6. Security-Konzept entwickeln
Die fachlichen und technischen Konzepte für das Softwaresystem sollten die Anforderungen an die Verfügbarkeit der Prozesse sowie die Vertraulichkeit und Integrität der Informationen abdecken. Die wichtige Basis für eine solche Entwicklung war die einheitliche Prozessgestaltung im Mutterkonzern und in den Joint Ventures. Des Weiteren kam es darauf an, Systeme und Prozesse aufeinander abzustimmen - gerade auch, was die Terminierung von Systemanpassungen anging. Um sowohl dem Schutzbedarf der Informationen Rechnung zu tragen als auch den Aufwand der Administration in Grenzen zu halten, wurde für die Authentisierung die bereits vorhandene globale Definition der Sicherheitsvorgaben und systemgestützte Nutzerzuordnung zu einem Werk innerhalb der Konzern-Struktur verwendet.
- 10 Schritte zur Outsourcing-Strategie
Erst Ziele definieren, dann den Ist-Zustand bei Services erheben – die RoI-Berechnung kommt fast zum Schluss. Diese Strategie legt Gartner IT-Chefs nahe. - 1. Kontext und Ziele aufsetzen:
Zu definieren sind laut Da Rold neben dem konzeptuellen Outsourcing-Ansatz auch die Prioritäten und Regeln sowie die Prinzipien, die die Strategie und jede folgende Entscheidung und Aktivität treiben. Ferner sollten die spezifischen geschäftlichen und technischen Ziele sowie die Service-Ziele bestimmt werden, ebenso relevante Kriterien für die Erfolgsmessung. - 2. Service-Ist-Zustand bewerten:
Kosten und Service-Leistung der bereits gültigen internen und externen Verträge bedürfen einer genauen Überprüfung. Genauer zu betrachten sind laut Gartner außerdem die Enterprise-Architekturen. Es gilt abzuwägen, ob und inwieweit eine Aufrüstung bei der Service-Delivery zum Erreichen der Ziele nötig ist. - 3. Die Kapazitäten fürs Service- und Multisourcing-Management messen:
Niveau, Situation und Reifegrad der fürs Multisourcing benötigten Ressourcen sind zu bestimmen. Kontrolliert werden muss außerdem, ob Wissen und Fertigkeiten der Mitarbeiter ausreichen, um die notwendige Menge an Service für Business-, Application- und Infrastruktur-Prozesse zu liefern. - 4. Beschränkungen und Chancen evaluieren:
Hier gilt es, nichts zu übersehen. Branchenspezifische und regionale Entwicklungen spielen ebenso eine Rolle wie die konjunkturelle Lage, das regulatorische Umfeld, Compliance-Anforderungen und technologische Fragen. Auch die interne Gemengelage im Unternehmen kann ein wichtiger Faktor sein – etwa die Unternehmenskultur, die Erfahrung mit Change-Prozessen oder die Risiko-Neigung. Auf dieser Grundlage sollten Risikoprofile und ein Rahmen für Risikomanagement entwickelt werden. - 5. Lücken analysieren:
Outsourcing plant man, weil zwischen Anforderungen und Zielen einerseits und der aktuellen Situation etwas fehlt. Gartner rät dazu, das Ausmaß der Lücke exakt zu definieren und alle denkbaren alternativen Szenarien zur Schließung der Lücke zu vergleichen. - 6. Externe Märkte analysieren:
Als nächster Schritt sollte der Markt für IT-Services genau unter die Lupe genommen werden – mit einem Augenmerk auf Marktdynamiken, die sich verändernde Anbieterlandschaft und Verhaltensmuster von Konkurrenten. „Kosten, Liefermodelle und Angebote wandeln sich radikal“, so Da Rold. Konkret denkt der Analyst dabei etwa an Cloud Computing und Software-as-a-Service (SaaS). Deshalb sollte nur auf Basis einer exakten Marktanalyse darüber entschieden werden, welcher Service zu welchem Zeitpunkt in Anspruch genommen wird. - 7. Szenario-Planung durchführen:
Risiken und Potenzial verschiedener Sourcing-Szenarien sollten in dieser Phase gegenüber gestellt werden. Und zwar unter Berücksichtigung der bisher genannten Gesichtspunkte. Als Ergebnis sollte hinterher auf valider Datengrundlage feststehen, welche Kombination aus Anbieter und Outsourcing-Modell am besten zum Unternehmen passt. - 8. Risiken analysieren:
Die meisten gängigen Risiken beim Sourcing und bei der Partnerauswahl sollten laut Gartner in einer detaillierten Analyse durchdekliniert werden. „Benutzen Sie Tools und Richtlinien, um Anbieter-Risiken zu gewichten und zu managen“, schreibt Da Rold. „Schneiden Sie dabei die Kriterien zur Risiko-Evaluierung genau auf die Typen von Anbietern und Produkten zu.“ - 9. Business Case aufstellen:
Die „Total Cost of Sourcing“ (TCS) sind jetzt für alle nicht verworfenen Sourcing-Szenarien zu analysieren – unter Berücksichtigung der finanziellen Implikationen sowie geschäftlicher und qualitativer Fragen. Zu schauen ist dabei auf die Kosten für das interne IT-Outsourcing-Team, für Auswahl und Verhandlung von Projekten sowie für alle Umgestaltungsaspekte. Dabei darf die wahrscheinliche Entwicklung von Workload und Service-Anforderungen nicht vergessen werden. Ist das alles erledigt, kann alles netto berechnet werden – auch der Return on Investment. - 10. Aktionsplan festlegen:
Jetzt kann es auf strategisch klarer Basis fast schon losgehen. Es braucht aber noch eine Blaupause für zukünftige Multisourcing-Business-Services. Bestimmt werden muss überdies, welche Deals in welchem Zeitrahmen abgeschlossen werden sollen. Zu definieren sind ferner Veränderungen in der Governance sowie in der Organisation von Outsourcing-Management und -Beziehungen.
7. Prozesse testen
Besondere Bedeutung kam Realitäts-Checks und Tests der erforderlichen Sicherheitsprozesse zu. Wichtige Fragen konnten so besser beantwortet werden:
-
Ist der Schutz der Informationen in allen Prozessschritten sichergestellt oder zeigen sich Widersprüche in der Umsetzung?
-
Sind die im Prozess erzeugten Dokumente und Informationen in der definierten Qualität verfügbar?
-
Haben die zukünftigen Nutzer ausreichende, aber auch nicht zu viele Rechte, um die Daten zu bearbeiten und die für ihre Arbeit notwendigen Informationen zu erhalten (Need-to-know-Prinzip)?
-
Sind alle Auswertungen berücksichtigt, die eventuell Informationen offenlegen?
-
Sind technische Maßnahmen zur Systemsicherheit effektiv getroffen worden (Penetrationstest)?
-
Welche Ausnahmen gibt es, die eine gesonderte Behandlung erfordern?