IT Sicherheitsmanagement – selbst einführen oder einführen lassen?

Neue Themen anzufangen ist beliebig schwierig…da erzähle ich sicher nichts Neues. Die Frage dabei ist, wo ich letztendlich hin möchte.

Bei einer IT Sicherheitsmanagement Einführung ist die Frage: will ich es später selbst betreiben oder betreiben lassen? Also eine Abhängigkeit aufbauen oder autark bleiben. Das ist eine Einstellungssache aber auch eine Frage des Erhalts der Investition in das Thema.

Also gibt es folgende grundsätzliche Optionen:

  • Eigene Mitarbeiter schulen und selbst loslegen lassen
  • Fremdressourcen einkaufen und “Komponenten” bei der Umsetzung zuliefern
  • Einen Coach kaufen und selbst lernen und umsetzen

 

 

Irgendwas in diesem Projekt stimmt nicht…..oder bilde ich mir das nur ein?

Ich kenne das intensive Gefühl, dass irgendwas im meinem Projekt nicht stimmt. Ohne benennbaren Anlass….alle Quality Gates übersprungen …aber trotzdem. Früher habe ich, nach Check der Projektstatus-Unterlagen, mein Gefühl ignoriert. Heute tue ich das nicht mehr. Warum nicht?

Meine Erfahrung hat gezeigt, dass mein Gefühl, das intensive, meistens richtig lag. Vorsehung? Nein – Fakten!

Nachdem ich mittlerweile bei anhaltendem Unruhe-Zustand meinerseits das Projekt an den mir verdächtig erscheinenden Punkten detailliert reviewe und meistens auch etwas konkretes finde, glaube ich an diese Gefühle. Ich halte es für Wahrnehmungen, die wohl unterbewusst gespeichert und verknüpft werden. Und zu diesem “Gefühls-Ergebnis” führen. Da ist mein Unterbewusstsein wohl besser als das Projektmanagement…. Ich lerne daraus für mich, meine PM Tätigkeiten auf die Bereiche der gefunden Probleme zu erweitern, sofern diese eine “Allgemeingültigkeit”  haben und nicht nur Projekt-Besonderheiten sind.

Finde ich es schlimm, dass mein Unterbewusstsein schlauer ist als mein Bewusstsein? Da muss ich noch ‘drüber nachdenken  :-) …….

Elektro-Mobilität……? Ich habe es gewagt!

Kaum zu glauben aber wahr: Seit 3 Wochen besitze ich einen Hybrid-Wagen. Trotz meiner Langstreckenbedürfnisse beruflicher Art glaube ich nun, das geeignete umweltfreundlichere Auto gefunden zu haben: einen Volvo V60 Twin Engine.

Und ich bin begeistert. Mein Dieselverbrauch hat sich um über 2 Liter auf 100 km gesenkt, bei Kurzstrecken fahre ich teilweise ganz elektrisch. Bis jetzt haben wir 37 elektrische km mit einer Ladung geschafft. Da ich, zumindest zu Hause, meinen Strom teilweise selbst produziere, ist das besonders günstig. Als altgedienter Berater werde ich mal den ROI ausrechen, wenn ich mehr Fahrleistung habe.

Und trotz Umweltfreundlichkeit ist es ein schnelles Auto…ich möchte ja nicht länger brauchen als bisher. Perfekt!

Warum ich Recycling liebe….auch für ISO 27001

Manchmal ist es besser und billiger, altes Zeug wieder zu verwenden…ja klar, Flohmarkt Schnäppchen neu lackieren und so auch…..aber auch als Berater bei meinen Kunden hat es einen finanziellen und terminlichen Sinn. Die IT Sicherheit generiert sich aus Transparenz, Risikobewusstsein und Sicherheits-Know-how. Beim Aufbau eines IT Sicherheitsmanagementsystems kann oft viel Transparenz durch “Abstauben”, Konsolidieren und Aufarbeiten vorhandener Informationen gewonnen werden, ohne alles neu zu erfinden.

Systematisches Suchen und Zusammentragen von “Altinformationen” hat einem meiner Kunden mehr als geschätzte 60% der Bestandsaufnahme erspart. Das war angesichts der Meinung meines Kunden, er hätte fast nichts außer einem Systemlandschaftsbild schon erstaunlich. Und wenn man dann noch alte pdf’s in bearbeitbare, erweiterbare Dokumente umwandelt, ist ein grosser Teil der IT Sicherheits-Fleißarbeit schon erledigt. Dann noch ein bisschen Managementsystem und Risikobewertung….fertig! Na ja, ok…nicht ganz aber fast :-)

Produkt-Rückruf – kann ich es oder glaube ich nur ich kann?

