Vielfalt der Management­systeme - ein Chaos?

Vielfalt der Management­systeme - ein Chaos?

4. Juni 2022 - Cloud Computing, Digitalisierung, Cyber Maturity, Operational Resilience, Agile und DevOps – unzählige Themen heischen um Ihre Aufmerksamkeit.
Artikel erschienen in IT Magazine 2022/06
Als Prüfer, Berater und Ausbildner beschäftige ich mich immer wieder mit unterschiedlichsten Hypes im IT-Umfeld: von Ransomware über den «neuen« internationalen Audit Standard ISA315 bis zum aktuell veröffentlichten Entwurf des FINMA-Rundschreibens zu den operationellen Risiken – die Breite der Fragestellungen in den Führungsetagen ist immens. «Alle» reduzieren die immer wiederkehrenden Sicherheitsprobleme mit der neuesten Version des ISO27002, verbessern die Basissicherheit mit dem BSI-Grundschutz, härten die Netzwerke mit den NCSC/NIST-Sicherheitsmassnahmen, lösen die Service-Probleme mit dem 4-Dimensionen-Modell von ITIL 4, verwenden OpenPM für Projektrisikomanagement und die EU-Wistleblower-Richtlinie zur Lösung des Management Override, das Compliance-Tool XYZ für die Umsetzung des aktualisierten Datenschutzgesetzes, …

Oder mit anderen Worten: Wir verwenden für bald jedes Thema eine eigene Methode (ein Managementsystem) – allenfalls auch in Kombination mit einem spezifischen Massnahmenbündel. Das folgende Beispiel soll dies illustrieren:

1. Wir haben ein Informationssicherheitsmanagementsystem (ISMS) nach ISO27001 mit den entsprechenden Massnahmen implementiert und damit die Sicherheit im Griff.

2. Wir haben ein Servicemanagementsystem nach ITIL/ISO20000 und damit die IT-Dienstleistungen im Griff.

3. Wir haben ein Risikomanagementsystem nach COSO ERM sowie ISO31000 und damit alle IT-Risiken auf das akzeptierte Restrisiko reduziert.
Alle drei in diesem Beispiel aufgeführten Managementsysteme kümmern sich unter anderem auch um die Kontinuität (Verfügbarkeit) der Dienstleistungen – aber typischerweise mit unterschiedlichen Methoden, Schwerpunkten usw.
Das grosse «Problem» dabei ist, dass die verantwortlichen Stellen, also Verwaltungsrat, Geschäftsleitung, Abteilungsleiter usw. das Gefühl bekommen, das Unternehmen würde unglaublich viel für Qualität, Sicherheit, Compliance usw. investieren und damit schon fast Perfektionismus betreiben. In Realität bleiben die Ergebnisse dieser Managementsysteme oft deutlich unter den Erwartungen – die Qualität sinkt deutlich ab, die Sicherheit reicht nicht gegen einen simplen Trojaner, der Persönlichkeitsschutz wird auch einfachsten echten Anwendungsfällen nicht gerecht, …

Dies hat aus meiner persönlichen Optik primär die beiden folgenden Ursachen:
- Verwaltungsrat, Geschäftsleitung und leider auch zentrale Abteilungsleiter haben eine typische Aufmerksamkeitsspanne von maximal einem Quartal (oder deutlich darunter). Echte Verbesserungen benötigen unabhängig vom Thema meist deutlich länger, bis das entsprechende Managementsystem definiert, implementiert und ausreichend wirksam betrieben werden kann. Wie sollen wir aber mehrjährige Verbesserungsprojekte vorwärtsbringen, wenn schon nach wenigen Wochen das Interesse der internen Sponsoren erloschen ist?

- Die meisten der erwähnten Themen wie Informations-/IT-Sicherheit, Risikomanagement, Qualitätsmanagement, Projektmanagement, Compliance usw. werden als Spezialdisziplin und praktisch vollständig voneinander isoliert betrieben. Auch wenn im besten Fall einzelne Disziplinen gut gemanagt werden, sind doch gesamtheitlich die Ressourcen nicht optimal eingesetzt – ja sie werden allenfalls sogar durch die zahlreichen und unkoordinierten Überlappungen und Redundanzen verschleudert.
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER