in-One zur Governance

Erfolgreiche IT-Governance optimiert das Risikomanagement, die Ressourcen und die Strategien, um die geplanten Ziele zu erreichen. „Alle kritischen Aspekte der IT-Performance und Delivery über mehrere Bereiche hinweg erfassen zu können, schafft die Grundlage für ein effektives IT-Governance-Programm“, meint Andrew Morrison, US Cyber Risk Services Strategy, Defense, and Response Solutions Leader bei Deloitte.

Das Streben nach einem klaren, prägnanten und für Entscheider leicht konsumierbaren IT-Governance Reporting hat dazu geführt, dass einige Anbieter ihre Lösungen und Tools als „Allheilmittel“ anpreisen: Ein Tool reicht angeblich, um Transparenz über alle Unternehmensbereiche zu schaffen und stemmt jede noch so komplexe Auswertung. Die harte Realität ist leider, dass die Nachfrage nach Echtzeitdaten, die über verschiedene Technologien, Prozesse, Richtlinien und Zuständigkeiten hinweg aggregiert werden, das tatsächliche Angebot bei weitem übersteigt.

„Zudem sorgt die Komplexität heutiger IT-Systeme und die kontinuierlichen Veränderungen innerhalb der IT die Aufrechterhaltung von Konnektivität für einen potenziellen Irrweg“, meint Morrison. „Obwohl viele ausgezeichnete Tools eine einheitliche Sicht auf Teile der IT-Governance bieten – etwa Risiko, Sicherheit, Compliance, Kontrollen und Betriebskosten – dürften die meisten Unternehmen effektiver arbeiten, wenn sie die Verwendung mehrerer zweckgebundener Reporting-Lösungen optimieren, anstatt einer zentralen Verwaltungskonsole hinterher zu jagen.“

4. Metriken reichen zur Compliance

Metriken sind bedeutungslos, wenn sie nicht im (richtigen) Kontext gesehen werden. „Die Führungsebene braucht Metriken, um die Security-Maßnahmen zu verstehen und den Projektfortschritt nachzuweisen, aber das allein ist keine Garantie für „, weiß Karen Walsh, Gründerin und CEO des Beratungsunternehmens Allegro Solutions. Der Kontext ergebe sich aus dem, was die Metriken umgibt – Menschen, Prozesse und Technologien: „Letztendlich geht es bei Governance darum, Ihr Geschäft und Ihren IT-Stack zu kennen und zu verstehen, wie die Bereiche sich gegenseitig befruchten“, meint die Geschäftsführerin.

Anstatt sich Gedanken darüber zu machen, ob Teams bestimmte Zielkennzahlen erreichen, sollte das Ziel des IT-Leiters ihrer Meinung nach sein, ein Quartal mit dem nächsten zu vergleichen. „Wenn Sie im Quartalsvergleich Konsistenz erreichen und mit dem Ergebnis zufrieden sind, haben Sie Stabilität erreicht“, so Walsh.

5. Governance frisst Kostenkontrolle

Obwohl Governance-Kontrollmechanismen die Kostentransparenz erhöhen und bei der anfänglichen Dimensionierung von Workloads helfen können (was sich auf die Kosten auswirkt), ist Governance keine Wunderpille für alle kostenrelevanten Dinge, wie Brian Adler, Senior Director of Cloud Strategy bei Flexera, anmerkt. IT-Kostenoptimierung sei vielmehr ein kontinuierlicher Prozess, der sich im Laufe der Zeit einfacher gestalte: „In dem Maße, in dem Unternehmen Governance-Kontrollen in Bezug auf die Bereitstellung entwickeln, wird auch ihre Anfälligkeit für Kostenüberschreitungen reduziert“, erklärt Adler.

Governance spielt eine wichtige Rolle bei der Kostenkontrolle, insbesondere während des Provisionierungsprozesses. Kostenoptimierung umfasst jedoch auch andere wichtige Aspekte, die in traditionellen On-Premises-Umgebungen oft eine untergeordnete Rolle spielen.

Adler fordert die CIOs deshalb auf, einer Überprovisionierung zu widerstehen: „Wenn Sie die Cloud nutzen, sollten Sie auch deren Skalierbarkeit nutzen. Planen Sie Ressourcen, die nicht rund um die Uhr verfügbar sind, entsprechend.“ Darüber hinaus empfiehlt der Cloud-Experte, die Rabattangebote der Provider zu nutzen – etwa in Form reservierter Instanzen und Lizenzmodellen.

6. Governance erzwingt Compliance

Bemerkenswert viele CIOs sind der Meinung, IT-Governance diene in erster Linie dazu, diejenigen zu disziplinieren, die sich nicht an Compliance-Richtlinien oder andere interne wie externe Anforderungen halten. “ ist nur eine Funktion von IT-Governance“, meint Matt Donahue, Risikoanalyst beim Softwareanbieter Entrust Solutions.

Bei der IT-Governance gehe es vornehmlich darum, eine starke Synergie zwischen finanziellen und technologischen Zielen zu erzeugen und dabei sowohl Stakeholder- als auch Kundeninteressen gerecht zu werden: „Die IT-Governance als disziplinierendes Gremium zu sehen, negiert ihr Potenzial und den potenziellen Mehrwert, den sie für Anbieter als auch für Beteiligte bieten kann. Unternehmen, die daran nicht glauben, werden auch deutlich weniger in ihre IT-Governance-Strukturen investieren“, erklärt Donahue.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

7. Governance ist etwas Schlechtes

Der größte IT-Governance-Mythos ist, dass es sich dabei (bestenfalls) um ein notwendiges Übel handelt. CIOs sollten die IT-Governance vielmehr als potentes Werkzeug wahrnehmen, das erforderlich ist, um die gewünschten Ziele zu erreichen. „Verwenden Sie, was Sie brauchen, und verwenden Sie nicht, was Sie nicht brauchen“, rät Mike Kelly, CIO von Red Hat. „Sie müssen bestimmen, wie viel Governance notwendig ist.“

Dabei sollten Sie laut dem Experten auch daran denken, dass Governance kein Zwang von oben sein sollte: „Um die Akzeptanz zu erhöhen, sollten Sie die Governance zu einer gemeinschaftlichen, von der Basis ausgehenden Mission machen“, so Kelly.

Zu guter Letzt sollten Sie auch nicht außer Acht lassen, dass sich die IT-Governance kontinuierlich weiterentwickeln sollte: „Sie sollten diesen Prozess als einen solchen begreifen, der verändert werden kann und muss, um veränderten Bedürfnissen und Anforderungen gerecht werden zu können“, empfiehlt der Red-Hat-CIO. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CIO.com.

*John Edwards ist freier Autor.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*