Rückrufe von Lebensmittel- Pharma- oder Maschinenchargen sind heute ein Thema, das immer wieder durch die Presse geistert. Das betrifft viele Branchen…und in einigen Branchen kann es über Leben und Tod entscheiden, ob das alles so klappt wie es soll.

Es ist eine gesetzliche Anforderung vieler Branchen, diese Rückrufe möglich zu machen.

Heute werden die meisten Prozesse durch IT Systeme unterstützt, die diese Rückrufe technisch abwickeln müssen. Bei der Einführung der Systeme wird getestet, dass auch Rückrufprozesse sauber laufen und somit vollständig und richtig alle Einheiten dafür selektieren. Und später? Wenn das System x-mal geändert wurde?

Die Frage ist , ob jedes Mal (dokumentiert natürlich!) getestet wurde, wenn in der “Nähe” etwas geändert wurde. Und wer fordert hier zum Testen auf? Gab es keine Aufforderungen, ist wohl irgendwas nicht ausreichend geregelt….oder falsch bewertet…

Die generelle Annahme, dass dafür die QM Truppe zuständig ist, ist schon richtig. Aber die QM Menschen haben oft nur wenig Ahnung davon, was in IT Systemen so vor sich geht und was aus technischer Sicht “in der Nähe” ist. Hätte man ein IT Sicherheitsmanagementsystem, wäre das angesprungen….

IT Sicherheits-Management Systeme, ob nach ISO 27001 zertifiziert oder nicht, helfen, die Risiken unter Kontrolle zu halten. Und auch die Kosten…..man prüft nur dort, wo es prüfenswert ist….nicht überall! Und es gibt neben der Rückruf-Problematik noch andere IT relevante Themen dieser Art.

Durch gesetzliche Verpflichtungen, z.B. EU-Verordnung (EG) Nr. 178/2002, ISO 22000 oder HACCP sind also implizit auch die IT Truppen in einigen Bereichen mit verpflichtet, auch wenn sie nicht so deutlich erwähnt werden!

Also was sagt die IT? Kann ich es oder glaube ich nur ich kann?

Software-Auswahl ohne “Spätfolgen” für den Job

Nachdem ich eine Weile in USA gearbeitet habe, wurde mit noch viel deutlicher als bisher klar, dass meine getroffenen Entscheidungen in fachlichen Dingen mich auch dann den Job kosten könnten, wenn meine Entscheidung zu dieser Zeit für alle Beteiligten die einzig sinnvolle war. Einfach deswegen, weil es meine war.

Natürlich habe ich mir seitdem abgewöhnt, irgendwas zu entscheiden…..nein, natürlich nicht!

Seit dem bereite ich meine Entscheidungen so vor, dass ich sie eigentlich gar nicht mehr treffen muss. Die zusammengetragenen Informationen und deren Bewertung und Gewichtung tun es für mich. Ok, stimmt natürlich so nicht…..die zusammengetragenen Informationen und Gewichtungen belegen meine Entscheidung so klar, dass man mir wenig “Stimmungsmache” für oder gegen irgendwas “ans Bein binden” kann. Und wie mache ich das?

Jede Entscheidungsfindung wird in kleine Teilentscheidungen zerlegt, zu denen es jeweils mehr oder weniger komplexe Bewertungen aller Möglichkeiten gibt. Dann werden diese Teilpakete untereinander gewichtet. Soweit so gut…nichts neues hier. Was ich dabei immer versuche, transparent darzustellen ist der “Nasenfaktor” wie ich es nenne. Also der Punkt oder die Teilentscheidung, in der ich offen meine Subjektivität darstelle. Also sowas wie: “Ich glaube, ich kann super mit dem Lieferanten zusammenarbeiten”. oder ” die Bedienoberflächen finde ich super praktisch, (ohne das ergonomisch oder so belegen zu können)”.Dann könnte eine Entscheidung sich so zusammen setzen:

Lieferantenfragebogen (= Vorqualifikation)                     x % mit y Gewichtung

