Thomas Blum, Bodo Glaser. Wie Sie die Informationssicherheit im IT-Einkauf verankern. - Leseprobe -

Transkript

1 Thomas Blum, Bodo Glaser Wie Sie die Informationssicherheit im IT-Einkauf verankern

2 Autoren Blum, Thomas Dipl.-Ing. (FH), freier Berater, Trainer und Coach mit dem Schwerpunkt IT Strategie & IT Einkauf, Blum Management Consulting, Mülheim an der Ruhr. Langjährige Erfahrung im Bereich Business und IT in verantwortlichen Positionen sowohl auf der Kunden- als auch auf der Beratungsseite in nationalen und internationalen Projekten bei Unternehmen im Handel, der Industrie, im ebusiness und im Dienstleistungsbereich. Glaser, Bodo Dr., Dipl.-Kfm., M.A. in Economics, Promotion im Bereich Operations Research. Selbständiger Managementberater mit den Themenschwerpunkten Business Transformation, Business & IT-Effizienz und Risk & Compliance Management, Projekterfahrung u. a. bei der Einführung von Informationssicherheits- und Risiko-Managementsystemen und verantwortliche Begleitung von Maßnahmen zum IT-Risk & Compliance Management sowie zur Zertifizierung nach ISO/IEC Langjährige Erfahrung in internationalen Konzernen mit globaler Führungsverantwortung im Bereich IT-Strategie und Business Alignment, unter anderem für den Aufbau der Prozesse IT-Einkauf, IT-Controlling, Enterprise Contract Management und Enterprise Architecture Management. Übersicht über die Arbeitshilfen einkaufsentscheidungen.xls Das Klammersymbol Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN by TÜV Media GmbH, TÜV Rheinland Group, Vorgehensmodell mit Checklisten für Einkaufsentscheidungen im Text verweist auf die entsprechende Datei im Anhang. TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group. Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen. Gesamtherstellung: TÜV Media GmbH, Köln 2014 Den Inhalt dieses E-Books finden Sie auch in dem Handbuch Information Security Management, TÜV Media GmbH, Köln. Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte und Richtlinien sowie die einschlägige Rechtssprechung.

3 Wie Sie die Informationssicherheit im IT-Einkauf verankern Unternehmenswerte absichern Die Wertschöpfung der Unternehmen hängt heute sehr stark von der eingesetzten IT ab. Die Informationssicherheit hat im Zeitalter des ecommerce und Cloud Computing eine besondere Rolle bei der Sicherung der geschaffenen Werte und zukünftigen Nutzung. Die Einhaltung der Informationssicherheitsanforderungen fängt damit bereits mit dem richtigen Einkauf an. Der Einkäufer hat die Aufgabe, Transparenz in Kosten, Zeit und Risiken entlang des gesamten Lebenszyklus der eingesetzten IT-Produkte und Services herauszuarbeiten. Dabei sind auch die typischen Spannungsfelder wie Preis und Kundenzufriedenheit versus Informationssicherheit aufzulösen und Entscheidungen zu treffen. Der Einkäufer wird als Mittler zwischen den IT-Kunden und den Lieferanten immer mehr zum Navigator und Risikomanager. Der Sicherheitsverantwortliche hat die Aufgabe, den IT- Einkäufer dabei zu unterstützen und zu befähigen. Der Gewinn und die Informationssicherheit liegen also im Einkauf! Arbeitshilfe: Vorgehensmodell mit Checklisten für Einkaufsentscheidungen Autoren: Thomas Blum, Bodo Glaser 1 Nicht nur der Gewinn liegt im Einkauf! Die Wertschöpfung der Unternehmen hängt heute sehr stark von der eingesetzten IT ab. Die Informationssicherheit hat im Zeitalter von ecommerce und Cloud Computing eine besondere Rolle bei der Sicherung der geschaffenen Werte und zukünftigen Nutzung. Die Einhaltung der Sicherheitsanforderungen fängt damit bereits mit dem richtigen Einkauf an. Lieferant ganzheitlich betrachten Der Fokus der Absicherung der Unternehmenswerte durch geeignete Sicherheitsmaßnahmen richtet sich dabei nicht nur auf das eigene Unternehmen, sondern auch auf das Unter- TÜV Media GmbH Seite 1

