tools - Bites, Bytes and my 5 cents

Weitere Magazine

Empfehlungen

Info

ABWEHRMit Hilfe diese 15 Kategorien kann ermittelt werden, oballe wesentlichen Komponenten einer Unternehmens-IT implementiert sind.Prozessoptimierung mit CMMIDas Prozessreifegradmodell CMMI for Services (CM-MI-SVC) umfasst fünf Reifegrade und einen umfangreichenSatz von unterstützenden Prozessen. InZusammenhang mit der Bewertung kleinerer IT-Umgebungenreichen die beiden ersten Reifegrade aus. Imersten der beiden Reifegrade des CMMI Modells sinddie Ziele und Praktiken eines Prozesses definiert bzw.eingeführt; ein solcher Prozess heißt durchgeführt. Imzweiten Reifegrad ist der Prozess so geführt oder gemanagt,dass er langfristig und auch unter Belastungstabil ablaufen kann. In der Sprache des CMMI Modellsheißt so ein Prozess auch institutionalisiert.Ganz simpel ausgedrückt:• Reifegrad 1 heißt "Es gibt den Prozess."• Reifegrad 2 heißt "Der Prozess ist stabil angelegt."Es hapert manchmal schon an der klaren Definitioneines Prozesses. Aber insbesondere der Übergangvon Reifegrad 1 nach Reifegrad 2 wird in vielenkleineren Unternehmen nicht vollzogen, weilman glaubt, mit der Einrichtung einer IT-Komponenteoder eines Prozesses die Aufgabe abgeschlossenzu haben. Langfristige Stabilität und Zuverlässigkeiterreicht man aber nur durch kontinuierlichesKümmern, managen eben. Keiner kann sich auf seinGlück verlassen, dass Prozesse zufällig jahrelangstabil laufen.Es kommt noch etwas dazu. Dem CMMI Modell folgendhaben Prozesse drei Dimensionen, die auf einanderabgestimmt werden müssen:• Prozessebene: Verfahren und Methoden, die dieAbhängigkeiten zwischen Aufgaben definieren• Technische Ebene: Tools und Ausstattung• Anwenderebene: Kompetentes, geschultes undmotiviertes PersonalDiese Drei werden im CMMI "Die Drei wichtigenDimensionen" genannt. Bei jeder Betrachtung einerIT sollte der Aspekt gegenwärtig sein, dass esnicht nur um Prozessbeschreibungen und geeigneteWerkzeuge geht, sondern auch um die Menschen,die die Werkzeuge einsetzen, die Prozesse führenund optimieren, und die letztlich die Produktivität erzeugen.Das Konzert kann beginnenMit dieser methodischen Dreistimmigkeit kann ein harmonischerIT-Check in vier Sätzen aufgeführt werden. Erbeginnt mit der Vorbereitung und dem Zusammentragenbzw. Bereitstellen von Information über die IT. Es hängtvom bisherigen IT-Management ab, ob das ein langsamerSatz ist oder ob er allegro molto gespielt werdenkann. Es folgen zwei Analyseteile: Die Risikoanalyseund die technische und organisatorische Evaluierung.Das Finale bilden die Auswertung der Ergebnisse unddas Erarbeiten von Handlungsempfehlungen.Für die Risikoanalyse ist es notwendig, die betrieblichenassets des Unternehmens konkret zu benennenund ihre Bedeutung für das Unternehmen sowie mög-Abbildung 3. Ablauf des IT-Checks.2411/2010
Kammerkonzert im Großen Saal – IT Sicherheit für KMUliche Risiken abzuschätzen. Im einfachen Fall gilt fürsämtliche assets eines Unternehmens ein geringer bismittlerer Schutzbedarf. Dann müssen lediglich grundlegendeAnforderungen erfüllt werden, etwa die unternehmerischeSorgfaltspflicht in Bezug auf die Datensicherheit,die gesetzlichen Vorgaben des Datenschutzesund ggf. Vertraulichkeitsvereinbarungen mit Kooperationspartnern.Für den Fall, dass betriebliche assets kritische Bedeutunghaben und deren Verlust oder Offenlegungkatastrophale Folgen für das Unternehmen nach sichziehen kann, sind erweiterte Sicherheitsmaßnahmenerforderlich. Das Gleiche gilt bei besonderen Anforderungenan die Verfügbarkeit an Systeme, z.B. beim Betriebvon Webshops.Im nächsten Teil werden alle oben genannten 15 Kategoriender BSI Grundschutzkataloge durchgearbeitet.Dabei fällt in kleineren Unternehmen die Antwort fürmanche Gebiete vielleicht ganz kurz aus. Zum Beispielbraucht keine explizite Archivierung sämtlicher Datenstattzufinden, wenn alle Daten im LAN verfügbar sindund die Datensicherung gut organisiert ist. Es gilt rechtlichder Grundsatz, Unterlagen "geordnet aufzubewahren"(genau wie für altmodische Aktenordner auch).In jeder der 15 Kategorien können Kriterien des CM-MI Reifegradmodells