Revision und Controlling der IT-Security

Die Arbeit hat zum Ziel, ein Modell für die Sicherheit von Informationssystemen unter spezifischer Berücksichtigung der IT-Risiken, deren Management und der Möglichkeiten ihrer Beherrschung zu entwickeln. Im Mittelpunkt steht der strategische Umgang mit Risiken der Informationsverarbeitung resultierend aus der Ungewissheit der zukünftigen Entwicklung im Umfeld des Unternehmens. Diese Ungewissheit wird auf Basis des entwickelten Modells auf den Planungsebenen für eine geschäftsübergreifende Unternehmensstrategie untersucht. Diese Untersuchungsebenen sind gleichzeitig die Bewertungsdimensionen für die ex-ante Bewertung der IT-Security. Risiken der IT-Sicherheit können den Regelbetrieb massiv gefährden. Der Lösungsansatz der IT-Abteilung basiert darauf, bei der Entwicklung und Optimierung ihrer Systeme den störungsfreien Betrieb sicherzustellen. Neben den technisch-organisatorischen Maßnahmen zur Gewährleistung des störungsfreien Betriebs sind auch die Konzepte zum Umgang mit ITRisiken zwecks Gewährleistung des Regelbetriebs mit größtmöglicher Wertschöpfung bei akzeptablem Risiko von Bedeutung. Entsprechend gehört die Beherrschung von Risiken zu den strategischen Feldern eines Unternehmens und sichert den mittel- und langfristigen Geschäftserfolg. Die Forderung an das IT-Management (zunächst den störungsfreien Betrieb sicherzustellen) st zu erweitern um Potenziale für eine positive Auswirkung auf den Ertrag/Erfolg des Unternehmens. Ein zentraler interner Erfolgsfaktor ist die organisatorische Abwicklung der Geschäftsprozesse, sie bezieht sich auf die mittels geeigneter IT-Projekte umzusetzenden und zu optimierenden Geschäftsprozesse und Geschäftsmodelle des Unternehmens. Die Absicherung der strategischen Nutzenpotenziale soll durch ein adäquates IT-Security-Management erfolgen. Diese wird daran ausgerichtet, worauf geeignete Eskalations- und Risikobewältigungsstrategien sowie ein geeignetes Business Continuity Planning (Notfallplanung/Incident Management) abzielt: auf die Unterstützung/Herstellung der Handlungsbefähigung. Diese Überlegungen führen zu der IT-Security-Sicht auf die Sicherheit eines Systems: Unterstützung der Strategie konformen und IT-Nutzenpotenzial absichernden Gestaltung der organisatorischen Abwicklung der Geschäftsprozesse mit dem Ziel der Unterstützung strategisch-operativer Handlungsspielräume. Um die strategische Sicht zusammen mit der technisch-organisatorischen Sicht in einem Modell zu verknüpfen, werden Konzepte vor allem des Controllings im Zusammenhang mit der IT-Security als Projekt begleitende Aufgabe bei der Risiko-orientierten Analyse, Bewertung und Ausgestaltung der Sicherheit von Informationssystemen untersucht. Die im Kontext der Gestaltung der organisatorischen Abwicklung der Geschäftsprozesse mit dem Ziel der Unterstützung strategischer Handlungsspielräume relevanten Risiken werden gemanagt, indem das strategische Performance Management auf die strategische Planungs- und Lenkungsaufgabe bezüglich des IT-Securityprozesses übertragen wird. Die im technischorganisatorischen Kontext für die IT-Sicherheit von Systemen relevanten Risiken werden gemanagt, indem das operative Performance Management auf die operative Planungs- und Lenkungsaufgabe bezüglich des IT-Securityprozesses (abgeleitet aus der Abstimmung der Unternehmensziele und des IT-Securityprozesses aufeinander) übertragen wird. Das entwickelte Risiko-Controlling wird in dieser Arbeit als "strategisch-operatives" Risiko-Controlling bezeichnet; dadurch soll zum Ausdruck gebracht werden, dass die strategische und die operative Sicht eng miteinander verknüpft werden. Bei dem im Weiteren dargestellten strategisch-operativen IT-Security-Management, welches auf dem strategischoperativen Risiko-Controlling aufsetzt, knüpft der operative Teil an die Phase "Do" des vom strategischen Teil des IT-Security-Managements gesteuerten strategischen IT-Security-Prozesses an, repräsentiert quasi das Operative im Strategischen

Wirtschaftlichkeitsanalyse der automatisierten Verwaltung unstrukturierter Daten im Information Lifecycle Management