4 nehmen des Lieferanten mit seinen eingesetzten Produkten und Services (z. B. Informationssicherheit in der Cloud). Entscheidende Frage Einkauf und Lebenszyklus synchronisieren Informationssicherheit im Einkauf verankern Zum anderen werden die Anforderungen der IT-Kunden und das Angebot der Lieferanten mit z. B. Outsourcing-Lösungen immer komplexer und unübersichtlicher. Eine falsche Einkaufsentscheidung kann zu dauerhaften Problemen bei der Anwendung und hohen Folgekosten führen (wie z. B. fehlende Möglichkeiten zur differenzierten Berechtigungskonzeption) oder irreversible Schäden hinterlassen und zum Abschalten von Systemen führen (z. B. kein Schutz vor äußeren Hackerangriffen oder fehlende Vereinbarung zum Monitoring des Intrusion Detection Service). Der IT-Einkäufer wird in seiner Rolle als Mittler zwischen den IT-Kunden und den Lieferanten immer mehr zum Navigator und Risikomanager. Entlang des gesamten Lebenszyklus der eingesetzten IT-Produkte und IT Services hat er dabei die Aufgabe, Transparenz in Kosten, Zeit und Risiken über den gesamten Lebenszyklus herauszustellen. Dabei sind auch die typischen Spannungsfelder wie Preis und Kundenzufriedenheit versus Informationssicherheit zu überwinden. Für welchen Preis können wir die optimale Produktqualität zur Erfüllung der Kundenanforderungen bei wem mit minimalen Risiken und unter Einhaltung der Anforderungen an die Informationssicherheit beschaffen und nutzen?, ist dabei die entscheidende Frage. Die Informationssicherheit wird damit ein wichtiger Aspekt für den IT-Einkauf und ist nachhaltig im Einkauf zu verankern. Dieses E-Book gibt dazu einen Überblick und zeigt beispielhaft das Vorgehen beim IT-Einkauf unter Berücksichtigung der Informationssicherheitsaspekte. TÜV Media GmbH Seite 2

5 Kundenanforderungen und Lieferantenangebote einkaufsentscheidungen.xls Die Abschnitte des E-Books enthalten konkrete Vorgehensweisen mit einzelnen Schritten. Begleitend dazu finden Sie im Text Kontrollfragen zu den einzelnen Schritten. Zu Ihrer Unterstützung finden Sie eine Excel-Anwendung beigefügt, mit der Sie die Antworten zu den Kontrollfragen über entsprechende Checklisten erfassen. Eine detaillierte Anleitung zur Verwendung der einzelnen Checklisten finden Sie dort im Tabellenblatt Anleitung. Eine Übersicht zu den einzelnen Abschnitten des E-Books und den zugehörigen Checklisten finden Sie in der Tabelle 1. Tabelle 1: Übersicht Abschnitte und Checklisten Abschnitt Tabellenblatt in der Excel-Anwendung Tabellenblatt Übersicht Vorgehensweise Tabellenblatt Anleitung 4 Phase 1: Den Markt beobachten Tabellenblatt Phase 1 Marktbeobachtung 5 Phase 2: Bedarfe ermitteln Tabellenblatt Phase 2 Bedarfe ermitteln 6 Phase 3: Leistungen ausschreiben und evaluieren 7 Phase 4: Verhandeln & Vertrag schließen Tabellenblatt Phase 3 Ausschreibung Tabellenblatt Phase 4 Verhandlung Tabellenblatt TCO Tabellenblatt Make or Buy 2 Der Einkäufer als Navigator Die IT-Kunden erwarten heute oftmals einen uneingeschränkten Zugriff auf Unternehmensprozesse und spezifische Daten unabhängig von Zeit, Ort, Raum und Medium TÜV Media GmbH Seite 3