für einen geführten Prozess angewandtwerden. Wie bereits beschrieben, ist der grundlegendeUnterschied zwischen einem durchgeführtenund einem geführten Prozess der, dass im ersten Falllediglich Prozessziele festgelegt sind und der Prozesseingerichtet wurde, im zweiten Fall außerdem Funktionund "Sinnhaftigkeit" des Prozesses regelmäßig geprüftwerden. Maßnahmen zum Erreichen des Prozessreifegrads2 sind:• Systeme und Einrichtungen gut planen (z.B. mitLeitlinien, Zuweisung von Ressourcen, Aufbau vonKompetenz)• Gute Kommunikation mit Beteiligten (sowohl Anwendernals auch Vorgesetzten der IT-Abteilung)• Prozesse sorgfältig überwachen und regelmäßigbewertenCMMI Reifegrad 1Beim Reifegrad 1 werden Arbeitsabläufe gewöhnlich ad hocund chaotisch durchgeführt. Der Erfolg hängt in solchen Organisationenvon der Kompetenz und dem Engagement derMitarbeiter ab und nicht vom Einsatz eines bewährten Prozesses.Trotz dieses Durcheinanders bringen Organisationenmit dem Reifegrad 1 häufig funktionierende Produkte undDienstleistungen hervor. Allerdings überschreiten sie oft dasBudget und halten ihre Termine nicht ein.Organisationen mit dem Reifegrad 1 zeichnen sich aus durcheine Neigung, sich zu viel zuzumuten, zur Vernachlässigungvon Arbeitsabläufen in Krisenzeiten und die Unfähigkeit, Erfolgezu wiederholen.Es ist die Erfahrung in vielen kleineren Unternehmen,dass dem Management von IT-Prozessen zu wenigAufmerksamkeit geschenkt wird.Der letzte Teil des IT-Checks, die Auswertung, ist derinteressanteste und anspruchsvollste Teil, weil dabei dieZusammenhänge zwischen Unternehmen, Zielsetzung,organisatorischen Vorgaben und den technischen undpersonellen Möglichkeiten hergestellt werden müssen.Den Ergebnissen der Risikoanalyse folgend haben dieverschiedenen IT-Komponenten unterschiedlich großeBedeutung. Instabilitäten oder Unsicherheiten einzelnerProzesse stellen unterschiedlich große Bedrohungenfür das Unternehmen dar. Es müssen vorhandeneMaßnahmen bewertet und ggf. bessere Methodenentwickelt werden. Dafür sind Erfahrung, Überblick undEinschätzungsvermögen nötig, kurz: Da ist Urteilskraftgefragt.Mit diesem IT-Check erhält man so nicht nur einenÜberblick über alle Komponenten der IT, sonderndazu auch eine systematische und objektiveBewertung der Prozesse, nebst praktischen Handlungsempfehlungen,um die Unternehmensrisikenzu vermindern.Es lohnt sich, in dieses Kammerkonzert zu gehen!Im Internet• http://www.kardel-it.de/download.html – Weitere Informationenzur Optimierung von IT-Prozessen in KMU mit Beschreibungeines Auditprogramms und ausführlichemFragenkatalog;• http://www.cert.org/octave/octaves.html – Risikomanagementnach OCTAVE®-S;• https://www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/itgrundschutz_node.html– IT Grundschutz desBundesamtes für Sicherheit in der Informationstechnik;• http://www.sei.cmu.edu/library/abstracts/reports/09tr001.cfm – CMMI Website des SEI: CMMI for Services, Version1.2.DR. DANILO KARDELDer Autor ist freiberuflicher IT-Berater mit Schwerpunkt IT-Sicherheitin kleinen und mittelständischen Unternehmen. Erarbeitet unter anderem im Rahmen regionaler Wirtschaftsförderungsmaßnahmenals Auditor für KMU und als Autor fürdas Fachjournal iX des Heise Verlags.Kontakt mit dem Autor: dk@kardel-it.dehakin9.org/de 25
Seite 4: 11/2010INHALTSVERZEICHNISFÜR EINST
Seite 7 und 8: Passwort Cracking - Angriff- und Ab
Seite 9 und 10: Tabelle 1. Änliche ZahlenBuchstabe
Seite 11 und 12: Auf der Suche nach Einheitlichkeitm
Seite 13 und 14: Einfachsichersurfen.Abstand schafft
Seite 15 und 16: Der neue Personalausweis (nPA) - R
Seite 21 und 22: Kammerkonzert im Großen Saal - IT
Seite 23: 2010www.sigs-datacom.deKontakt: Anj
Seite 29 und 30: Potenzial für De-Mail zur rechtsve
Seite 31 und 32: Minibis. Eine automatisierte Malwar
Seite 39 und 40: 12-11-2010Die IT-Security Community
Seite 41 und 42: RSMangler - Einstieg in Wortlisten
Seite 43: RSMangler - Einstieg in Wortlisten
Seite 46 und 47: die Time-to-market, steigern die Fl
Seite 48 und 49: Recommended CompaniesMabuntaDie mab

tools - Bites, Bytes and my 5 cents

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?