Werbung
Reduce to the max IT Service Management für KMU von Martin Andenmatten Dem Trend in Richtung Cloud kann man sich nicht mehr entziehen. Immer neuere und verlockende Angebote schiessen Tag für Tag aus dem Boden, und die Verkäufer von Cloud-Service-Providern belagern CIOs, um ihre Services anzupreisen. Ob man nur die Infrastruktur als Service bezieht und Plattformen und Anwendungen in einer ausschliesslich privaten Umgebung selber installiert und betreibt, oder ob man die ganzen Lösungen in einem gemeinsam mit anderen Benutzern geteilten Umfeld nutzt, zeigt die schier grenzenlose Bandbreite auf, wie IT heute bereitgestellt werden kann. Was den Unternehmen jedoch nicht abgenommen werden kann, ist das Managen dieser Cloud-Services und die Sicherstellung der Datensicherheit und Einhaltung der Datenschutzbestimmung. kmuRUNDSCHAU // Seite 52 B esser: Ein strategisches Asset sollte besser intern unter Kontrolle gehalten werden. IT Service Management und IT Governance bleiben in den Verantwortungsbereichen der Unternehmen – unabhängig ob gross, mittel oder klein. Zu gross sind die Herausforderungen der IT-Industrie, welche auch vor den kleineren Organisationen nicht haltmachen. Verlässliche ITLeistungen, Sicherheit, Mobilität und Kostendruck sind nicht nur für grosse Organisationen eine Herkulesaufgabe – auch KMUs müssen hier eine gangbare Lösung finden. Für IT Service Management und IT Governance gibt es bewährte Praktiken in Form von umfassenden Leitfäden (ITIL®, 1) COBIT® 2) ), welche in allen Details beschreiben, WAS eine professionelle Organisation alles tun muss, um die IT im Griff zu haben. Nur, diese Frameworks bleiben aufgrund ihres Umfangs für die meisten Organisationen ein Buch mit sieben Siegeln. Viele Organisationen – insbesondere auch grosse – sind daran gescheitert, weil sie vor lauter Prozessen das Business aus den Augen verloren und sich in einem Bürokratielabyrinth verrannt haben. ist Professionalität in der Führung der Service-Lieferketten. Hier haben KMU gewaltige Vorteile gegenüber den grossen Organisationen. Unterschiede zwischen gross und klein Kleinere Organisationen werden oft auf ihre beschränkten finanziellen und personellen Mittel reduziert. Das leuchtet ein und macht klar, dass nicht mit der gleich grossen Kelle angerührt werden kann. Trotzdem bleiben die Herausforderungen hinsichtlich Sicherheit und Qualität ähnlich gross. vermessen, einzelne Service-Management-Disziplinen generell als mehr oder weniger wichtig zu deklarieren. Grundsätzlich sind alle Themen wichtig – sonst wären sie nicht in der IT-Branche als Best-Practice-Ansätze aufgenommen worden. Jedes Unternehmen muss sich seinen Herausforderungen stellen und ist auf eine kundenfokussierte und ordnungsgemässe IT-Dienstleistung angewiesen. Ich habe die wesentlichen Disziplinen in folgende fünf Domänen aufgeteilt: Es gibt aber auch viele Vorteile, welche kleinere Organisationen gegenüber grösseren haben: Agilität und Flexibilität. Während grosse Organisationen geradezu darunter leiden, breitangelegte Abstimmungen mit allen Bereichen des Unternehmens durchführen zu müssen, werden in KMU Entscheide recht pragmatisch und im Türrahmen mit dem CIO gefällt. Grosse Organisationen tendieren zu viel mehr Bürokratie und damit zu lähmenden Abläufen, während kleine Organisationen schlanke und direkte Wege kennen. Die Fünf-plus-eins-Domänen in ITSM In vielen Organisationen macht man nun einen weiten Bogen um diese BestPractice-Ansätze und versucht einen eigenen Weg, um der Sache «IT» Herr zu werden. Dabei sind aber nicht die Frameworks das eigentliche Problem, sondern die Art und Weise, wie