Inhouse – Hosting – Cloud? 8 Kernfragen für mehr Klarheit
Wenn ich mit Kunden und Geschäftspartnern zum Thema Cloud Computing oder Hosting ins Gespräch komme, dann höre ich oft denselben Satz.
„Unsere IT ist so komplex, das kann ich nicht alles auslagern.“
Meine Antwort darauf ist ganz einfach. „Müssen Sie gar nicht.“
Viel mehr frage ich dann nach den businesskritischen Services. Diese sind noch schnell aufgelistet. Wenn es aber darum geht, wie lange der Betrieb ohne diese Services aufrechterhalten werden kann, schaue ich oft in fragende Gesichter. Genau gleich verhält es sich, wenn ich frage:
„Wann haben Sie das letzte Mal Daten wieder hergestellt und getestet?“
„Wann haben Sie das letzte Mal einen Sicherheits-Audit durchgeführt?“
Eines vorweg: Eine Lösung die alles kann, nichts kostet, hoch flexibel ist und am besten noch die Geburtstagsgeschenke für die Mitarbeiter organisiert, gibt es nicht. Zudem muss die Lösung, die jetzt genau richtig für Sie ist, in einem Jahr bereits wieder angepasst werden. Zu rasch ändern sich der Markt, die Kundenbedürfnisse, gesetzliche Grundlagen, Software, Lösungen sowie Ihre Positionierung am Markt.
Es gibt zahlreiche Artikel die Ihnen die Pro und Kontras der verschiedenen Möglichkeiten aufzeigen. Sie müssen sich aber mit den zu Grunde liegenden Fragen auseinandersetzen. Gehen Sie die untenstehenden Fragen für Ihr Unternehmen durch. Sind alle Punkte in Ihrem Unternehmen gedeckt? Gibt es noch ungeklärte Fragen? Womöglich sind noch mehr Fragen aufgetaucht. Setzen Sie sich mit Ihrem Betreuer des Vertrauens zusammen. Neue Ansichten und Ideen können auch mal durch einen Drittanbieter einfliessen.
1. Welches sind Ihre businesskritischen Prozesse?
Definieren Sie Ihre Prozesse, die für das Unternehmen kritisch sind. Das sind meist Kernprozesse, die täglich zur Verfügung stehen müssen. Prozesse, mit denen Sie Ihr Geld verdienen und meist keinen Aufschub dulden können. Als nächstes fragen Sie sich: Wie sind diese Prozesse abgesichert mit der bestehenden Infrastruktur?
2. Wie lange funktioniert Ihre Firma ohne ICT?
Stellen Sie sich das Worst Case Szenario vor: Ihre ICT Infrastruktur fällt komplett aus. Wie lange können Sie den Betrieb aufrechterhalten? Was sind für Notfallpläne vorhanden um die wichtigsten Prozesse abzusichern?
3. Wer ist verantwortlich für Ihre ICT?
Je wichtiger Ihre ICT für Ihr Unternehmen ist, desto wichtiger wird die Stelle, die für die ICT verantwortlich ist. Prüfen Sie diese auf Kompetenz, Stellvertretung, Ausbildungsstand. Lassen Sie auch die Personalentwicklung nicht ausser Acht und sichern Sie das Wissen schriftlich.
Arbeiten Ihre Mitarbeiter von extern oder müssen Sie Informationen mit Ihren Kunden und Lieferanten austauschen? Wie sind Ihre Schnittstellen zum Internet gesichert? Sind Ihre Sicherheitsvorkehrungen ausreichend?
5. Was fordern Ihre Kunden von Ihnen?
Oft erlebe ich, dass der Sicht der Kunden zu wenig Beachtung geschenkt wird. Haben Sie sich schon mal gefragt, was die Anforderungen Ihrer Kunden sind? Oder Ihre Verantwortung den Kunden gegenüber? Legen Sie fest, welche Prozesse und ICT Komponenten notwendig sind, um die vertraglichen Bedingungen einzuhalten, welche Sie mit den Kunden definiert haben.
6. Was sind Ihre gesetzlichen Anforderungen?
Gibt es gesetzliche Anforderungen? Beispielsweise Aufbewahrungsfristen der Kommunikation mit Geschäftspartnern die Sie einhalten müssen. Das können Rechnungen, E-Mails, Briefe, Telefonate usw. sein. Können Sie diese erfüllen und stellen Sie auch sicher, dass diese nach Ablauf auch wieder gelöscht werden?
7. Physische Sicherheit
Nebst der Informationssicherheit gibt es auch die physische Sicherheit Ihrer Infrastruktur. Haben Sie die Möglichkeit, Ihre Infrastruktur nach aktuellen Standards zu sichern? Dazu zählen Serverraum, Klimaanlage, physischer Schutz gegen unbefugten Zutritt. Je nach Antwort bei den oben genannten Fragen müssen Sie auch hier eine Redundanz einplanen und unterhalten.
8. Gibt es Anforderungen an die Verfügbarkeit?
Was sind die Anforderung an die Verfügbarkeit Ihrer Kernprozesse und somit Ihrer ICT? Fragen Sie die Geschäftsleitung, was Sie für Anforderungen an die Verfügbarkeit haben. Eine Verfügbarkeit von 7×24 oder reicht auch 5×9? Was dulden Sie für Ausfallzeiten und Wiederherstellungszeiten? Oder müssen die Services in Gruppen aufgeteilt werden? Danach können Sie der Geschäftsleitung aufzeigen, was das kostet.
Die ICT wird immer wichtiger, komplexer und aufgrund der vielen Abhängigkeiten auch anfälliger für Störungen. Je wichtiger und komplexer Ihre ICT ist, desto stärker kann Sie ein Vorfall treffen. Desto höher ist auch das unternehmerische Risiko. Erinnern Sie sich an den WannaCry Virus, welcher Grosskonzerne (UPS, Enron, Shell, DB usw.) teilweise für mehrere Tage lahmgelegt hat? Auf den Punkt gebracht, wurden bei diesem Fall wichtige Windows Updates nicht eingespielt.
Das Wichtigste zum Schluss:
- Übernehmen Sie die obigen Fragen in Ihr Risikomanagement.
- Involvieren Sie Ihre ICT in die Verantwortung gegenüber allen Stakeholders.
- Haben Sie einen Notfallplan in der Schublade! Ausgedruckt! Aktuell!
- Überprüfen Sie regelmässig Ihre Massnahmen auf Wirksamkeit.
Zeit für ein Gespräch? Rufen Sie mich unter +41 71 221 12 27 an oder schreiben Sie mir ein E-Mail unter raffaele.sorra@egeli.com. Gerne können wir Ihre Ausgangslage anschauen und ich erkläre Ihnen mögliche Szenarien, die genau auf Ihr Unternehmen passen.
