IT Security Benchmark – neben Leistungen auch die Kosten vergleichen

Wenn es darum geht die IT-Security eines Unternehmens zu vergleichen und zu prüfen, wird vielfach nur überprüft in wie weit ein Security Standard erfüllt wird oder nicht. Eine Kostenbetrachtung wird nur selten durchgeführt.

Mit unserem IT Security Benchmark vergleichen wir die Kosten und die Leistungen im Bereich IT Security eines Unternehmens mit einer Vergleichsgruppe von Unternehmen.  In einem IT-Security Benchmark können z.B. folgende Bereich gebenchmarkt werden:

Prozessuale und normative IT Security: IS-Governance, Risk Management, Business Continuity
Technisch IT Security: Übergreifende Security-Services, Frontend Security, Backend und Application Security, Netzwerk Security, Application Development Security

Hauptnutzen eines IT Security Benchmarks sind

  • Sie wissen wo Sie stehen mit Ihren Kosten im Vergleich zu anderen Unternehmen
  • Allfälliges Optimierungspotenzial und Stellhebel sind identifiziert

Interessiert? Sprechen Sie mit uns.

Spitäler als Erpressungsopfer

In den vergangenen Wochen berichteten die Medien von den Cyberangriffen auf Spitäler in den USA und Deutschland. Dabei wurden durch Öffnen von Mailanhängen Viren freigesetzt, welche im Hintergrund systematisch sämtliche Dateien mit einem geheimen Schlüssel verschlüsselten und damit für den Spital unlesbar machten. Die Herausgabe zum Entschlüsseln wurde gegen ein Lösegeld von mehreren Millionen Dollar versprochen.

NotfallDiese Angriff Methode wird von kriminellen Organisationen seit längere Zeit bereits eingesetzt und ist bei den Sicherheitsexperten wie auch den Behörden bekannt. Neben vielen privaten Rechnern waren auch ganze Stadtverwaltungen in Deutschland durch den Virus lahmgelegt. Spitäler als Opfer der Erpressung haben der Öffentlichkeit aber bewusst gemacht, dass Leib und Leben eines jeden einzelnen Bürgers durch Cyberangriffe bedroht sein kann.

Durch den grossen Kostendruck im Gesundheitswesen wird hier die Digitalisierung und Automatisierung mit Hochdruck durch modernste Technologie vorangetrieben. Dadurch werden die Prozesse effizienter und Kosten eingespart, was schlussendlich dem Patienten zugutekommt.

Was dabei aber vergessen ging oder vielleicht auch aus Kostengründen gestrichen wurde, ist die Implementierung von begleitenden Sicherheitsmassnahmen. Insbesondere fehlt ein Risikomanagement Prozess, welcher mögliche Bedrohungen und deren Auswirkungen evaluiert und für das Management transparent macht, damit Gegenmassnahmen entwickelt werden können.

Einen 100%igen Schutz gegen solche Cyber Attacken gibt es heute nicht – hier kann den Spitälern kein Vorwurf gemacht werden. Wohl aber kann mit vorsorglicher Notfallplanung der Schaden begrenzt werden und eine möglichst schnelle Rückkehr zum Normalbetrieb ermöglicht werden.

Dabei muss der Fokus auf den gespeicherten Daten und deren Bedeutung für den Spital liegen: wie in der Notfallaufnahme muss auch in der IT-Abteilung eine Triage vorgenommen werden, damit die dringendsten Massnahmen zuerst getan werden und das knappe Geld nicht am falschen Ort investiert wird.

Bevor nun also hektisch teure Technologie eingekauft wird, als Pflaster auf die Wunde, müssen die Basics umgesetzt werden mit Business Continuity- und Risk Management Prozessen, welche sich nicht nur auf Einbruch und Feuer als Bedrohung beziehen, sondern stets aktuell sind und eine Anpassung an die stetig ändernden Bedrohungen erlauben – und dies muss jetzt getan werden!

About

Thomas Hediger, Associate Partner CISA, CRISC Email: hediger@alevo.ch Tel.: +41 56 210 97 22

Kompetenzen IT-Excellence

Im Bereich Information Technology verfügt alevo ag über ein abgestimmtes Set von Kompetenzen vom Strategischen Informationsmanagement bis zum Projektmanagement.

alevo_IT_kompetenzen_2016

 

About

Felix Hug, alevo ag, Managing Partner, Tel. +41 56 210 56 34 Email: hug@alevo.ch

Sind meine Ausgaben für die IT zu hoch?