Ziel von Information Lifecycle Management (ILM) ist die Klassifizierung und kostengünstige Verwaltung von Informationen. Informationen, auf die in einem Unternehmen oft zugegriffen wird, können von Informationen mit geringerer Zugriffshäufigkeit getrennt und den Unternehmensanforderungen entsprechend auf dem jeweils sinnvollsten Speichermedium bereitgestellt und verwaltet werden. Das rasche Datenwachstum, hohe Speicher-, Administrations- und Betriebskosten sowie zahlreiche rechtliche Anforderungen sind die wesentlichen Gründe für die Entstehung von ILM. Zur Analyse des Kosten- und Nutzenverhältnisses, das bei der Implementierung und Anwendung von ILM entsteht, wird in dieser Arbeit ein Verfahren für die Wirtschaftlichkeitsanalyse zur Verwaltung unstrukturierter Daten im ILM konstruiert, implementiert, demonstriert und evaluiert. Es werden Klassifizierungs-, Verlagerungs- und Kostenfunktionen implementiert, um die Entstehung von Kosten und Kostensenkungspotentialen für verschiedene Nutzungsgrade von Informationen zu simulieren und auszuwerten. Es wird untersucht, welchen Einfluss die automatisierte Klassifizierung und Verwaltung unterschiedlich großer Datenmengen mit variierenden Zugriffshäufigkeiten und Nutzungsgraden auf die Wirtschaftlichkeit des ILM hat. Neben unternehmensinternen Speichermedien wird die Verwaltung von Daten im Cloud Computing in die Betrachtungen einbezogen. Die vorliegende Arbeit liefert eine Literaturanalyse zu den Konzepten ILM und Cloud Computing sowie einen wissenschaftlichen Beitrag dazu, sowohl rechtliche als auch funktionale und technische Anforderungen an ILM und Cloud Computing zu erörtern. Beendet wird die Arbeit durch eine Zusammenfassung sowie eine kritische Würdigung der Ergebnisse. Ein Ausblick gibt Hinweise und Verbesserungsvorschläge hinsichtlich der Wirtschaftlichkeitsanalyse unstrukturierter Daten im Information Lifecycle Management.The aim of Information Lifecycle Management (ILM) is the classification and cost-effective management of information. Highly accessed information should be separated from information with low access rates with the goal to use enterprise storage according to usage and business needs. The rapid growth of information, increasing storage-, administration- and operating costs as well as legal requirements are the main reasons for the emergence of ILM. To analyze the cost-benefit ratio resulting from implementing and running ILM, a method for the economic analysis for managing unstructured data in ILM is designed, implemented, demonstrated and evaluated. The author is implementing classification, displacement and cost functions to simulate the formation of costs and cost reduction potentials for different access rates and lifecycles of information. Automated classification is used for different volumes of data with varying access frequencies and degrees of utilization. Cloud Computing is included in the considerations as a way to store and manage data in addition to internal enterprise storage. The present study provides a literature review on ILM concepts and cloud computing. Legal, functional and technical requirements for ILM and Cloud Computing are discussed. A summary and a critical assessment of the results is finishing the work. A lookout gives hints and suggestions for improving the economic analysis of unstructured data in Information Lifecycle Management

Arbeit in der digitalisierten Welt

Das vorliegende Open-Access-Buch umfasst Beiträge aus 29 Verbundvorhaben sowie dem begleitenden Verbundprojekt „TransWork“. Im Rahmen des Förderschwerpunkts „Arbeit in der digitalisierten Welt“ des Bundesministeriums für Bildung und Forschung wurden in den Projekten Entwicklungen im Transformationsprozess der Arbeitswelt analysiert, Lösungsansätze entwickelt und diese wissenschaftlich begleitet. In den Beiträgen werden Einblicke in die erarbeiteten Erkenntnisse und entwickelten Konzepte der Projekte gegeben. Hieraus lassen sich für Akteure aus Politik und Wirtschaft Handlungsempfehlungen ableiten und es ergeben sich neue Forschungsimpulse für die Wissenschaft

Management von IT-Agilität: Entwicklung eines Kennzahlensystems zur Messung der Agilität von Anwendungslandschaften

Die Veränderungsfähigkeit eines Unternehmens hängt zunehmend von der Veränderungsfähigkeit seiner IT, der IT-Agilität, ab. Eine hohe IT-Agilität kann einen Beitrag zu erhöhter Unternehmens-Agilität leisten und stellt damit eine potenzielle Quelle für nachhaltige Wettbewerbsvorteile dar. Als Basis stellt insbesondere die Anwendungslandschaft eine wertvolle, seltene, nicht substituierbare und schwer imitierbare Ressource dar. Anhand von Prinzipien zur Gestaltung agiler Architekturen von Anwendungslandschaften und unter Nutzung geeigneter Metriken kann die Agilität der Architektur von Anwendungslandschaften bestimmt und optimiert werden. Hierfür werden anhand von Agilitätszielen (Geringe Abhängigkeiten, Hohe Homogenität, Hohe Modularität, Redundanzfreiheit und Skalierbarkeit) Kennzahlen zur Messung der Agilität der Architektur von Anwendungslandschaften entwickelt, zu einem Kennzahlensystem zusammengefasst und anhand von Experteninterviews und Fallstudien plausibilisiert und evaluiert. Das Kennzahlensystem kann für die aktive Steuerung der IT-Agilität in Unternehmen eingesetzt werden und stellt eine gute Ausgangsbasis für die Entwicklung ähnlicher Metriken in anderen Bereichen der IT-Agilität dar.A company‘s ability to change is increasingly depending on its IT’s the ability to change. We call this ability ‘IT Agility’. A high level of IT Agility can contribute to a higher level of enterprise agility and represents therefore a potential source for competitive advantages. Especially the application landscape is a valuable, rare and imperfectly imitable resource of the company. The agility of application landscape architectures can be measured and optimized by using suitable metrics and design principles for agile IT architectures.KPIs for the measurement of the agility of application landscape architectures are developed based on agility goals (low dependencies, high homogeneity, high modularity, no redundancy and scalability). The KPIs are aggregated to a system of indicators and are validated and evaluated through expert interviews and case studies. This system of indicators can be used for the active management of IT Agility within companies and is a start for the development of similar metrics in other areas of IT-Agility

Informationssicherheit und Persönlichkeit : Konzept, Empirie und Handlungsempfehlungen

[no abstract