Dies ist ein Gastbeitrag von Bernhard Reiter von der ISPICO GmbH.
In diesem Beitrag zur Empirischen Geschäftsprozesssteuerung zeige ich anhand eines Praxisbeispiels, wie die Kombination aus agilen Methoden und eines Internen Kontrollsystems die IT-Security effizient erhöhen kann und gleichzeitig Transparenz und Zufriedenheit in der Abteilung schafft. Im konkreten Fall geht es um die IT-Abteilung eines Pharma-Konzerns.
Die IT eines Pharmakonzerns zeichnet sich durch eine enorme Anzahl an internen wie externen Vorschriften aus. Schließlich werden im Pharma-Umfeld hochsensible Daten verarbeitet: Patientendaten, Studienergebnisse und hochkritische Geschäftsgeheimnisse in Form von Forschungs- und Entwicklungsergebnissen, die in der Regel zu Patenten führen sollen. Ein Verlust dieser Daten kann existenzbedrohend sein. In der Praxis werden deshalb die IT-Systeme, sowie Datenbanken und Programme entlang ihrer Kritikalität klassifiziert. Zugleich werden die Entwicklungs- und Betriebsvorschriften in „Standard Operating Procedures“ (SOPs) und Policies zusammengefasst. Die SOPs und Policies behandeln wiederum in der Regel ein Themenfeld (Zugangsberechtigungen, Freigabeprozesse, Dokumentationsanforderungen etc.) und untergliedern sich in Einzelvorschriften, die je nach Kritikalität unterschiedlich scharf ausfallen. Um die Einhaltung zu gewährleisten, werden einerseits zahlreiche Review- und Sign-off-Prozesse installiert und gleichzeitig die Mitarbeiter zu regelmäßigen Schulungen verpflichtet.
Das Problem ist nun Folgendes: Nehmen wir vereinfacht an, dass jeweils zehn SOPs und Policies existieren, jede SOP bzw. Policy fünf Einzelvorschriften umfasst und dass die Applikationen in vier Risikostufen unterteilt werden. Das ergibt 400 Kombinationen, die zielgerichtet angewendet werden müssen. Wenn wir nun weiter annehmen, dass ein Softwareentwickler fünf Applikation unterschiedlicher Kritikalität betreut, wird schnell klar, dass Compliance schwer zu gewährleisten ist. Aus diesem Grund werden in regelmäßigen Abständen interne und externe Audits durchgeführt. In Vorbereitung eines Audits wurden wir nun mit einem Pre-Audit beauftragt, um den Stand der Dinge und, daraus abgeleitet, den Handlungsbedarf für das Management aufzuzeigen.
Wie sind wir vorgegangen? Zunächst haben wir die Einzelvorschriften in Kontrollen zerlegt und entsprechend ihrer Kritikalität klassifiziert. Beispielsweise mussten die Administratorenpasswörter je nach Risikoklasse 3-monatlich, jährlich und nie geändert werden. Und die Passwörter mussten 6, 8 und 16 Zeichen lang sein. Das ergibt in diesem Beispiel nun drei Kontrollen. Anschließend haben wir aus dem Applikationsverzeichnis für jede Anwendung (CMDB) den Verantwortlichen und die Risikoklasse extrahiert. Im nächsten Schritt haben für jede Kontrolle und je Applikation je ein Ticket erstellt. Am Ende hatten wir rund 800 Kontrollen bzw. Tickets. Diese haben wir nun den Verantwortlichen zugewiesen, wobei die Fälligkeiten zur Bearbeitung auf 8 Wochen verteilt wurden. In einem Self-Assessment sollten die Verantwortlichen „ihre“ Applikation auf die Einhaltung überprüfen und das Ticket entsprechend der Ergebnisse schließen. Hierzu wurden von uns 3 Lösungen hinterlegt: „OK“, „Nicht OK“ und „Existierende Ausnahmegenehmigung“.
Was sind die Vorteile? Zunächst wurde der Pre-Audit auf viele Schultern verteilt. Über die Auswertung der Tickets konnte auf Knopfdruck der aktuelle Gesundheitszustand dargestellt werden (Empirische Geschäftsprozesssteuerung). Aus dem Gesundheitszustand konnte zielgerichtet der Handlungsbedarf und in einem zweiten Schritt, der Aufwand zur Beseitigung realistisch geschätzt werden. Des Weiteren wurden die Schritte zur Herstellung der Compliance nachvollziehbar dokumentiert. Den größten Vorteil sehen wir aber in der Zufriedenheit der Mitarbeiter. Die wöchentliche Arbeitsbelastung durch die Compliance-Vorgaben war vertretbar und zudem für das Management transparent. Und letztlich war der Pre-Audit ein riesiger Schulungserfolg. Denn jede Ticketbeschreibung enthielt zu jeder Applikation die dafür gültige Vorschrift. So lernten die Mitarbeiter, verteilt auf mehrere Wochen, am konkreten Beispiel, was es zu beachten gilt.
