Erfolgsfaktoren für die Umsetzung des IT-Governance-Konzepts

Laut der aktuellen Studie "IT Governance in Practice" von Pricewaterhouse-Coopers erwarten sich viele Führungskräfte Kostensenkungen, Effizienzsteigerungen und ein besseres Risiko-Management durch die neue Ausrichtung der IT-Abteilung. Weltweit regeln derzeit über 25.000 gesetzlichen Vorschriften die Kontrolle und Dokumentation im Unternehmen - Basel II oder Sarbanes-Oxley-Act sowie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) gehören darunter zu den bekanntesten. IT-Fachkräfte sind gefragt, Ordnung ins Wirrwarr zu bringen und zur Erfüllung von Compliance-Kriterien beizutragen.

Und mit den neuen Aufgaben werden auch neue Ansprüche an IT-Kräfte gestellt. Neben den fachlichen Qualifikationen gewinnen Soft-Skills wie Führungsstärke und Durchsetzungskraft an Bedeutung. Aber auch das nötige Handwerkszeug muss im Unternehmen bereitgestellt werden, damit das IT-Management diesen neuen Aufgabenstellungen gerecht werden kann. Wichtige Voraussetzungen um Sparpotentiale identifizieren zu können, ist eine vollständige Analyse der IT-Infrastruktur. Auch Sicherheitsrisiken im Netzwerk können am schnellsten durch entsprechende Tools aufgedeckt werden.

Das Netzwerk sichtbar machen

Investitionen in Inventarisierungsprogramme machen sich mehrfach bezahlt: Die dynamische Bestandsaufnahme des Unternehmensnetzwerks und aller darin enthaltenen Software- und Hardwarekomponenten durch IT-Asset-Management Lösungen hilft, verschiedene Unternehmensziele umzusetzen. Bevor eine Migration auf ein neues Betriebssystem wie Windows Vista durchgeführt wird, sollte zuerst klar sein, welche Rechner im Netzwerk Vista-fähig sind. Eine manuelle Überprüfung ist ab einer gewissen Unternehmensgröße sehr aufwändig und entsprechend teuer. Ein Asset-Management-Programm hilft, den notwendigen Überblick zu bewahren. Damit lässt sich automatisch überprüfen, welche Komponenten im Netzwerk installiert sind. Wird das Ergebnis der IT-Analyse beispielsweise mit den bestehenden Lizenzverträgen abgeglichen, so lassen sich leicht Über- oder Unterlizenzierungen identifizieren.

Aber eine Audit-Strategie, die nur auf Inventarisierung abzielt, lässt wichtige Aspekte im Bereich Sicherheit offen. Deshalb sind Unternehmen gut beraten Tools einzusetzen, die das Netzwerk fortlaufend überwachen und auch zusätzliche Informationen über Schadprogramme und andere Sicherheitsrisiken, wie ungepatchte Programme, berücksichtigen. Zum Beispiel sollte eine Lösung den Administrator benachrichtigen, sobald neue oder bisher nicht bekannte IT-Komponenten im Netzwerk auftauchen. So kann das IT-Team entsprechende Gegenmaßnahmen treffen und eventuelle Sicherheitslücken schließen.

Netzwerk vor unautorisiertem Zugriff schützen

Nichts fürchten Unternehmen in Bezug auf Datensicherheit mittlerweile so sehr, wie mobile Speichergeräte. Unauffällig und schnell können mit USB-Sticks oder PDAs große Datenmengen kopiert und mitgenommen werden. Einige Unternehmen haben zur Lösung des Problems zu einer drastischen Maßnahme gegriffen und die USB-Ports mit Kleber unbrauchbar gemacht. Unumstritten ist, dass diese Art von Lösung nicht an den modernen mobilen Alltag der Unternehmenskommunikation angepasst ist und wenig Flexibilität ermöglicht. Mit Endpoint-Sicherheits-Lösungen lassen sich Richtlinien im Umgang mit mobilen Speichermedien zentral verwalten.

Die Unternehmensführung entscheidet darüber, wer mit welchen Geräten auf das Netzwerk zugreifen darf und wer nicht. Bevor ein Unternehmen diese Maßnahmen zum Umgang mit mobilen Speichermedien einführt, sollte sich die Geschäftsführung allerdings darüber informieren, zu welchen Zwecken die Mitarbeiter mobile Geräte benötigen. Wer ist oft unterwegs bei Kunden? Wer arbeitet oft von zu Hause aus? Ein Sales Manager benötigt beispielsweise Zugriff auf die USB-Schnittstelle, weil er unterwegs Präsentationsunterlagen benötigt. Für einen Mitarbeiter in der Buchhaltung ist diese Option wahrscheinlich weniger relevant, da er weniger auf Dienstreisen ist.

Durch die Berücksichtigung der individuellen Positionen und Aufgaben kann das Unternehmen unterschiedliche Profile herauszufiltern und zwischen Zugriffsverweigerung und Zugriffserlaubnis, zeitlich begrenztem Zugriff oder Zugriff mit bestimmten Geräten unterscheiden. Unautorisierte Personen oder Geräte werden von der Software geblockt, sobald sie versuchen auf das Unternehmensnetzwerk zuzugreifen und der Vorgang wird dem IT-Administrator gemeldet. Das sorgt für ein hohes Maß an Kontrolle aller USB-, Bluetooth oder WLAN-Schnittstellen im Netzwerk. Durch eine automatische Verschlüsselung aller Daten, die auf mobilen Geräten gespeichert werden, sorgt eine solche Lösung für noch mehr Sicherheit. Sollte das Gerät anschließend verloren gehen, können Dritte die Daten nicht einsehen.

Fazit

Die erfolgreiche Umsetzung des IT-Governance Konzepts ist an mehrere Erfolgsfaktoren geknüpft. Daten aus dynamischen Bestandsaufnahmen der IT-Infrastruktur helfen bei der Umsetzung verschiedener Unternehmensziele, beispielsweise der Optimierung des Lizenzmanagements oder einer Sicherheitsanalyse. Ob ein Unternehmen die Compliance-Kriterien im Bereich IT-Sicherheit erfüllt, hängt zum einen von den Sicherheitsrichtlinien sowie deren Kontrolle und Verwaltung ab. Der Umgang mit mobilen Speichermedien lässt sich durch Endpoint-Sicherheits-Lösungen leicht und ohne großen administrativen Aufwand zentral verwalten. So kann die Unternehmensführung festlegen, wer mit mobilen Speichermedien auf das Unternehmensnetzwerk zugreifen kann.