versucht wurde, diese Empfehlungen in der eigenen Organisation umzusetzen. IT Governance und IT Service Management stellen das Business und deren Erwartungen an die IT in den Vordergrund – nicht die Prozesse. IT-gestützte Businessergebnisse und Zufriedenheit der Anwender sind die eigentlichen Ziele. IT-Organisationen messen ihre Leistungen hinsichtlich Reaktionszeiten von Störungstickets oder Verfügbarkeit von Systemen in Prozenten. CIOs wundern sich, dass die Ampeln der SLAs Grün anzeigen und er trotzdem unzufriedene Anwender hat. Die IT ist oft zu weit weg von ihrem Business und versucht, mit technokratischen Mitteln die gutgemeinte Qualität zu beweisen, statt sich von den Zielen und Erwartungshaltungen des Business leiten zu lassen. Dabei braucht es wenig, um IT-Services im Sinne des Unternehmens managen zu können. Was es aber braucht, Grössere Organisationen sind schwierig zu führen. Man holt sich Berater und stützt sich mehrfach ab, um ja nicht belangt zu werden; Währenddessen kleinere Organisationen eher auf ihre Kunden und Kollegen in ähnlichem Umfeld hören und sich inspirieren lassen. Kleine Organisationen sind wie ein Dorf – da kennt man sich und weiss, wer wofür zuständig ist. Grosse Organisationen sind wie Städte – sehr unpersönlich und immer wieder überraschend, wer auch noch seine Ideen einbringen möchte. Grosse Organisationen haben also nicht nur Vorteile. Es ist gerade für den Mittelstand wichtig, dass wichtig, dass er seine Vorteile nutzt und und durch mehr Agilität und Flexibilität besser auf die Anforderungen ihres Business reagieren. Das ist im Bereich ITSM besonders wichtig. Die Fünf-plus-eins-Domäne ITSM Welche Themen von ITIL® und COBIT® sind nun wichtig für eine Organisation – welche können weggelassen werden? Diese Frage stellen sich nicht nur die kleinen Organisationen. Auch grosse sind oft nicht in der Lage, alle Themen gleichzeitig zu starten. Es wäre auch Die Fünf-plus-eins-Domänen in ITSM > G overnance: Hier sind die Führungsprinzipien, die Abstimmung mit den Businesszielen sowie die Rollen und Verantwortlichkeiten zwischen dem Business und der IT-Organisation definiert. > Kunden-Domäne: Hier spielen sich alle direkten Kontakte auf Business- und Benutzerebene ab. > Sicherheits-Domäne: Hier geht es um die Einhaltung der Sicherheitsvorschriften und den Schutz der Daten und Services. > Sourcing-Domäne: Bei dieser Domäne dreht sich alles um die Bereitstellung der Ressourcen, sei es intern oder extern oder gar aus der Cloud. > Technologie-Domäne: Letztlich ist die IT immer auch noch Technik, welche immer mehr in der Kontrolle des Endanwenders liegt und gleichzeitig mit den internen Technologie-Architekturen vernetzt werden muss. Die «plus eine» Domäne kümmert sich um Change & Control und soll sich damit um die ordnungsmässige Abwicklung der Änderungen kümmern und die Nachvollziehbarkeit gewährleisten. Ausgabe 4_2015 // Seite 53 Marcom Alle Fünf-plus-eins-Domänen sind für KMU-Verantwortliche wie auch für grosse Organisationen wichtig. Das ITService-Management-System ist das Führungssystem, welches diese Domänen zusammenhält und damit die Basis für mehrwertgenerierende IT-Services bildet. cen und Risiken, insbesondere in der Frage des Sourcing oder Einsatzes von Cloud-Diensten muss mit dem Business aufgebaut und fortlaufend überprüft werden. Ohne diese Klarheit bezüglich Zielen, Zuständigkeiten und Verantwortlichkeiten wird die IT nie ein optimaler Partner für das Business werden. Ich stelle im Folgenden die Fünf-pluseins-Domänen etwas detaillierter vor. 2. Kunden-Domäne 1. Governance IT Service Management ist eine Führungsaufgabe, welche