Rollenspiele

Bisherige „Gastspiele“

Je nach Job, Verantwortungsbereich oder Projekt ist es notwendig eine Rolle einzunehmen, die mit bestimmten Rechten und Pflichten ausgestattet ist.

Ebenso fordern Zertifizierungen, wie die DIN 9001 zum Qualitätsmanagement oder die ISO 27001 zum Informationssichereits Management, die zwingende Besetzung von definierten Rollen. Und zu allem Überfluss hat auch noch ITIL, die IT Infrastruktur Library, ihre Daseinsberechtigung.
Leider werden daher einige Begrifflichkeiten nicht einheitlich genutzt, so dass es bei der Beschreibung durchaus zu Überschneidungen kommen kann.

CISO-Cief Information Security Officer

Als Cief Information Security Officer CISO bzw. Informationssicherheitsbeauftragter ISB im Bereich Informationssicherheit nimmt man eine wichtige Position im Unternehmen wahr, ähnlich dem Datenschutzbeauftragten.

Es muss eine zentrale Stelle geben, die die Informationssicherheit für das gesamte Unternehmen dauerhaft im Blick behält. Werden alle Maßnahmen, die dem Schutz der Unternehmens- und Kundendaten zuzurechnen sind eingesetzt? Ist die Wirksamkeit dieser Maßnahmen nachvollziehbar und messbar? Welche Prozesse und Daten gibt es, die besonders schützenswert sind? Ist sichergestellt, dass bei allen Projekten bezüglich Infrastruktur und Datenverarbeitung der Sicherheitsbeauftragte einbezogen wird? Je früher die Informationssicherheit mit einbezogen wird, desto günstiger können notwendige Maßnahmen umgesetzt werden. Leider steht die schnelle Umsetzung und Implementierung von Lösung im Vordergrund, nicht aber die sichere Verarbeitung von vertraulichen Daten oder den Kronjuwelen eines Unternehmens. Neben der Neuplanung muss der CISO darauf achten, dass alle umgesetzten Maßnahmen dauerhaft betrieben werden.

Vorfälle müssen rechtzeitig erkannt werden können, ebenso wie Anomalien. Die aktuelle Bedrohungslage kann beim Bundesamt für Sicherheit in der Informationstechnik BSI, aber auch der Allianz für Cybersicherheit nachvollzogen und darauf reagiert werden. Bei Vorfällen und Anomalien muss der CISO/ISB umgehend benachrichtigt werden. Er entscheidet dann über das weitere Vorgehen, die Abschaltung von Systemen, die Hinzuziehung externer Berater, wie die Consultants einer Cyberversicherung. Wie soll bei einem Verschlüsselungtrojaner vorgegangen werden, der das Unternehmen erreicht hat? Die Systeme ausschalten oder lediglich die Netzwerkverbindung trennen? Wurde der schnellen Restore betroffener Daten im Backupkonzept berücksichtigt

Eine Zertifizierung ISO 27001 stellt sicher, dass sich die Verantwortlichen Gedanken zur Informationssicherheit gemacht haben.

„Mit der Zertifizierung geben wir unseren Kunden ein klares Signal, dass wir als Rechenzentrumsanbieter notwendige Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit implementiert haben und, weitaus wichtiger, in regelmäßigen Abständen überprüfen lassen. Diesen hohen Maßstab können nur wenige Service Provider vorweisen.“

Bernd Leibold, Rechenzentrumsleiter

Der CISO budgetiert die Maßnahmen, die zu treffen sind. Dieser leiten sich auch aus der Risikobetrachtung der ISO 27001 und dem damit verbundenen Risikobehandlungsplan ab. Reverse Proxy, Antivirus, SSL Proxy, Systeme gegen SQL-Injection, PCI/DSS, Portsecurity, Penetrationtest, Mobile Device Policy, Patchmanagemnt, Awareness und so weiter.

Qualitätsmanagementbeauftragter

Damit die Qualität durchgehend gewährleistet ist, die im so genannten Scope der ISO 9001 Zertifizierung angegeben ist, mindestens eingehalten und kontinuierlich verbessert wird, braucht es eine verantwortliche Person. Der Qualitätsmanagementbeauftragte QMB stellt sicher, dass die Kern- und Unterstützungsprozesse definiert und dokumentiert sind. Für Mitarbeiter muss nachvollziehbar sein was in welcher Form zu tun ist. Qualitätsmanagement darf nicht in der Form ausarten, dass Mitarbeiter mit der Einhaltung überfordert sind oder sich in ihrer Arbeit behindert fühlen. Das würde die Akzeptanz massiv beeinträchtigen.

Die Einführung eines betrieblichen Vorschlagswesens ist ein positives Signal an die Mitarbeiter; die Bearbeitung der eingereichten Vorschläge muss aber gemonitort werden, damit es kein Lippenbekenntnis bleibt. Eine Messbarkeit der Qualität muss über Kennzahlen erreicht werden. Dazu gehören auch regelmäßige Kundenzufriedenheitsumfragen. Aber auch die eigenen Mitarbeiter müssen zu Ihrer Zufriedenheit befragt werden. Dies ist übrigens auch ein Indikator für die Loyalität der Mitarbeiter und fließt damit in die Risikobetrachtung der ISO 27001 ein. Aber das nur ergänzend.

Idealer Weise gibt es ein QM-Team, deren Mitglieder unterschiedlichen Unternehmensbereichen angehören. Sie können als Multiplikator das Qualitätsmanagement im Unternehmen vorantreiben. Der Qualitätsmanagementbeauftragte kümmert sich also um die relevanten Themen sowie die Durchführung von Audits, aber auch die Wahrnehmung von Kundenaudits, die immer häufiger gefordert werden. Ein gepflegtes Qualitätsmanagementhandbuch ist ein sehr gutes Mittel, um dem Gegenüber das eigene Bestreben nach Qualität darzustellen und damit auch das externe Audit merklich zu beschleunigen.

„Qualitätsbewusstsein und Prozessoptimierung sind bei uns seit vielen Jahren fest verankert. Die Zertifizierung nach der weltweit anerkannten ISO 9001 macht unseren eigenen Anspruch für unsere Geschäftspartner transparent.“

Bernd Leibold, Niederlassungsleiter und Qualitätsmanagementbeauftragter

Escalation Manager

Trotz guter stabiler und geprüfter Prozesse kann es immer zu unvorhergesehenen Störungen, Ausfällen oder Problemen kommen, die eigenen Betriebsablauf und Serviceerbringung stören oder sich sogar auf die Geschäftsprozesse des Kunden auswirken. Solche Störungen müssen kurzfristig behoben werden. Jede Verzögerung der Entstörung führt zu Vertragsstrafen, kostet Geld, Vertrauen und Reputation. Vertrauen, welches leichtfertig verspielt wurde, ist nur schwer wiederaufzubauen. Eskalationen sind zum Glück selten und daher natürlich eine besondere Stresssituation. Um diese zu reduzieren sollte man den Eskalationsprozess so gut als möglich beschreiben und immer wieder verbessern. Eine Klassifizierung kann bei der Entscheidung helfen, ob eine Eskalation ausgelöst werden muss. Wer informiert welche Kunden über welchen Weg, welche Mitarbeiter sind zur Entstörung hinzuzuziehen. Dieses Team ist vor Nachfragen durch Geschäftsführer und Vorstand zu schützen, damit sie ihre Arbeit nachkommen können. Nichts desto trotz müssen die Informationen zum aktuellen Stand der Eskalation beziehungsweise der Störung durchgängig fließen. Auch die Kunden müssen zu jeder Zeit eine Möglichkeit haben, im eigenen Unternehmen darauf zu reagieren. Wahrscheinlich müssen diese selbst Mitarbeiter und Kunden informieren und so weiter.
Ein Eskalationsmanager darf daher nie in Panik verfallen. Purer Aktionismus ist nicht hilfreich und führt zu unüberlegtem Handeln. Zuerst muss das Problem erkannt und beschrieben sein. Wenn im Zuge des Business Continuity der gestörte Geschäftsprozess beschrieben ist, kommt der Ablauf zur Schaffung des Workarounds zum Tragen. Das Problem Management muss die Störung abschließend beheben. Es versteht sich von selbst, dass der Eskalationsmanager rund um die Uhr für die Mitarbeiter erreichbar ist. Eine Rolle, die nicht jeder übernehmen will…

Datenschutzbeauftragter

Der Datenschutzbeauftragte im Unternehmen kommt immer dann zum Tragen, wenn es um Verarbeitung personenbezogener und besonders schützenswerten Daten kommt. Er muss ein System etablieren, aus dem alle Prozesse erkennbar sind, die solche Daten verarbeiten. Das ist nicht nur im Recruiting der Fall. Oft wissen die am Prozess beteiligten Mitarbeiter nicht im Detail, welche Daten mit welchen Systemen verarbeitet werden und wer darauf Zugriff hat. Nicht selten kommt es vor, dass aufgrund von Problemen und Zeitdruck Daten, ohne das Wissen der Verantwortlichen, durch die Administration auf andere Systeme verschoben werden. Dabei wird wenig auf den Zugriff geachtet, noch diesen Workaround später wieder aufzulösen. So haben Mitarbeiter plötzlich Zugriff auf persönliche Daten wie die Gehaltsabrechnungen oder Bewerberdaten.

Bei vielen Unternehmen, die Digitalisierung leben, liegt der Mehrwert nicht mehr in der Verarbeitung von Daten, sondern in die Daten selbst. Aus ihnen lassen sich neue Services bereitstellen. Gehören diese Daten dem Kunden oder können sie genutzt werden? Was ist in den Verträgen definiert?

Der Druck ist heute hoch, so dass der Datenschutz gerne in den Hintergrund gedrängt wird. Werden alle Mitglieder regelmäßig und in hoher Qualität geschult oder wird dieser Aufwand als notwendiges Übel gesehen? Ist das Vorgehen bei einem Datenschutzvorfall definiert? Wer informiert den Kunden? Ist ein externer Datenschutzbeauftragter mit einzuziehen? In größeren Unternehmen und Firmenverbunden stellt sich die Frage, an welche Datenschutzbehörde der Vorfall zu melden ist. Das ist aufgrund der zeitlichen Vorgaben, die auch die DSGVO vorgibt kritisch zu betrachten. Datenschutz ist ein nach wie vor ein Qualitätsmerkmal für Services, die in Deutschland erbracht werden.

Datenschutz muss keineswegs ein Hemmschuh für Innovationen und neue Services sein.