Software-/Produktfragebogen  (= Vorqualifikation)         x % mit y Gewichtung

ergibt Vorqualifikation                                                   x %

Assessments                                                                   x % mit y Gewichtung

Markt Bewertung                                                             x % mit y Gewichtung

Ggf. „Nasenfaktor“ falls notwendig                                  x % mit y Gewichtung

Preis                                                                                 x % mit y Gewichtung

Vorqualifikation                                                                x % mit y Gewichtung

Gesamtergebnis                                                            x %

Und diese Rechnung mache ich dann einmal mit Nasenfaktor und einmal ohne Nasenfaktor. Ich stelle beide Werte als Basis für meine Entscheidungsfindung dar. Der offene Umgang mit subjektiven Bewertungen verleiht den anderen Faktoren einen objektiveren Charakter. Ob das wirklich so ist oder nur so scheint?

Ich weiss es nicht!

Ich glaube fest daran, dass alle Mitentscheider so bewusst versuchen, die subjektiven Sachen aus den anderen Werten heraus zu halten. Was die Ergebnisse betrifft: ich habe ich damit nur gute Erfahrungen gemacht!

 

Das Land verweigert beim Roll-Out ….was tun?

Die Warenwirtschafts-Systemeinführung ist in der Zentrale geplant worden, der Mini-Pilot wurde “ganz ok” produktiv gesetzt. Das erste “echte” Land war dann schon viel besser. Und nun…..

Ja, nun ist der erste “große” Standort dran. Und dessen Manager, der bisher ein großer Befürworter des Roll-out Projekts war, taktiert sich nun von einer Produktivstart-Terminverschiebung zur nächsten.

Was ist da los?

Ich kann ja nur vermuten, was in anderer Leute Kopf so vorgeht. Also vermute ich mal:

  1. Die Produktivsetzung aller Standort-Teile mit jeweils kompletter Logistik-Kette ist schon eine extrem komplexe Veranstaltung.
  2. Wenn da was schief geht, hat es Konsequenzen.
  3. Also…wäre es ja besser, wenn ich, der Landes-Manager, nicht dafür verantwortlich wäre.
  4. Äußere ich nun weiter ernste “fachliche” Bedenken und verlange Verschiebung, wird ja sicher Jemand aus der Zentrale diese Sache mit einem Termin für mich (gegen meinen “fachlichen” Widerstand natürlich) fixieren.
  5. Dann wird produktiv gesetzt und ich bin nicht für Misserfolge verantwortlich, ich habe ja davor gewarnt.
  6. Der “Zentralist” bekommt den Druck, wenn es klemmt, und ich bin der “Retter”, der den Schaden behebt. Gut für mich.

Wie kommt der Zentralist hinter dem Roll-Out aus der Nummer ‘raus und bekommt die Mitarbeit des Landes so wie man da in so einem Projekt braucht?

Mir fällt da nur eins ein: Dem Landes-Manager die Sache zurück geben, d.h. Bedingungen schaffen, die aus seiner Sicht Zusammenarbeit mit dem Roll-out Team dringend erforderlich machen :

  • Rahmenbedingungen definieren (Budget, Beratungshaus, Umfang, prozess-harmonisierte Inhalts-Verpflichtung)
  • Endzeitpunkt für den Produktivstart setzen (Management-Ansage: “Innerhalb der nächsten 6 Monate hast Du freie Terminauswahl, damit die “fachlichen” Bedenken ohne Hektik ausgeräumt werden können”).
  • Konsequenzen erklären (das wären im extremsten Fall Prämie oder Kündigung zum Endzeitpunkt)
  • Viel, viel Verständnis für die “fachlichen” Probleme zeigen, zusammen arbeiten und abwarten.

Ich denke, sowas könnte funktionieren…..

Online-Shop verursacht Fehlerkosten…das ist sowas von 90iger!

Als routinierter Online-Shopper habe ich gerade mal wieder eine interessante Erfahrung gemacht, die ich bei einer so internationalen Adresse nicht erwartet hätte. Vor allem nicht mehr heute, Ende 2015.

Ich wollte etwas kaufen und mal wieder nicht so weit fahren. Also ab in den Online-Shop!

Ok, es war schon spät und ich war ziemlich müde, also eigentlich nicht unbedingt die besten Bedingungen. Aber ok. Also Warenkorb füllen, mit der Postleitzahl die Versandkosten rechnen lassen und dann an meine Adresse schicken lassen.