Sind meine Ausgaben für die IT zu hoch? Wie stehen sie im Verhältnis zu Ausgaben bei anderen Firmen? Wo besteht Optimierungspotenzial und wie sehen dazu die Verbesserungsansätze aus? Die alevo ag verfügt über aktuelle Vergleichszahlen von ca. 250 Firmen aus der Schweiz, Deutschland und Österreich mit ca. 1500 Einzelverträgen und ca. 11’000 Preis/Kostensätzen. Das Benchmarking ist modular aufgebaut und alevo kann das gesamt IT-Leistungsspektrum benchmarken.

Fordern Sie ein Angebot für ein IT-Benchmarking bei uns an. Ein Angebot das sich für Sie schnell rechnet.

About

Ulrich Kistner, Associate Partner Email: kistner@alevo.ch Tel.: +41 56 210 34 58

Produktionsverlagerungen

Wenn eine Verlagerung von Unternehmensteilen an andere Standorte geplant ist, soll dort alles so weiterlaufen wie am alten Standort. Möglichst ohne Unterbrechung.

Mit Alles meint man in der Regel auch die Organisation und IT. Hier hilft die alevo ag mit der  langjährigen Erfahrung ihrer Senior Berater in EU- und weltweiten Projekten und unterstützt bei der Planung und Durchführung der Verlagerung. Wir kümmern uns um die Unsicherheiten, in Bereichen wie Legal, Security, Ausfallsicherheit, Anpassung, SLA, Datentransfer, Support, Berichtswesen, etc., und stehen Ihrem Transfer- /Standortmanager und Umzugsteam kompetent zur Seite.

Sprechen Sie uns an, wir machen Ihnen ein Angebot.

About

Ulrich Kistner, Associate Partner Email: kistner@alevo.ch Tel.: +41 56 210 34 58

Datenverantwortung bleibt beim Dateneigentümer

Hohe Investitionen in IT Security der eigenen Infrastruktur wiegen viele Firmen in falscher Sicherheit.

Um das Risiko eines Schadens zu minimieren muss konsequent eine ganzheitliche Betrachtung mit Fokus auf den Datenfluss durchgeführt werden. Dabei sind alle Zulieferanten und Cloud Services systemübergreifend miteinzubeziehen. Eine klare Abgrenzung und eindeutige Zuordnung der IT-controls sind unumgänglich. Der Schaden und die Verantwortung bei einem Datendiebstahl bleiben nach wie vor beim Dateneigentümer!

Eine externe Überprüfung ihrer Schutzmassnahmen durch erfahrene Spezialisten lohnt sich in jedem Fall!

alevo ag
Thomas Hediger, CISA, CRISC

About

Thomas Hediger, Associate Partner CISA, CRISC Email: hediger@alevo.ch Tel.: +41 56 210 97 22

EU Datenschutzverordnung – Auswirkung auf die Schweiz

Sowohl in der Schweiz als auch in der Europäischen Union und im Europarat sind Bestrebungen im Gange, das Datenschutzrecht an die technologischen und gesellschaftlichen Entwicklungen anzupassen.

Zum einen überarbeitet der Europarat die „Konvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Konvention 108 od. K108), die auch von der Schweiz ratifiziert wurde. Die neue Konvention wird voraussichtlich 2015/2016 verabschiedet und den Vertragsstaaten zur Unterzeichnung vorgelegt.

Parallel dazu rollt die Reform des Datenschutzes in Europa auf ihren Abschluss zu. Das Parlament verabschiedete 2014 seine Änderungsvorschläge und am 24. Juni 2015 starteten offiziell die Trilog-Verhandlungen zwischen Kommission, Rat und Parlament, die bis Ende des Jahres abgeschlossen sein sollen.

Worum geht es?

Die Datenschutz-Grundverordnung (DSGVO) wird die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie) ersetzen. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU- Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten sowie EEA-Staaten (European Economic Area) gelten. Den Mitgliedsstaaten wird es daher nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken

Was heisst das für Schweizer Firmen ?

