Sicherheit als integraler Bestandteil aller Prozesse

Die stetig wachsenden Datenmengen in den Unternehmen und die damit verbundenen rechtlichen und regulatorischen Anforderungen wie Sarbanes-Oxley (SOX) oder Basel II (siehe auch "Risiko-Management aus Sicht des Juristen") stellen die IT-Abteilungen mittlerweile vor große Herausforderungen. Deshalb hat Itil in der dritten Version die bestehenden Best Practices zum Thema IT-Sicherheit integriert sowie Zusammenhänge zwischen Security-Management und Access-Management hergestellt.

In Itil V 2 war Security-Management eine gesonderte Publikation, die jedoch selten berücksichtigt wurde. In V 3 dagegen ist die Sicherheit ein integraler Bestandteil aller Prozesse. Das für die Sicherheit in Unternehmen zentrale Thema der Verwaltung von Zugriffen auf IT-Ressourcen und Rollen wurde mit dem Access-Management verbunden und als neues Thema aufgenommen.

Nach Itil V 3 befolgt das Access-Management die Vorgaben, die das Security-Management für die Vergabe von Zugriffsrechten macht, beispielsweise für den Zugriff auf Datenbestände oder Applikationen. Das war in Itil V 2 nicht geregelt, weshalb oft Unsicherheit darüber herrschte, wer worauf zugreifen durfte. Die IT-Abteilung wusste auch nicht genau, wonach sie ihre Vorgehensweise ausrichten sollte. Folgich wurde die Vergabe von Zugriffsrechten überall im Unternehmen anders gehandhabt: In der neuen Itil-Version ist diese Aufgabe jetzt durchgängig beschrieben, und das ermöglicht eine einheitliche und lineare Vorgehensweise.

Denken in Silos weicht übergeordneter Struktur

Auch beim IT Operations Management und Technical Management geht Itil V 3 einen Schritt weiter als V 2. Bislang ungeordnete Bereiche des Betriebs und der Technik erhalten Struktur und Gewicht. Dabei werden verstärkt organisatorische Themen aufgegriffen. Schon die Aufteilung des Gesamtwerks in die Sektionen Strategie, Design (Architektur), Planung (Transition) und Betrieb (Produktion) stehen der Silo-Denke, wie sie heute noch in vielen IT Abteilungen zu finden ist, entgegen.

Selbstverständlich wird es auch künftig Spezialisten geben. Doch sind sie in den übergeordneten Lebenszyklus der Services eingebunden. Beispielsweise berücksichtigt die dritte Itil-Version beim IT-Operations-Management jetzt auch das Facility-Management. Bisher hatten IT- und Facility-Management nichts miteinander zu tun. Das führte dazu, dass die Unternehmen direkte oder indirekte Betriebskosten - zum Beispiel Stromkosten beim Betrieb der IT-Infrastruktur - häufig zwar in ihrer RoI-Betrachtung (Return on Investment) berücksichtigen, sie dort aber nicht aber als Servicebestandteil aufführten. Die Folge waren versteckte Kosten, die sich letztendlich negativ auf die gesamten Betriebskosten auswirkten.

Das Itil-V-3-Buch Service Operation (siehe: "Eine undankbare Aufgabe") enthält praxiserprobte Vorschläge, wie sich derartige Probleme umgehen lassen. Damit verdeutlicht die neue Itil-Version die Verbindung zwischen Organisation und Prozessen sowie die Abgrenzung zwischen Linienorganisation und Rollen in Prozessen.