sicherzustellen hat, dass mit den IT Services die Unternehmensstrategie ermöglicht und die Geschäftsprozesse im Tagesgeschäft unterstützt werden. Es ist wichtig zu verstehen, was der Wertbeitrag der IT für das Business ist und wie dieses konkret aus Sicht des Business erlebt werden soll. Das gemeinsame Verständnis dazu und die Abstimmung der Ziele sind wichtige Voraussetzung, damit die IT-Organisationen ihre Prioritäten richtig setzen. Das gemeinsame Verständnis der Chan- Schnittstelle zwischen Business und Service Provider schliessen. Die Kunden-Domäne des ITSM Die Kunden-Domäne des ITSM Es gibt drei Ebenen, bei welchen der Kunde mit der IT-Organisation in Kontakt tritt. Der Benutzer auf der operationellen Ebene im Wesentlichen über den Service-Desk. Der Business-Manager auf der taktischen Ebene über den Service-Katalog und das SLA durch den Business Relationship Manager und den Service Level Manager und letztlich der Geschäftsführer über die strategische Ebene. Insbesondere der Service-Desk, das Incident Management und der Service-Katalog sind zentrale Elemente, um der IT ein Gesicht und eine Sprache zu geben. Wenn diese Schnittstellen zum Kunden gut realisiert und damit als Visitenkarte der IT-Organisation etabliert sind, kann sich hinter dieser Fassade noch sehr viel Chaos verbergen, ohne dass damit das Image der IT leidet. Umgekehrt kann eine noch so gut strukturierte IT-Organisation mit einem lausigen Kunden-Interface nie den Kunden zufriedenstellen. Weitere Optimierungen nach der Umsetzung des Service-Desks und des Service-Katalogs sind im Bereich Service-Request-Modelle und Automatisierung von Bestellabwicklungen anzustreben. kmuRUNDSCHAU // Seite 54 3. Sicherheits-Domäne Sicherheit darf nicht unterschätzt werden. Sie ist nicht mit einem Tool oder mit den restriktiven Verboten von bestimmten Technologien alleine zu gewährleisten. Sicherheit kostet – aber KEINE Sicherheit kostet viel MEHR. Ein CIO handelt schlichtweg fahrlässig, wenn er nicht die notwendigen Schutzmassnahmen einrichtet. Rollenkonzept und ein gut definierter und durchgesetzter Identity & Access Management Prozess, welcher den Zugriff auf vertrauliche Systeme und Daten regelt, sind das absolute Minimum. Privacy – der Schutz der Privatsphäre –, aber auch Cyber Security sind heute die zentralen Themen in der Geschäftswelt. Einfach einen Virenscanner zu installieren genügt heute bei Weitem nicht mehr. Die Angriffe sind viel subtiler und zielen auf die Daten von Unternehmen ab. Auch KMUs brauchen heute hier ein minimales Verständnis dieser Gefahren und müssen sich hinsichtlich wirkungsvoller Abwehr rüsten. Letztlich gehört in diese Domäne auch ein Business Continuity Management sowie ein darauf abgestütztes IT-Service-Continuity-Konzept. Eine einfache, aber mit dem Business durchgeführte ImpactAnalyse zeigt aufschlussreich auf, wie schmerzlich sich der Ausfall oder Verlust von Daten und IT-Services auf das Geschäft auswirken würde. Wir reden hier nicht mehr von einfachen Störungen, sondern von solchen, die sich zur Krise entwickeln und das Unternehmen stilllegen. Der damit hochgerechnete Schaden lässt geeignete Recovery-Massnahmen gut begründen. Marcom IT-Organisationen, welche bereits an der Planung des Business Continuity Management scheitern, planen das Scheitern des Unternehmens im Ernstfall. ten Schatten-ITs ausgesetzt zu sein und die Einhaltung der regulatorischen Pflichten zu gefährden. 