Die neue Datenschutz Verordnung regelt u.a. den Datenaustausch mit Nicht EU/EEA Staaten wie die Schweiz. Dabei muss die jeweilige Firma mit Sitz in einem Nicht EU/EEA Staat einen adäquaten Schutz der ausgetauschten Daten nachweisen, was faktisch zur 1:1 Übernahme der neuen Verordnung führt. Das schweizerische Datenschutzgesetz (DSG) wird wohl in Kürze entsprechend angepasst werden.

Neben den multinationalen Konzernen und KMU’s geraten auch Kleinstfirmen in den Scope des DSGVO. Als Zulieferant in der Produktionskette, als Provider von IT Dienstleistungen oder als Telecom Unternehmen sind viele Firmen am Datentransfer als Sender bzw. Empfänger beteiligt. Dabei wird zwischen dem „controller“ als Verantwortlicher und dem „processor“ als Auftragsdatenverarbeiter unterschieden.

Teure Folgen bei Verletzung

Die revidierte Konvention 108 wird vorsehen, dass neben gerichtlichen Sanktionen auch Verwaltungssanktionen vorzusehen sind (Art. 10 E-K108). Bislang sind Datenschutzverstösse im Schweizer Recht grundsätzlich nicht mit Bussen geahndet. Es ist davon auszugehen, dass das DSG inskünftig vorsehen wird, dass Bussen in der Höhe von maximal 10 % des Schweizer Umsatzes in den letzten drei Geschäftsjahren ausgesprochen werden können.

Wie kann alevo Sie unterstützen ?

Ein stufenweises Vorgehen hat sich in der Praxis bewährt.

  • In einem 1. Schritt identifizieren wir dringenden Handlungsbedarf mit einem Quick-Assessment
  • Mit einer detaillierten Datenfluss Analyse werden als nächstes Abgrenzungen und mögliche Massnahmen definiert. Dabei führen die Erfahrungen der Berater zu effizienten und pragmatischen Lösungen, welche bestehende Massnahmen integrieren und ergänzen um die Synergien zu nutzen. Ideal ist beispielsweise die Kombination mit einem Management System nach ISO 27001 oder COBIT.
  • Bei der Umsetzung unterstützen wir sie in gewohnt effektiver Weise bei organisatorischen oder technischen Massnahmen. Eine elegante Möglichkeit ist beispielsweise die Pseudonymisierung bzw. Anonymisierung der Daten gemäss Art. 23 der DSGVO.

16.9.2015, Thomas Hediger, CISA, CRISC

About

Thomas Hediger, Associate Partner CISA, CRISC Email: hediger@alevo.ch Tel.: +41 56 210 97 22

IT-Servicekatalog – ein modularer Ansatz im Baukastensystem

Die technische Entwicklung, der Wandel des Umgangs mit der IT („Consumerization of IT“) und der Kostendruck führen zu einer Industrialisierung der IT. Charakterisiert wird dies durch eine hohe Standardisierung und Automatisierung der IT-Services. Eine Vorsetzung für die Industrialisierung ist die Definition der Services und ihrer Elemente in einem Servicekatalog.

Aus unserer Erfahrung wissen wir, dass mit der Einführung eines IT-Servicekataloges verschieden Ziele erreicht werden sollen. Ziele wie

  • Schaffung von Transparenz der Leistungen, Qualität, Mengengerüste und Kosten/Preise der IT-Organisation
  • Standardisierung der IT-Services und der Elemente
  • Ereichung von Flexibilität in der Servicegestaltung durch ein modulares System von Produkten und Elementen
  • Einführen einer nachvollziehbaren, transparenten Leistungsverrechnung
  • Schaffung klarer Verantwortlichkeiten für Services und Produkte als Basis für die Steuerung
  • Benchmarkfähigkeit

IT-Servicemodell

Um diesen Zielen gerecht zu werden, haben wir ein modulares IT-Servicemodell entwickelt, welches auf einem Baukastensystem beruht. Die Charakteristiken dieses Servicemodells sind:Bild 0101