6 (z. B. Zugriff auf Abverkaufszahlen über Smartphones und Internet) unter Berücksichtigung strengster Sicherheitsauflagen. Dem gegenüber steht ein breites Angebot der Lieferanten von IT-Produkten und IT Services vom einfachen Speichern und Zugriff auf Daten bis hin zum Outsourcing von ganzen Geschäftsteilen und Geschäftsprozessen (z. B. Kundenmanagement mit Vertriebsorganisation). Spanungsfeld Preis vs. Sicherheit Spanungsfeld Kundenakzeptanz vs. Sicherheit Zwischen den Anforderungen der IT-Kunden und dem Angebot der Lieferanten entsteht für den Einkäufer ein Spannungsfeld, da zum einen ein günstiger Preis und zum anderen die optimale Informationssicherheit mit Vertraulichkeit, Integrität der Daten, Verfügbarkeit, Verbindlichkeit, Authentizität und Betriebssicherheit gefordert wird. Da die Informationssicherheit für den Kunden oftmals verborgen im Hintergrund abläuft, akzeptiert er in der Regel nicht die Kosten für die Informationssicherheit. Ein weiteres Spannungsfeld für den Einkäufer besteht zwischen der Kundenakzeptanz und der Informationssicherheit. Nicht selten genügen IT-Produkte nicht den geforderten Informationssicherheitsstandards (z. B. fehlende Rollenund Benutzerkonzepte), ermöglichen aber dem IT-Kunden eine einfache Bedienung ohne hohen Aufwand und aufwendige Administration. Aus rechtlicher Sicht kommt für den Einkäufer noch hinzu, dass der Einsatz z. B. von Open-Source-Produkten in den Unternehmen heikel werden kann, wenn nicht entsprechende urheberrechtliche Fragen zur Nutzung der Software zuvor geklärt sind. Die Einführung und Nutzung neuer IT-Produkte und IT Services erfordert eine Übergangszeit (Transition). Während TÜV Media GmbH Seite 4

7 Herausforderungen als Navigator meistern Rahmenbedingungen dieser Übergangszeit werden die bestehenden IT-Produkte und IT Services weiterhin (teilweise) genutzt und damit müssen mehrere IT-Systeme gleichzeitig betrieben und gewartet werden, was zu zusätzlichen Sicherheitsanforderungen führt. Wichtig ist dabei die Frage der Einführungsstrategie während der Übergangszeit zur Migration der Organisation, Prozesse, Daten und Systeme bis zum endgültigen Abschalten der bestehenden Produkte und Services. Der Einsatz neuer IT-Produkte und IT Services erfordert oftmals organisatorische Veränderungen, bei denen auch die Sicherheitsanforderungen zu berücksichtigen sind. Ohne eine entsprechende Ausbildung und Qualifizierung der IT- Kunden und Anwender parallel zur Schulung der Anwender im eigentlichen Gebrauch der IT-Produkte und IT Services können bei der späteren Nutzung Sicherheitsprobleme auftreten (z. B. Vergabe neuer Benutzerrollen mit Berechtigungen). Deshalb sollten die Sicherheitsaspekte der Übergangszeit und der Zielorganisation der späteren Nutzung berücksichtigt werden. Bei der Auswahl der geeigneten IT-Produkte und IT Services für das Unternehmen handelt es sich letztlich um eine Entscheidung mit vielen Unsicherheiten und Unbekannten, bei denen oftmals die Konsequenzen und Auswirkungen nicht unmittelbar sichtbar sind. Der moderne IT-Einkäufer kann diese Herausforderungen in der Rolle als Navigator lösen, wenn die folgenden Rahmenbedingungen geschaffen sind: Die Informationssicherheit ist Teil der Unternehmensstrategie und wird damit zum Teil der Einkaufsstrategie. Der Einkäufer wird als Navigator und Risikomanager bei allen wesentlichen IT-Vorhaben im Unternehmen positioniert. TÜV Media GmbH Seite 5

8 Positionierung des IT-Einkaufs Zur Wahrnehmung der Rolle wird der IT-Einkäufer entsprechend in der Breite und der Tiefe qualifiziert. Die Einkaufsprozesse, von der Marktbeobachtung über die Ausschreibung bis zur Migration und Ablösung von Lieferanten, werden um das Thema Informationssicherheit ergänzt und mit dem Lebenszyklus von IT-Produkten und IT Services synchronisiert. Dem Einkauf werden entsprechende Werkzeuge zur Verfügung gestellt, damit regelmäßig Bewertungen der Lieferanten und ihrer IT-Produkte und IT Services erfolgen (z. B. Reports zu den SLAs) und entsprechende Maßnahmen eingeleitet werden. Ausgestattet mit den erforderlichen Rechten und Pflichten, wird der IT-Einkauf damit ein wichtiger Teil der Informationssicherheit des gesamten Unternehmens. 3 Einordnung der Informationssicherheit in den IT-Einkauf Der Einkauf steht klassisch als Mittler zwischen den Anforderungen der IT-Kunden und den Angeboten der IT-Lieferanten. Wesentliche Themen des IT-Einkaufs sind dabei: Schnittstelle zu den IT-Kunden (Demand Management) bilden und Ansprechpartner des IT Kunden sein. Die internen Vorgaben der Einkaufsorganisation (interne IT Governance und Compliance) umsetzen. Schnittstelle zu den Lieferanten (Lieferantenmanagement) bilden. Die Abbildung 1 enthält eine Übersicht zur Einordnung des IT-Einkaufs zwischen IT-Kunden und Lieferanten. TÜV Media GmbH Seite 6