5. Technologie-Domäne 4. Sourcing-Domäne Die Kunden-Domäne des ITSM Die letzte und doch auch wichtige Domäne ist die Steuerung aller Veränderungen an IT-Services, Verträgen und Technologien. Die IT ist heute dermassen in die Abwicklung der Business-Prozesse integriert, dass die regulatorischen Anforderungen eins zu eins in der IT umgesetzt werden müssen. Änderungen an den Abläufen und Systemen müssen nachvollziehbar sein, und der CIO ist rechenschaftspflichtig über sämtliche Bewegungen der IT-Assets, Daten und Systeme. Das Change Management ist eine der ersten Hausaufgaben einer jeden, wenn auch noch so kleinen IT-Organisation, welche möglichst früh umgesetzt werden muss. Jedes noch so gut gemeinte «Hey – Joe, mach mal schnell» ist Gift in den Augen der Auditoren und letztlich nicht zu verantworten. Die Kunden-Domäne des ITSM Alles aus einer Hand ist heute eher die Ausnahme als die Regel. Grosse wie auch kleine Organisationen tendieren mehr den je dazu, IT-Leistungen extern zu beziehen. Die Frage nach dem richtigen SourcingModell kann sowohl auf der IT-Entwicklungs- wie auch auf der Servicebereitstellungs-Seite gestellt werden. Gerade jetzt, wo Infrastrukturen, Plattformen und ganze Software-Applikationen als Services aus der Wolke bezogen werden können, ist diese Frage mehr als berechtigt. Dieser Trend wird anhalten. Die IT kann sich diesem Trend nicht entziehen. Der Kostendruck ist schlichtweg zu gross und der Fachkräftemangel zu prägnant, als dass sie mit dem vielfältigen CloudAngebot Schritt halten kann. Auch KMUs müssen hier die Schnittstelle zwischen Business und Service Provider wahrnehmen und als Service Broker sicherstellen, dass Vorgaben und Kontrollen eingehalten und die operative Abhängigkeit minimiert werden. Das Lieferanten-Management sowie die Definition einer mit dem Business abgestimmten Sourcing und Cloud Governance sind zentrale Themen, welche auch ein Mittelständer umsetzen muss, um nicht einem Heer von unkontrollier- Die Technologie ist die Paradedisziplin der IT-Organisationen. Aber immer mehr geht die Kontrolle darüber auf die Endbenutzer über und läuft Gefahr, der ITOrganisation zu entgleiten. Vorbei sind die Zeiten, in welchen die interne IT die Herrschaft und das Wissen über die Technologie gehortet hatte. Die neuen Generationen von Anwendern wachsen mit dem Internet und all seinen Möglichkeiten auf. BYOD, Social Media und Mobilität sind Voraussetzungen, um überhaupt gute Leute in die Unternehmen zu locken. Eine IT-Organisation, welche sich hier unter noch so gut gemeinten Argumenten versucht zu verweigern, wird früher oder später von der Realität überrannt. «Man kann den Regen nicht am Fallen hindern.» Fazit ITSM ist auch für den Mittelstand wichtig. Es empfiehlt sich, sich mit den Frameworks ITIL® und COBIT® vertieft auseinanderzusetzen. Ein erfahrener externer Berater kann hier helfen, den Weg durch den Dschungel zu finden und als Lotse in der Organisation dem CIO den Weg aufzuzeigen. Anmerkung 1) ITIL® ist ein registriertes Trademark der Firma Axelos Limited und gilt als für eine konsistente Umsetzung von IT Service Management. Es vermittelt einen guten Überblick und ein gutes Verständnis über die Zusammenhänge innerhalb einer IT-Organisation. 2) COBIT® ist ein registriertes Trademark der Information Systems Audit and Control Association (ISACA) und ist für die Governance und das Management der Unternehmens-IT. Es stellt Anleitungen und Hilfsmittel zur Gestaltung und Umsetzung von Führungsgrundlagen bereit, mit denen Informationstechnologien und Daten so gesteuert werden können, dass ihr Unternehmen den gewünschten Erfolg und Mehrwert erzielt. Plus eins: Change-Control-Domäne Martin Andenmatten ist Gründer und Geschäftsführer der Glenfis AG. Die Change-Control-Domäne des ITSM www.glenfis.ch Ausgabe 4_2015 // Seite 55