A fool is still a fool – also with a (BCM-)Tool? (Teil 2)

Abgelegt in: Antworten

Gilt diese Aussage auch für das BCM? Sicherlich. Ein Tool alleine schafft noch kein angemessenes BCM. Doch wer Methodik und Erfahrung mit einem geeigneten BCM-Tool kombiniert, kann Compliance schaffen, sich die Arbeit erleichtern und in der Notfallbewältigung schneller sein …

… (Teil 1 dieses Artikels erschien am 31. Mai 2012) …

Um mit einem BCM-Tool effizient arbeiten zu können, muss es intuitiv bedienbar und angemessen schlank sein. Für die Erstbefüllung und für die spätere Pflege müssen Daten aus anderen Systemen importiert werden können, z. B. Daten aus dem Telefonverzeichnis und aus dem Risikomanagementsystem und – für den Geschäftsbereich IT-Service – Daten aus dem Asset und Configuration Management. Wesentliches Element beim BCM – wie auch beim IT Service Continuity Management (ITSCM) – ist die Erfassung der Abhängigkeiten z. B. bei Prozessen und Ressourcen sowie untereinander. Dies ermöglicht es zum einen, Notfallbehandlungspläne übergreifend und durchgängig aufzubauen, und zum anderen, im Notfall oder in einer Krise, ja sogar bei Störungen, die Auswirkungen quasi auf Knopfdruck zu erfahren. Dies verbessert die Reaktionsfähigkeit bei Notfällen sowie insbesondere bei Unvorhergesehenem und Krisen.

Die Vererbung von Kritikalitätsklassen von Kerngeschäftsprozessen auf die genutzten Prozesse und Ressourcen erscheint manchem wünschenswert. Zu berücksichtigen ist hierbei, dass Unternehmen zum Zeitpunkt der BCM-Einführung in der Regel bereits existieren und ein Ist-Zustand vorhanden ist. Die Erfassung der realisierten Kontinuitätsklassen bei den unterstützenden Prozessen und Ressourcen ermöglicht somit das Aufzeigen von Abweichungen. Da Kerngeschäftsprozesse zudem zum einen aus unterschiedlich kritischen Teilprozessen bestehen können und zum anderen nicht zwangsläufig alle vom Kerngeschäftsprozess genutzten Assets die gleich hohe Kritikalität besitzen müssen, ist die vererbte Kritikalität – sofern gewünscht – als Information oder erster Vorschlag zu verstehen.

Wichtig ist weiterhin, dass das BCM-Tool strukturierend und vereinheitlichend wirkt. Außerdem muss es im Notfall oder in einer Krise leicht verfügbar sein, indem es beispielsweise mittels eines verschlüsselten USB-Sticks jederzeit und überall auf jedem gängigen PC mit Basiskonfiguration nutzbar ist. Alternativ bieten sich Application-Service-Provider-(ASP-)Lösungen an. Hier gilt es zu berücksichtigen, dass BCM-Daten vertraulich sind. Dies muss ebenso wie die Leistungsfähigkeit und Verfügbarkeit des ASP vom Auftraggeber geprüft und vom ASP sichergestellt werden.

Der BCM-Officer möchte „sein“ BCM im Griff haben. d. h. den Überblick über das unternehmensweite BCM er- und behalten, Vorgaben machen und deren Umsetzung verfolgen können. Gleichzeitig soll die Erfassung und Pflege meist dezentral durch die verantwortlichen Geschäftsbereiche erfolgen. Mit Ausnahme des Geschäftsbereichs IT-Services befinden sich dort – den BCM-Officer eingeschlossen – in der Regel IT-Anwender, die eine einfach und effizient nutz- und pflegbare Anwendung erwarten, für die kein spezifisches IT-Know-how erforderlich ist. Selbst Digital Natives schätzen dies, zumal da sie Applikationskomfort gewohnt sind.

BCM-Vokabular ist diesen Anwendern oftmals fremd, zumal da sie sich nicht täglich mit BCM beschäftigen. Zusätzlich wollen sie branchen- und unternehmenseigenen Sprachgebrauch wiederfinden. Sie sehen BCM eher als nicht vermeidbare Notwendigkeit an, die sie mit geringem Aufwand erledigen möchten, weil sie sie in gewisser Weise bei der Erreichung ihrer anderen geschäftlichen Ziele beeinträchtigt. Ihre BCM-Aufgaben müssen also angemessen schlank und effizient bewältigbar sein. Dies überträgt sich im Besonderen auch auf die Anforderungen an das BCM-Tool. Als weiterer Aspekt kommt hinzu, dass die BCM-Beauftragten der Geschäftsbereiche oftmals wechseln und die Übergabe leicht und zügig vonstattengehen soll.

Der Geschäftsbereich IT-Services tickt anders. Er verfügt über IT-Natives, denen der Umgang mit Anwendungen und IT-Systemen „im Blut liegt“. Wie bei Piloten benötigt der Geschäftsbereich IT für den Aufbau und das geordnete Hochfahren der IT-Systeme Checklisten, damit  – auch in der Anspannung eines Notfalls – alles zügig und geordnet abläuft und an alles gedacht wird. Schon das Nicht-Einspielen des letzten Patch-Levels kann sonst den besten Plan zunichtemachen. Die Anforderungen an die Benutzerfreundlichkeit eines BCM-Tools sind seitens des Geschäftsbereichs IT-Services meist geringer ausgeprägt, so dass die Anforderungen der dezentralen BCM-Beauftragten bei diesem Kriterium den Ausschlag geben. Leicht können Erst- und Nachschulungen für BCM-Beauftragte und deren Stellvertreter sowie Erstschulungen bei Wechsel der Verantwortlichkeit sonst hohe finanzielle Aufwände nach sich ziehen. Eine Klärung im Vorfeld kann sich lohnen.