9 TÜV Media GmbH Seite 7 IT-Kunde Fachliche Anforderungen Schnittstelle zu IT-Kunden (Demand Management) Leistungsportfolio Rahmenverträge für IT-Leistungen Standards und Vorlagen für IT-Produkte und IT Services (inkl. SLAs) Informationssicherheit IT-Einkauf & IT Service Management IT-Einkaufsstrategie und Reporting interne IT Governance Standardisierte IT-Verträge Controlling der IT-Verträge Compliance/Einhaltung Einkaufsrichtlinien Standardisierung der Einkaufs- und Beschaffungsprozesse IT-Service-Management-Prozesse Bereitstellung von Services Service Support Einkauf & Beschaffung 1 Schnittstelle zu den Lieferanten (Lieferantenmanagement) Vertragsmanagement Lizenzmanagement Ausschreibung, Verhandlung und Benchmarks Listung von Lieferanten Lieferantenmanagement Risikomanagement & Compliance-Monitoring Marktbeobachtung Abb. 1: Einordung des IT-Einkaufs zwischen IT-Kunden und Lieferanten Lieferant Lieferantenmanagement Informationssicherheit im IT-Einkauf verankern

10 Starke Änderung der Kundenanforderungen und Marktbedingungen Erweiterung der 6R des Einkaufs Die Anforderungen der IT-Kunden und die Angebote auf dem IT-Markt haben sich in den letzten Jahren durch Themen wie Cloud Computing, ecommerce, Mobile Computing etc. sehr stark verändert und werden ständig durch technologische Innovationen getrieben. Eine klare Trennung zwischen Geschäftsanforderungen und IT-Anforderungen ist oftmals nicht möglich, da die Geschäftsanforderungen kaum mehr unabhängig von der IT betrachtet werden können (z. B. Einführung ecommerce, Einführung eines neuen ERP-Systems). In diesem Zusammenspiel erhält das Thema Informationssicherheit eine übergeordnete Rolle. Die klassischen 6R - Aufgaben des Einkaufs und die erforderlichen Entscheidungen müssen um die Informationssicherheit erweitert werden. Richtiges Material/Richtige Leistung Richtige Qualität Richtige Menge Richtiger Ort Richtige Zeit Richtige Kosten Richtiges Niveau der Informationssicherheit Dies hat unmittelbar Auswirkungen auf die Einkaufsstrategie, die sich aus der Unternehmensstrategie ableitet, wie in Abbildung 2 dargestellt. Dadurch erweitern sich die wesentlichen Entscheidungsfragen des Einkaufs ebenfalls um das Thema Informationssicherheit: Soll der Einkauf zentral und/oder dezentral erfolgen? TÜV Media GmbH Seite 8

11 TÜV Media GmbH Seite 9 wesentliche Entscheidungen des Einkaufs Prozesse Vision, Mission und Unternehmensstrategie Wie können wir Werte schaffen? Einkaufsstrategie Für welchen Preis können wir die optimale Produktqualität zur Erfüllung der Kundenanforderungen bei wem mit minimalen Risiken und mit welchem Sicherheitsniveau beschaffen und einsetzen? zentrale/ dezentrale Beschaffung Subsidiarität Routine/ strategisch Make or Buy Kernkompetenzen Kostenanalyse (TCO) Rolle des Einkaufs Treiber/ Integrator Global/Lokal strategische Beschaffungsprozesse operative Beschaffungsprozesse Wie können wir die geschaffenen Werte sichern? Kosten vs. Sicherheit Abb. 2: Unternehmensstrategie, IT-Einkauf und Informationssicherheit Einkaufsorganisation Informationssicherheitsstrategie Kundenakzeptanz vs. Sicherheit Informationssicherheit im IT-Einkauf verankern

