Wie bei alten griechischen Tempeln ist die Auswahl und der Bau von passenden, langfristig belastbaren Säulen von höchster Wichtigkeit für ein verläßliches und strapazierfähiges Design. Analoge und der Moderne entsprechende ähnliche Grundlagen müssen konstruiert werden, um unternehmerische Anforderungen für störungssichere und dauerhafte IT-Lösungen zu erfüllen. In dieser Kompetenz haben wir vier Hauptsäulen identifiziert, die nach unserer Erfahrung Ihre IT-Grundlagen stärken und somit Ihren Geschäftserfolg stützen:
Jeder dieser Bereiche leistet einen nicht zu vernachlässigenden Beitrag zum sicheren, erfolgreichen und effizienten IT-Betrieb.
Weil beispielsweise diese Elemente und Bauteile Ihrer IT-Architektur oder die Informationssicherheit so wichtig für Ihr Unternehmen sind, werden wir oft gebeten, eine Prüfung dieser Komponenten wie bei einem Audit durchzuführen. Das gibt Ihnen innerhalb kurzer Zeit wertvolles Feedback zur aktuellen Situation und zum Verbesserungspotential hinsichtlich des unternehmensspezifischen Aufbaus.
Für uns bedeutet der Begriff IT-Architektur sowohl Management oder anwendungsspezifische Planung, Design und Implementierung von IT-Systemen als auch die Etablierung eines funktionierenden Managements der Unternehmensarchitektur (EAM = Enterprise Architecture Management).
Je nach Dimension und allgemeiner in Ihrer IT-Landschaft vorliegender Struktur analysieren wir verschiedene Elemente dieser Systeme, einschließlich
die alle zu deren Leistungserfüllung beitragen. Diese Aktivität ist die Grundlage einer Definition des Ist-Zustandes und kann nicht nur als Input für Folgeschritte wie EAM sondern auch für sich allein zur Identifizierung von Risiken und Engpässen genutzt werden.
Auf abstrakter Aktionsebene und falls notwendig unter Nutzung der Ergebnisse der Systemanalysen unterstützen wir die Weiterentwicklung Ihres Managements der Unternehmensarchitektur, um die künftige Soll-Landschaft zu erreichen. Dabei konzentrieren wir uns auf diese Hauptaktivitäten:
100% Sicherheit in Informationssystemen zu erreichen ist nicht möglich.
Wenn Sie diese Aussage bei Projektbeginn akzeptieren, arbeiten wir gerne mit Ihnen zusammen, um Ihr Unternehmen diesem unerreichbaren Ziel so nahe wie möglich zu bringen, soweit Ihre Organisation die Auswirkungen der Umsetzung akzeptiert.
In den letzten zwei Jahrzehnten haben wir Revisionen und Analysen für unsere Kunden durchgeführt und die Bereitstellung von Sicherheitslösungen für Informationssysteme entwickelt und unterstützt.
Je nach Bedarf oder vorliegendem Sicherheitszwischenfall haben wir den IT-Sicherheitsteams unserer Kunden auf verschiedenen organisatorischen Ebenen geholfen:
Unsere gesamte Arbeit in dem Bereich Informationssicherheit orientiert sich streng an den weltweit akzeptieren Best-Practice-Standards, unter anderem COSO, COBIT, ISO/IEC 27000 Serie, ITIL, um nur einige zu nennen.
Aus der Perspektive der IT-Grundlagen ist die frühestmögliche Übernahme und „unternehmerische Anerkennung“ gesetzlicher und regulatorischer Regeln für den betrieblichen Arbeitsalltag eine der Hauptantriebskräfte auf dem Weg zu einem betrieblichen IT Reife.
Das beruht auf den beiden systemimmanenten Voraussetzungen für regelkonforme Betriebsführung, nämlich Vorausplanung vor der Ausführung sowie Beachtung von Prozessen.