In seinem Artikel zu BCM-Tools [1] führt Christian Senger in der Zeitschrift kes aus, dass „Tools weiterhin eher auf Großunternehmen und Behörden als auf den Mittelstand“ zielen und identifiziert einen „Trend zum modularen Tool“. Modularität und „Customizing“ sind Optionen, um BCM-Tools an die Anforderungen des Unternehmens anzupassen, allerdings im herstellerseitig vorgegebenen Rahmen. Basiskonfigurierte sowie auch in Zukunft flexibel gestalt- und erweiterbare Tools bilden eine weitere Möglichkeit.

Jedes Unternehmen muss für sich die Entscheidung treffen, welcher Umfang des BCM und des ITSCM wirtschaftlich ist sowie welche Anforderungen k.o.-Kriterien, welche obligatorisch und welche „nice to have“ sind. Größe und Branche sowie Produkte und Leistungen eines Unternehmens spielen hierbei eine wesentliche Rolle. So schön die „honigschwitzende und eierlegende Wollmilchsau“ erscheinen mag: der Pflegeaufwand und die Wirtschaftlichkeit stehen dem oftmals entgegen.

Ein geeignetes BCM-Tool macht die Arbeit des BCM-Officers und der dezentralen BCM-Beauftragten effizienter und transparenter. Es hilft, Compliance nachzuweisen und bei internen und externen Prüfungen Zeit zu sparen, indem Prüfer schneller einen Überblick erhalten und sich zügig durch das BCM-Tool klicken können statt Stapel von Unterlagen anzufordern und sich durch diese aufwändig durchzuarbeiten. Der Beitrag von Christian Senger in der Zeitschrift kes und der vorliegende Beitrag geben Anregungen für Kriterien, die bei der Auswahl eines BCM-Tools eine Rolle spielen. Viel Erfolg dabei.

 

Literatur / Quellen:

[1] Christian Senger, Tools fürs BCM, kes, 1 / 2012

[2] Klaus-Rainer Müller, CIA ist immer dabei, IT Director, 1-2/2012

[3] Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010

Geschrieben von

Als Autor von Fachbüchern und zahlreichen Artikeln bin ich Ihnen – zumindest namentlich – vielleicht bereits bekannt. Doch welche Vita verbirgt sich hinter diesem Namen?
Studium und Promotion machten mich bereits früh mit der IT vertraut. Meine berufliche Laufbahn startete ich im Bereich der Softwareentwicklung und –Spezifikation als Gruppenleiter. Als Ingenieur hatte ich gelernt, dass methodisches Vorgehen ein entscheidender Erfolgsfaktor ist, wenn Fehler vermieden und Aufgaben ohne unnötige Iterationen richtig und effizient gelöst werden sollen. Dies zumal dann, wenn die Aufgabenstellung – wie bei Software – komplex ist. Daher führte ich in meiner damaligen Entwicklergruppe das Software-Engineering ein. In meinem weiteren beruflichen Werdegang stellten sich die gemachten Erfahrungen beim Einstieg in ein internationales Softwarehaus als tragfähige Basis heraus. Zu Entwicklung und Spezifikation von Software kamen Teilprojektleitung, (Krisen-)Projekt-management, Test- und Qualitätsmanagement sowie Beratung und Prüfung, aber auch die Rollen Key Account Manager und Career Manager hinzu.
Bei der ACG Automation Consulting Group GmbH in Frankfurt (www.acg-gmbh.de), einer Unternehmensberatung für Organisation und Informationsverarbeitung, übernahm ich den Fachbereich Qualitäts- und Sicherheitsmanagement. Heute verantworte ich hier das Fach Competence Center Unternehmenssicherheit. Als Senior Management Consultant berate ich das Management zu den Themenfeldern (IT-)Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, IT-Service und IT Service Level Management sowie Sourcing.
Um die genannten Themen effizient, durchgängig und integrativ behandeln zu können, entwickelte ich in meiner Freizeit eine Vorgehensweise, in die meine langjährigen Praxis- und Beratungserfahrungen eingeflossen sind. Diese veröffentlichte ich gegen Ende des letzten Jahr-hunderts ;-). Die Anfrage des Vieweg-Verlags und mein Faible für’s Schreiben führten zur detaillierteren Veröffentlichung dieser Vorgehensweise in Buchform. Leserinnen und Lesern meiner Bücher „IT-Sicherheit mit System“ (4. Auflage, 2011) und „Handbuch Unterneh-menssicherheit“ (2. Auflage, 2010) sind die Sicherheitspyramide bzw. Sicherheitsmanagementpyramide sowie die Kontinuitäts- und die Risiko(management)pyramide bekannt.
Wenngleich diese Managementdisziplinen auch einzeln betrachtet werden können, habe ich sie aufgrund der vielfältigen Abhängigkeiten und zur Steigerung der Effizienz nicht nur im Handbuch Unternehmenssicherheit zusammengeführt. Die ganzheitliche Betrachtungsweise der Unternehmenssicherheit führt darüber hinaus zur Konsolidierung und Integration von Prozessen und Ressourcen unterschiedlicher Organisationseinheiten von der Arbeits-, Betriebs-, IT- und Gebäudesicherheit über BCM und ITSCM bis hin zum Risikomanagement für das Unternehmen und seine IT.
Ein weiteres Ergebnis meiner Autorentätigkeit ist das Buch „IT für Manager“, bei dessen Haupttitel – warum auch immer – inzwischen Verwechslungsgefahr besteht ;-).

0 Responses

Schreibe einen Kommentar