12 Make or Buy der geforderten Leistung? Welche Rolle soll der Einkauf spielen Wie ist der Einkauf organisiert? Welcher Preis zu welchem Sicherheitsniveau? Welche Kundenakzeptanz bei welchem Sicherheitsniveau? Komplexe Vorhaben als Projekt definieren Einkauf und Lebenszyklus synchronisieren Transparenz herstellen Bei den IT-Beschaffungen handelt es sich oftmals um komplexe, aus vielen einzelnen Leistungen bestehende Gewerke und/oder Dienstleistungen (z. B. Lizenzen, Lizenzwartung, Implementierungsleistungen, Services für Betrieb und Wartung), auf die die einzelnen Entscheidungsfragen nur schwer anzuwenden sind. Da es sich bei den Vorhaben oftmals um nicht regelmäßige Investitionen mit einer langen Nutzungsdauer im Unternehmen handelt (z. B. die Einführung eines neuen ERP-Systems, Produktionssysteme etc.), ist eine Standardisierung in einem IT-Produkt- und IT-Service-Portfolio nur begrenzt möglich oder wird wegen des einmaligen Charakters oftmals nicht vorgenommen. Damit haben komplexe Einkaufsvorhaben einen Projektcharakter und sollten auch als Projekt definiert und durchgeführt werden. Die Entscheidung für die richtige Lösung kann nur gefällt werden, wenn der IT-Einkauf den gesamten Lebenszyklus des IT-Produkts und der IT Services betrachtet und begleitet. Die Abbildung 3 zeigt beispielhaft einen Produktlebenszyklus und die parallel dazu verlaufenden Einkaufsprozesse. Der IT-Einkäufer ist einer der wenigen Verantwortlichen, die in fast alle Phasen mit einbezogen werden. Er hat die Aufgabe, Transparenz über Kosten, Zeit und Risiken über den gesamten Produktlebenszyklus herzustellen und vor allem das Thema Informationssicherheit mit zu berücksichtigen. TÜV Media GmbH Seite 10

13 TÜV Media GmbH Seite 11 Produktlebenszyklus Einkaufsprozesse hoch Grad der Einbeziehung gering 1 Idee Markt beobachten Bedarfe ermitteln und bewerten Analyse & Design Leistungen ausschreiben und evaluieren Informationssicherheit Entwicklung & Test verhandeln und Vertrag schließen Einführung Einbeziehung des Einkaufs in den Produkt-Lebenszyklus Abb. 3: Produktlebenszyklus, Einkaufsprozesse und Einbeziehung des Einkaufs Beschaffung durchführen operative Nutzung 6 7 Vertrag umsetzen und leben Migration/ Abschaltung Lieferant/Leistung migrieren Legende: Phase n Phase Informationssicherheit im IT-Einkauf verankern

14 Nur auf dieser Grundlage kann dann eine nachhaltige Einkaufsentscheidung getroffen werden. Einkäufer qualifizieren Zur Wahrnehmung der Rolle des Navigators kommt es letztlich auf den Faktor Mensch an. Neben den spezifischen Einkaufskenntnissen sind für den IT-Einkäufer weitere Kenntnisse, Qualifikationen und Fähigkeiten erforderlich, wie in Abbildung 4 dargestellt. IT Services sind grundsätzlich komplexe Gebilde aus Gewerken, Lizenzen und Services. Neben der initialen Beschaffung erfordern sie eine permanente Steuerung, Weiterentwicklung sowie eine Wartung und einen Betrieb. Entlang dieses Lebenszyklus bestehen unterschiedliche Risiken und Anforderungen an die Informationssicherheit sowie relevante Compliance-Anforderungen. Der IT-Einkäufer benötigt dieses grundlegende und in der Breite angelegte Wissen neben der vertieften Kenntnis der Gestaltung von Vertragsarchitekturen und verschiedenen Vertragsarten (z. B. Projektverträge für die Erstellungsphase, Serviceverträge für die Phase des Betriebs und der Weiterentwicklung, Lizenzverträge). Die nun folgenden Abschnitte zeigen beispielhaft die Umsetzung in den Einkaufsprozessen, Aufgaben und Entscheidungen des IT-Einkäufers. Jeder Phase (1 7) ist dabei ein Hauptabschnitt (4 10) gewidmet. 4 Phase 1: Den Markt beobachten Markt regelmäßig beobachten Das IT-Marktumfeld ist sehr turbulent und entwickelt sich sehr dynamisch (z. B. im Bereich Mobile Computing). Der Einkäufer sollte regelmäßig den Markt und die aktuellen Trends beobachten, denn die Kundenwünsche und -anforde- TÜV Media GmbH Seite 12