Und es kam und kam nichts…..

Meine Nachfrage ergab dann, dass die Waren irgendwo in Fürth einem mir unbekannten Menschen übergeben wurde. Da musste ich dann doch mal schauen, ob ich mich bei der Versandadresse vertan hatte. Ja, ups, hatte ich! Die Postleitzahl war falsch.

Nach langen Klärungen bekam ich dann die Sachen noch. Drei Mails von mir, zwei persönliche Mails vom Online-Shop, ein Anruf vom Shop, noch zwei Wochen Wartezeit und ich hatte meine Waren. Teure Klärungskosten…..tut mir echt leid!

Und warum das alles? Weil ich so müde war, klar….aber das wird sicher keine Ausnahme sein, Fehler machen wir alle.

Der Shop hatte meine richtige Postleitzahl wegen deren Versandkostenberechnung schon bekommen. Und die bei der Adresse eingegebene Postleitzahl hat gar nicht zum Ort gepasst. Und die beiden Postleitzahlen haben sich unterschieden.

Also kann man in diesem Shop wahrscheinlich bestellen und falsche Versandkosten zahlen. Aber das ist nur eine Vermutung. Aber sicher ist, dass ein PLZ-Abgleich mit dem Ort und die zugehörige Warnmeldung mir verschlafenen Frau die richtige Postleitzahl entlockt hätte, ich hatte sie ja gerade für die Versandkostenberechnung eingegeben. Was hätte das gekostet? Na vielleicht 1, 2 Programmiertage und ein Datenbank-Abo für die Länder-Daten. Das hat man ja fast schon bei meiner Problembehandlung verjuxt.

Was glauben Sie, wessen Shop war das?

 

“Kunden-Kultur” in der Beratung

Kunden-Kultur…für mich einer der wichtigsten Einflussfaktoren in meinen Projekten. Warum? Jeder Kunde hat da seine eigenen Gewohnheiten, die sich auf meine Arbeit auswirken:

  • Ein Kunde fällt Entscheidungen in der Fachabteilung, ein anderer nur zusammen mit der Unternehmensleitung
  • Kultur ist auch die Unternehmensstrategie, die “weicher” oder “härter” gefasst sein kann.
  • Dann die Kommunikation – was ist verbindlich und was erst Mal nur vage Absichtserklärung?
  • Wie lange dauern größere Entscheidungen für gewöhnlich?
  • Wie präsent sind Hierarchien im täglichen Projekt-Leben?

Ich könnte hier noch unendlich weiter listen…aber mir ist klar, dass ich erfolglos sein werde, wenn ich das nicht berücksichtige. Und eine hohe Erfolgs-Wahrscheinlichkeit habe, wenn ich mich daran orientiere.

Witziger Weise sogar, wenn kulturelle Änderungen Thema des Projekts sind……sonst kennt man ja den Ausgangspunkt nicht!

 

Ist doch gar nicht so schwer!

Kennen Sie Themen, die Sie lernen wollten und bei denen sich Ihr Gehirn permanent weigert, sie zu verstehen? Obwohl andere Leute (die wahrscheinlich auch nicht schlauer sind als Sie) die Sachen rauf und runter im Schlaf können?

Ich kenne das….für mich ist das das Konzept hinter der Datenversorgung des SAP BW. So, damit habe ich meine absolute Ahnungslosigkeit dazu öffentlich bekannt.

Ich lasse mir bei jeder sich bietenden Gelegenheit erklären, wie das funktioniert, obwohl das weder mit meinem Arbeits- als auch mit meinem Privatleben wirklich was zu tun hat. Dann sehe ich oft diesen Blick, den ich als: “Was hat sie nur, ist doch gar nicht so schwer!” interpretiere. Frustrierend. Jedes Mal.

Was mich diese Sache aber lehrt, außer ein bisschen Bescheidenheit natürlich, ist: Wenn ich versuche, jemand etwas zu erklären, das der Andere nicht so leicht versteht,  denke ich an meine SAP BW Datenversorgungs-Unverständnisse. Das bringt mich dazu, die Erklärung perspektivisch anders neu anzufangen, weil ich ja vielleicht nicht die für den Empfänger optimale Methodik gewählt habe.

Und den Blick, den Blick, den spare ich mir, der Andere ist bestimmt genau so schlau wie ich…….oder schlauer?