Breakfast Session mit Flexera Brainwaregroup 07.06.2018, 11:03 Uhr

Kostensenkung und Transparenz dank IT-Compliance in der Praxis

Wer seine Assets im Griff hat, schafft eine gute Grundlage für IT-Compliance. Auf was es konkret ankommt, wurde an der Breakfast Session von Experten der Flexera Brainwaregroup in Zürich gezeigt.
(Quelle: Luca Diggelmann / NMGZ )
An der zweiten Computerworld-Breakfast-Session vom 6. Juni ging es um das Thema IT-Compliance. Der Referent Marc Roggli von der Firma flexera brainwaregroup, welche die Breakfast Session ermöglichte, hielt einen Vortrag zum Thema. Er lebe Compliance schon seit 20 Jahren. Zuerst einige Jahre als Kunde und später dann auf der "anderen" Seite als Berater. Wichtig für ihn ist: «Compliance muss umgesetzt werden. Die Grundlagen dafür müssen vorher geschafft werden.»
Sein Referat startet Roggli mit diesem Zitat von Molière: Wir sind nicht nur verantwortlich für das, was wir tun, sondern auch für das, was wir nicht tun.
Danach präsentierte er verschiedene Definitionen von Compliance, was die Komplexität des Themas weiter verdeutlichte. Anhand von Beispielen zeigt er dann, wo einem im Unternehmen überall Compliance begegnen kann. Zu finden ist sie in den Bereichen Geschäftsleitung, Richtlinien, Governance, Standards, Regeln, Prozesse, Transparenz und Gesetz. Zu alle diesen Bereichen machte Roggli konkrete Beispiele. So sollte in den Richtlinien unter anderem bestimmt werden, was die Mitarbeitenden mit dem Firmengerät machen dürfen. Soll es ihnen erlaubt sein, selber Software zu installieren? Als sehr wichtig erachtet der Referent die Transparenz. Sie zeigt auf, welche Assets ein Unternehmen besitzt. An zwei Beispielen zeigte Roggli später, was die Kenntnis der Assets für Auswirkungen – positive aber auch negative - haben kann.

Die zweite Computerworld-Breakfast-Session vom 6. Juni hatte IT-Compliance zum Thema. Hier ein paar Impressionen vom Anlass.

Risiken

Es kommt in Firmen immer wieder zu Compliance-Verstössen. Eine Studie aus Deutschland zeigt erschreckende Zahlen. Bei den Verstössen handelt es sich zu 89 Prozent um Korruption, zu 69 Prozent um Wettbewerbsdelikte, zu 70 Prozent um Veruntreuung und Diebstahl und zu 66 Prozent um Datenschutzverstösse. Roggli nannte das Beispiel einer grossen Schweizer Firma, welche das Problem hatte, dass sehr viel vertrauliche Information auf den verschiedensten Wegen das Unternehmen verliess.

Praxisbeispiele Compliance

Am zwei Praxisbeispielen zeigte Roggli, was gute und auch schlechte Compliance für Auswirkungen haben kann.

Negatives Beispiel Hardware

Im Negativbeispiel ging es um eine grosse Firma, die neue Hardware beschaffen wollte. Die IT-Abteilung gab die Anforderungen an die Hardware vor und schätze, wieviel Hardware ersetzt werden muss. Die Compliance offenbarte dann eine Unsicherheit über die vorhandene Hardware sowie auch Unklarheit über den Status und die Lifecycles der Hardware. Eine Nachforschung durch Flexera-Brainware zeigte, dass aufgrund der mangelnden Asset-Kenntnis 600 Systeme nicht in der Planung berücksichtigt waren. Das hätte nicht geplante Mehrkosten mit sich gebracht und hat schlussendlich dazu geführt, dass die Firma das Vorhaben abbrechen musste.

Positives Beispiel Software

Im positiven Beispiel ging es um die Neuaushandlung eines Software-Lizenzvertrags. Eine Firma hatte 3000 Lizenzen für eine Mindmapsoftware. Es sollte nun herausgefunden, ob man überhaupt so viele Lizenzen benötigt. Die Compliance durch die Firma hat dann gezeigt, dass nur 1800 Exemplare der Software überhaupt installiert worden sind. Weiter wurde ermittelt, dass in den letzten 90 Tagen 1400 Benutzer die Software nicht ausgeführt hatten. Der Compliance Manager der Firma kam schlussendlich zur Erkenntnis, dass bloss 320 Lizenzen wirklich gebraucht werden. Die nicht gebrauchten Lizenzen wurden deinstalliert und die Neuverhandlungen des Lizenzvertrags war erfolgreich. Es wurden jährliche Einsparungen im mittelhohen sechsstelligen Bereich erzielt. Dies weil die Firma durch ihre genauen Assetdaten zeigen konnte, wie viele Lizenzen denn wirklich gebraucht werden.

Fazit aus den Praxisbeispielen

Marc Roggli hat dann aus dem positivem und negativem Praxisbeispiel das folgende Fazit abgeleitet:
  • Compliance benötigt eine umfassende Transparenz auf allen Assets
  • Compliance benötigt Prozesse, damit die Assets korrekt beschafft und verwaltet werden
  • Compliance benötigt Regularien, damit die firmeneigenen Verantwortlichkeiten definiert sind
  • Lat but not least.....Compliance muss auch gelebt werden

Datenschutzgesetz

Die neue EU-Datenschutzverordnung (DSGVO) hat natürlich auch Auswirkungen auf die IT-Compliance. Deshalb ist Roggli aus aktuellen Anlass in seinem Referat auch darauf eingegangen. Seine Firma Flexera-Brainware hat darauf reagiert und unterstützt die DSGVO mittels verschiedener Massnahmen in ihren Produkten. So wird die Sicherheit von personenbezogenen Daten über Berichtigungskonzepte und der Trennung personenbezogener Daten von sonstigen Prozessdaten sichergestellt. Weiter können Änderungen an personenbezogenen Daten über Änderungsprotokolle eingesehen werden, für die separate Berichtigungen erteilt werden können. Ausserdem sind laut Roogli zusätzliche, geeignete technische und organisatorische Massnahmen auch kundenseitig zu treffen. Sein Fazit lautet: Compliance ist Datenschutz! Er empfiehlt Firmen bei Fragen zum Datenschutz im Unternehmen auf spezialisierte Firmen in diesem Bereich zuzugehen.

Findings

Marc Roggli präsentiert seine Findings
Quelle: NMGZ

Am Ende seiner Ausführungen präsentiert Roggli die Findings: «Durch Compliance können Kosten gesenkt werden und die Transparenz erhöht werden.» Danach stellte er sich den diversen Fragen der Teilnehmer an der Computerworld Breakfast Session. Da ging es dann um Themen wie Cloud-Dienste, Bring your own Device sowie Infrastruktur-Provider.
Nächste Computerworld-Breakfast-Session
Streitgespräch zur digitalen Transformation
Bereits am 13. Juni folgt an der Frühstückssitzung von Computerworld ein regelrechter Schlagabtausch zum Thema digitale Transformation. Robert Bornträger, ehemaliger Division-CEO Global IT bei der SIX Group wird mit Ian Wood, Head of Information bei Veritas, rund um Business Transformation, Data Regulation und IT Resilience die Klingen kreuzen. Als Austragungsort wurde der Garden Salon im Zürcher Dolder-Grand-Hotel gewählt. Auch dieser Event ist gratis. Registrierung und weitere Infos finden sich auf www.computerworld.ch/databreakfast.


Das könnte Sie auch interessieren