Unabhängig von einem bestimmten regulierten Bereich bilden
zusammen mit anderen möglichen Aufgaben eine der Hauptstützen für die Weiterentwicklung des Reifegrades des IT-Betriebes.
Unsere Kunden müssen branchenspezifische Compliance-Anforderungen erfüllen, wie beispielsweise pharmazeutische Regelungen oder die der Medizingeräteindustrie sowie mehr allgemeingültige Vorschriften zum Datenschutz und zur Wahrung der Privatsphäre. Beide Arten von Regelungen wirken sich bis tief in das Gefüge von Design und Durchführung von IT-Prozessen aus.
Branchenspezifische Compliance wird in den meisten davon betroffenen Unternehmen schon lange praktiziert, allerdings birgt die Prüfung und mögliche Umstrukturierung Potential für Effizienzsteigerungen aufgrund der neuen risikobasierten Methode des „Good Automated Manufacturing Practice Guide for Validation of Automated Systems in Pharmaceutical Manufacture“, Version 5 (GAMP 5). Da diese Richtlinie die bekannteste Richtlinie der ISPE (International Society for Pharmaceutical Engineering) ist, behandelt sie fast alle Bereiche der Produktion und die Art und Weise, wie Daten in der Produktion und als Folge davon verarbeitet werden.
Regelungen zum Datenschutz und zur Wahrung der Privatsphäre, GDPR (General Data Protection Regulation) der Europäischen Union (EU) wie sie in 2016 verabschiedet und seit Ende Mai 2018 für alle Individuen innerhalb der Europäischen Union implementiert wurden, sind „neue Spielregeln“ auf dem Markt.
Da diese Regelungen auch ohne nationale Gesetzgebung direkt bindend innerhalb der EU und des europäischen Wirtschaftsraumes sind, präsentieren sie eine Fülle von teilweise neuen Konzepten zur Handhabung von Daten und geben Individuen Kontrollrechte bezüglich der Verarbeitung und Speicherung von personenbezogenen Daten. Die daraus entstehenden Anforderungen müssen von IT-Bereichen ebenso erfüllt werden und sie sind von allen weltweit operierenden Unternehmen, die mit Konsumenten aus Ländern der EU Geschäfte tätigen, umzusetzen.
In beiden dieser regulatorischen Domänen schließen unsere in Zusammenarbeit mit unseren Kunden entwickelten Lösungen auch ein:
Idealerweise sollte es für jedes Individuum, das mit elektronischen Systemen interagieren muß, nur eine einzige korrespondierende, elektronische oder digitale Identität geben.
Diese elektronische Identität ermöglicht
und vieles mehr.
In der Praxis kann aber folgendes beobachtet werden:
Kennen Sie das? Aus unserer Erfahrung sind Sie nicht allein. Historisch gewachsene und durchgehend praktizierte Instandhaltung von Datensilos ist eine gängige Vorgehensweise, die fast in jedem Unternehmen zu finden ist. Besonders im Bereich der Verwaltung digitaler Identitäten, also im Kern des IAM (Identity and Access Management), werden die meisten Versuche solche Implementierungen zu durchdenken zwar begonnen, bleiben aber auf dem gleichen technischen Niveau und in besagtem Silo.
Im Gegensatz zu dieser gelebten Praxis ist der Ansatz, IAM von Anfang an als Ziel zu betrachten, welches auf Unternehmensebene abgestimmt werden muß, der einzig erfolgversprechende Weg, um dieses Thema in Bezug auf Anwenderakzeptanz und Informationssicherheit zu meistern.
Bei der Arbeit mit unseren Kunden in diesem Bereich haben wir uns immer darauf konzentriert und unser Engagement damit begonnen, abstrakte Diskussionen von der erforderlichen technischen Implementierungsarbeit zu trennen. Das ist notwendig, um potentielle Barrieren zu vermeiden, die den Prozeß der Lösungsfindung blockieren, noch bevor er begonnen hat.
Diese Methodologie ermöglichte uns zusammen mit unseren Kunden folgende Punkte zu realisieren: