Das Dilemma der richtigen IT-Prioritäten

Viele CIOs stecken in der Zwickmühle: Investieren Sie viel in IT-Security, reicht das Geld womöglich nicht für Projekte, die das Business fordert. Was tun? [...]

(c) pixabay.com

Wollen Sie als CIO überleben? Dann müssen Sie die richtigen Prioritäten setzen. Und für die meisten CIOs sind die fünf wichtigsten Prioritäten derzeit:

IT-Security

IT-Security

IT-Security

IT-Security

Und nicht zu vergessen: IT-Security

Sicherheit ist für den CIO von heute ein zweischneidiges Schwert. Einerseits ist die Unterinvestition in IT-Security gefährlich. In der Vergangenheit bedeuteten zu geringe Investitionen in die Sicherheit, dass Unternehmen ein höheres Angriffsrisiko in Kauf nahmen, was zu erheblichen finanziellen Einbußen führen konnte. Ransomware hat das Spiel jedoch verändert. Wer heute zu wenig in IT-Security investiert, nimmt ein höheres Risiko in Kauf, ganz aus dem Geschäft zu fliegen.

Das wahre Risiko des IT-Managements

Die andere Schneide des Schwerts sind Unterinvestitionen in IT-getriebene, neue Business-Initiativen. Etwa durch die Digitalisierung, bei der es um den Einsatz von Informationstechnologien geht, um Umsätze zu steigern und Wettbewerbsvorteile zu erzielen. Wenn Sie hier zu wenig investieren, werden aggressivere Konkurrenten mit der Zeit Ihr Unternehmen auffressen. IT-Manager stecken also in der Zwickmühle: Sie riskieren, mit einem einzigen Schlag aus dem Geschäft zu fliegen, oder Sie riskieren einen schleichenden, aber ebenso tödlichen Verlust von Kunden, Marktanteilen und ihrer Bedeutung.

Hinzu kommt die Maxime des Risikomanagements: Erfolgreiche Prävention basiert auf der Senkung der Eintrittswahrscheinlichkeit eines Risikos. Das bedeutet auch, dass Ihnen und Ihrem Team niemand zu einer gut gemachten Arbeit gratulieren wird. Ebenfalls wird niemand fragen, welche Unterstützung Sie benötigen, um das Unternehmen weiterhin sicher zu halten. Schließlich ist jedes Jahr, in dem Ihre Security-Maßnahmen erfolgreich sind, ein weiteres Jahr, in dem die IT-Budgetverantwortlichen davon überzeugt sind, dass Sie die Risiken überbewertet haben. Wenn Sie mir nicht glauben – erinnern Sie sich an das Jahr-2000-Problem. Da ist das Risiko nach Meinung vieler schließlich auch stark überbewertet gewesen.

IT-Prioritäten: Drei Alternativen

Aber Sie müssen nicht gleich die Flinte ins Korn werfen. Sie haben Alternativen. Einige sind verlockender als andere, aber alle sind besser, als aufzugeben. Nennen wir die erste Alternative „NoSuch„-Manöver, kurz für „There’s No Such Thing as an IT Project“ – eine Erkenntnis, für die Sie sich mit oder ohne Herausforderungen der Informationssicherheit stark machen sollten.

Hinter „NoSuch“ steht der Gedanke, dass so genannte „IT-Projekte“ in Wirklichkeit Ansätze sind, einen Teil des Unternehmens anders und besser laufen zu lassen. In diesem Fall sollte die Finanzierung dieser Nicht-IT-Projekte auch nicht aus dem IT-Budget erfolgen. Sie sollten von den Fachbereichen finanziert werden, die von den Auswirkungen profitieren. Auf diese Weise konkurriert die Finanzierung der Projekte nicht mit der IT-Abteilung um das Budget, das dringend für die Informationssicherheit benötigt wird.

Rückbuchungen auf die Fachbereiche

Wenn das Management Ihres Unternehmens einen traditionelleren Ansatz für die Beziehung zwischen IT und Business verfolgt, können Sie ebenfalls verhindern, dass die Informationssicherheit mit Fachbereichen um Ressourcen konkurriert. Durch den bewährten Mechanismus der Rückbuchung werden Kosten für die Anwendungs-Services der IT auf Business Units verlagert, die das, was die IT entwickeln und implementieren soll, auch nutzen werden.

Der Unterschied zwischen Rückbuchungen und dem NoSuch-Manöver ist subtil, aber wichtig: Wenn es so etwas wie ein IT-Projekt nicht gibt, ist die IT in den geschäftlichen Wandel als Vorreiter bei der Identifizierung und Förderung von Möglichkeiten sowie als gleichberechtigter Mitstreiter bei deren Umsetzung eingebunden. Stellt jedoch die IT ihre Dienste in Rechnung, gibt sie ihre Führungsrolle bei der Identifizierung strategischer Chancen und der Verwirklichung einer geschäftlichen Transformation auf. Stattdessen wird die IT zu einem Befehlsempfänger degradiert.

Plan C: Geben ist seliger als Nehmen

Hier ist eine weitere Möglichkeit: Schlagen Sie vor, die Verantwortung für die Informationssicherheit an eine Gruppe zu übertragen, die nicht Ihnen unterstellt ist. Die besten potenziellen Opfer Kandidaten sind die Abteilung für Unternehmens-Risikomanagement (ERM) oder derjenige, der für die Planung der Business Continuity zuständig ist. Nennen Sie es das SEP-Gambit: Someone Else’s Problem, das Problem eines anderen.

Für das Unternehmen als Ganzes bringt es auf den ersten Blick wenig, aber aus Ihrer egoistischen Perspektive hat es eine Menge Vorteile, wenn ein anderer die Last der Security tragen darf. Darüber hinaus bietet der Schritt tatsächlich einen gewissen geschäftlichen Nutzen. Denn durch die neue Zuweisung der Verantwortung für die Informationssicherheit kann der Nachfolger die Notwendigkeit zusätzlicher Finanzmittel hervorheben und den üblichen Klagen darüber ausweichen, dass die IT eine Kostenfalle sei.

Sicherheit ist keine Option

Diese drei Alternativen – das NoSuch-Manöver, die Rückbuchungen und das SEP-Gambit – haben das gleiche Ziel: Es soll vermieden werden, dass die Informationssicherheit und Investitionen in neue Business-Funktionen um die Zeit und Aufmerksamkeit der Führungskräfte konkurrieren, was sich direkt auf die Finanzierungsentscheidungen auswirkt. Diese Fähigkeit, die Aufmerksamkeit der Entscheidungsträger auf die richtigen Ziele zu lenken, ist für den Erfolg eines CIOs von zentraler Bedeutung.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation cio.com

*Bob Lewis ist Management- und IT-Berater bei einem großen globalen IT-Dienstleistungsunternehmen. Die in dieser Kolumne geäußerten Ideen und Meinungen sind ausschließlich seine eigenen.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*