      • Die Dekomposition der Services erfolgt nach anerkannten Service Modelling Ansätzen
      • Die Leistungen der einzelnen Bausteine sind überschneidungsfrei und modular. Die Bausteinstruktur richtet sich an den üblichen Benchmarking-Kategorien aus.
      • Standardleistungen werden in den Bausteinen beschrieben und Servicespezifische Leistungen bei den Services.
      • Das Service-Modell entspricht „best practice“
      • Das Kalkulationsmodell für die IT-Leistungen beruht auf einer, an das Service-Modell angepassten Systematik.
      • Die Preise der einzelnen Bausteine und Services können mittels Benchmark verifiziert werden
      • Für die Definition der einzelnen Bausteine sind Leistungsbeschreibungen vorhanden

alevo Servicemodell 140723Abb 1. Übersicht Servicemodell

Vorgehen

Das Vorgehen für die Einführung eines Servicekataloges und einer Leistungsverechnung erfolgt in 5 Phasen und wird auf die Bedürfnisse des Kunden angepasst.

Vorgehen ServicekatalogAbb. 2 Übersicht Vorgehen

Gerne stellen wir Ihnen unser Servicemodell und unser Vorgehen vor. Nehmen Sie mit uns Kontakt auf.

>> Flyer IT-Servicekatalog

About

Felix Hug, alevo ag, Managing Partner, Tel. +41 56 210 56 34 Email: hug@alevo.ch

Peergroup IT-Benchmarking – Der Benchmark mit Austausch

Beim herkömmlichen Benchmarking wird die eigene Leistung mit „Best Practice“- Kennzahlen auseinem bestehenden Datenpool verglichen. Diese Art des Benchmarks liefert Fakten, die einer optimalen Standortbestimmung der Informatik dienen und auf deren Grundlage IT-Verantwortliche Ihre IT-Services optimieren können. Der Peergroup-Benchmark verfolgt zwar dieselbe Zielsetzung, dies allerdings innerhalb einer individuellen Vergleichsgruppe. Anstelle anonymisierter Vergleichswerte aus einer Datenbank, werden die Vergleichswerte von den teilnehmenden Unternehmen selbst bereitgestellt und alle miteinander verglichen.

Ablauf

Grafik Peergroup IT-Benchmarking v02Der Ablauf eines Peergroup-Benchmarks beginnt mit der Klärung und Abstimmung des Benchmark Umfangs mit den teilnehmenden Unternehmen. Nach dem Kick-off mit den Projektteam Mitgliedern der teilnehmenden Unternehmen, werden mittels Leistungs- und Kosten- Erfassungsbögen, die relevanten Daten innerhalb der Unternehmen ermittelt. Im Rahmen eines oder mehreren Workshops, wird mit jedem Unternehmen individuell die vorausgefüllten Erfassungstabellen besprochen, verifiziert und ergänzt. Damit die teilnehmenden Unternehmen die Benchmarking Ergebnisse besser beurteilen und einschätzen können, haben die teilnehmenden Unternehmen die Möglichkeit ihre Strategien und das Umfeld in den im Benchmark betrachteten Bereichen den anderen Teilnehmern in einem Workshop zu präsentieren. Parallel dazu müssen die erhobenen Daten, untereinander abgestimmt und normiert werden. Ist dies geschehen, kann der eigentliche Benchmark durchgeführt und die Ergebnisse aufbereitet werden. In einer Präsentation werden anschliessend die gewonnen Erkenntnisse aufgezeigt und mit den Teilnehmer diskutiert.

Vorteile

Eine geschätzte Eigenheit des Peergroup IT-Benchmarking zeigt sich besonders darin, dass ein am Peergroup teilnehmendes Unternehmen nicht nur Fakten über die Effektivität ihrer Leistungen und Kosten erhält, sondern die teilnehmenden Unternehmen im Rahmen eines Peergroups die Chance erhalten sich persönlich auszutauschen und zu sehen „wie es andere machen“.

Fragen?

Haben Sie noch eine Frage oder sollten wir Ihr Interesse geweckt haben freuen wir uns darauf, dass Sie mit uns Kontakt aufnehmen!

About

Felix Hug, alevo ag, Managing Partner, Tel. +41 56 210 56 34 Email: hug@alevo.ch

IT-Benchmarking – Basis für die kontinuierliche Service-Verbesserung

Haben Sie auch schon Benchmarks durchgeführt? Wenn ja, waren Sie mit den Benchmarking Ergebnissen zufrieden und konnten die Erkenntnisse aus dem Benchmarking  weiterverwenden?

Damit ein Benchmark ein Erfolg wird, ist vor dem Start genau zu klären, was die Zielsetzungen des Benchmarks sind und wo die Limitationen eines Benchmarks liegen. Wir unterschieden folgende Benchmarking-Typen:

Beschreibung Ergebnisse Einsatz
Business orientiertes IT Kosten BenchmarkingHier werden die tatsächlichen IT-Kosten abgrenzt und „Golfplatz“ Kennzahlen ermittelt, z.B. IT-Kosten zu Umsatz, IT-Kosten je User/Mitarbeiter usw..
  • Tendenzaussage zu den IT-Kosten im brancheninternen Vergleich
  • Indikator für Angemessenheit der Anwenderanforderungen
  • Nur beschränkte Berücksichtigung von Qualitätsstandards, Funktionsumfang und unternehmensspezifischen Besonderheiten

 

  • Kommunikation gegenüber aussen und dem Management
Technisch orientiertes IT Kosten BenchmarkingHier wird das gesamte IT-Leistungsspektrum analysiert und die standardisierbaren Leistungen abgegrenzt. Es werden die effektiven Kosten ermittelt und auf die standardisierbaren Leistungen projiziert Diese werden mit aktuellen Daten von Vergleichsunternehmen verglichen.
  • Position in der Rangliste mit den Vergleichsunternehmen
  • Belastbare Identifikation von Stellhebeln zur Kostenoptimierung mit Potenzialabschätzung
  • Nur Vergleich von standardisierbaren Leistungen
  • Auswahl der Vergleichsunternehmen wichtig

 

  • Basis für Kostenoptimierungsmassnahmen
  • Identifikation von Verbesserungspotenzial
  • Basis für Sourcing Entscheide
IT – Preis Benchmark Hier wird das IT-Leistungsspektrum der zu Benchmarkenden Produkte und Services analysiert. Die dazugehörenden Preise werden erhoben, normalisiert und mit aktuellen Preisen von Vergleichsunternehmen verglichen.
  • Position in der Rangliste mit den Vergleichsunternehmen
  • Belastbare Identifikation von Stellhebeln
  • Nur Vergleich von standardisierbaren Produkten & Services
  • Auswahl der Vergleichsunternehmen wichtig

 

 

  • Basis für die eigene Preisstrategie
  • Wenn die Kunden die Preise als zu teuer empfinden
  • Verifikation der Preise

Sind die Zielsetzungen festgelegt und der Benchmark-Typ bestimmt, verläuft der Benchmark in den meisten Fällen in folgenden Phasen ab:

IT-Benchmark Vorgehen

Damit am Schluss die Qualität der Ergebnisse den Erwartungen entspricht sind zwei kritische Punkte zu beachten:

  1. Bei der Ist-Aufnahme ist sicherzustellen, dass die Kosten oder Preis mit den erfassten Leistungen, Mengen und Service-Level übereinstimmen. Bei einem Kosten-Benchmark zählt es sich aus, dass die Kosten mittels der Kostenträgerrechnung detailliert erhoben werden.
  2. Die Normierung ist mit aller Sorgfalt durchzuführen. Werden hier falsche Parameter festgelegt, stimmen die Ergebnisse nicht.

Je nach Benchmark Typ können die Ergebnisse in z.B. mittels einem Balkendiagramm aufbereitet werden.

Ergebnis IT-Benchmark

Für eine kontinuierliche Verbesserung der Services ist ein Mix aus Kosten und Preis-Benchmarks zu empfehlen. Der Kosten Benchmark als Indikator wie effektiv und effizient die Leistungserstellung erfolgt und der Preis Benchmark als Indikator wie marktgerecht die eigenen Preise sind.

Benchmarking Ergebnisse können aber auch als Input für das Business- IT- Alignement, IT Governance, die Sourcing Strategie oder das Service Management verwendet werden. Zusammengefasst kann gesagt werden, ein zielgerichteter und adäquater Benchmark kann als Analyseinstrument und als Basis für die kontinuierliche Verbesserung und Optimierung  hervorragend eingesetzt werden.

Kontext-IT-Benchmark

About

Felix Hug, alevo ag, Managing Partner, Tel. +41 56 210 56 34 Email: hug@alevo.ch