Oktober 07

Glenfis eNews - Governance, Security & Service Management 

Forrester  Research hat kürzlich einen interessanten Report veröffentlicht. Laut einer Erhebung durch das Research-Institut bei Entscheidungsträgern der 189 grössten Data-Centers in Nord-Amerika und Europa verfügen über 27% der  Befragten über kein Ausfallrechenzentrum und 23% haben ihre Recovery-Pläne noch nie getestet. Das Interessante daran ist nicht etwa diese Tatsache, sondern dass die meisten dieser Befragten über ihre Situation nicht sonderlich besorgt sind. Sie sind mit ihrer eingesetzten Technologie, den Virtualisierungs-Architekturen, Storage-Area-Networks und High-Availability-Lösungen dermassen zufrieden und zuversichtlich, dass sie sich im sicheren Glauben befinden,  jede grössere Störung damit bewältigen zu können (Twin-Engine-Syndrom).

Erfahrene und vielleicht auch schon leidgeprüfte Experten wissen jedoch,  dass jeder Plan ohne angemessene Tests nicht verlässlich ist  - oder im Bedarfsfall nur schlecht funktioniert. Vertrauen ist gut - Kontrolle ist besser. Es liegt in der Sorgfaltspflicht eines jeden verantwortungsvollen CIOs, die eigenen Möglichkeiten regelmässig auf den  Prüfstand zu stellen und abgestimmt mit den sich laufend verändernden Business-Anforderungen, die notwendigen Strategien und Massnahmen einzuleiten.

In unserer neuesten Ausgabe des Glenfis Newsletter haben wir zu diesem wie auch anderen interessanten Themen Neuigkeiten für Sie herausgegriffen.

Eine anregende Lektüre wünscht Ihnen
Ihr Glenfis Team

Trotz all den Diskussionen um den  Klimawandel oder potentiellen Pandemie-Ausbrüchen ist es nicht erwiesen, dass es heute mehr Katastrophen gibt als noch vor 20 oder 30 Jahren.  Doch durch die Automatisierung der betrieblichen Abläufe mittels Informationstechnologien sind Störungen unabhängig von deren Ursachen heute viel direkter im Geschäftsalltag spürbar. Ein verfügbares und kundenfreundliches Service Desk sowie ein gut eingespieltes Incident Management Team mögen den Normalfall im Griff haben. Wie verhält sich dies jedoch bei Grossereignissen? Haben die involvierten Sourcing-Partner die Lage gemeinsam mit mir unter Kontrolle und kann ich mich unter allen Umständen darauf verlassen? Ein umfassendes Risikomanagement wird für viele Unternehmen immer mehr zum entscheidenden kritischen Erfolgsfaktor.

Regelmässige Leser unseres Newsletters wissen bereits, dass das Thema IT Service Continuity Management mit den Standards ISO/IEC 20000 (IT Service Management, 6.3) sowie in ISO/IEC 27001 (Information Technology Security, A.14) bereits berücksichtigt ist. Nun hat das British Standard Institute (BSI) einen weiteren Standard BS-25999 entwickelt, welcher sich explizit dem Thema Business Continuity Management widmet. Der grosse Unterschied zu den existierenden Standards liegt darin, dass im  BS-25999 nicht primär der Fokus auf die IT gelegt wird, sondern das gesamte Unternehmen betrachtet wird.

Organisationen, welche das Thema Business Continuity Management umfassend angehen wollen, können neu auf bewährte Praktiken zurückgreifen. Auch der BS-25999 besteht aus zwei Teilen: 

• Part 1: BS 25999-1:2006 Der "Code of Practice for Business Continuity Management". Dieser Best-Practice Leitfaden liegt bereits seit November 2006 vor. Die Prozesse, Prinzipien und Strategien des BCM werden eingehend beschrieben und ein gemeinsames Verständnis für die Entwicklung und Umsetzung erzielt. Es handelt sich hier also nicht um generelle Praktiken, sondern wirklich um die Best-Practices - der Standard richtet sich demnach auch an Organisationen, welche bereites über ein gewisses KnowHow zum Thema Continuity Management verfügen.
• Part 2: BS 25999-2:2007 Die "Spezification for Business Continuity Management" beschreiben die konkreten Anforderungen (Shall anstelle Should) für Einrichtung, Umsetzung, Betrieb, Überwachung, Bewertung, Testen, Pflegen und Verbessern eines dokumentierten Business Continuity Management Systems (BCMS) im Zusammenhang  des Managements der allgemeinen Business Risiken eines Unternehmens. Der Part 2 ist zur Zeit erst  im  Draft-Status und soll noch vor Ende dieses Jahres, allenfalls anfangs 2008 veröffentlicht werden. 

Die Umsetzung des Business Continuity Management Systems erfolgt gemäss dem Standard in 5 Phasen:

Phase 1: Understanding the Organization: Hier ist vollständige Transparenz der  Wertschöpfung im Unternehmen notwendig,  um klar analysieren zu können,  welche Funktionen und Prozesse unbedingt notwendig sind, um das Überleben der Firma zu sichern. Zudem gilt es hier die relevanten, kritischen Bedrohungsszenarien zu identifizieren.

Phase 2: Determining BCM Strategy: Auf Basis der Business  Impact Analyse in Phase 1 gilt es nun die angemessene BCM-Strategie festzulegen. Die Betrachtung hierzu wird auf drei Ebenen angelegt:

• Unternehmensstrategie
• BCM-Prozessstrategie hinsichtlich Business Continuity Pläne (BCP)
• BCM-Ressourcen-Wiederherstellungsstrategie hinsichtlich Desaster-Recovery (DRP)

Phase 3: Developing a BCM Response: In dieser Phase geht es um die Umsetzung der BCM-Strategie zur erfolgreichen Krisenbewältigung. Inhalte hierzu sind Alarmierungspläne, Notfallprozesse, Kommunikation, Checklisten und vieles mehr.

Phase 4: Developing a BCM Culture: Damit die BCM-Strategie erfolgreich umgesetzt werden kann, muss in der gesamten Organisation das Bewusstsein zu diesem Thema gefördert werden. Sämtliche Mitarbeiter müssen erkennen, wie sie im Alltag präventiv dafür sorgen, dass Eventualfälle nicht zu Katastrophen für das Unternehmen werden müssen.

Phase 5: Excercising, Maintenance and Audit: Die BCM-Strategie unterliegt auch einem Lifecycle und muss sich daher laufend an die sich ändernden Anforderungen und Bedrohungsszenarien anpassen. Mit Audits können die Prozess-Reife analysiert und die wesentlichen und dringenden Gaps identifiziert werden.

Informationen zum neuen Standard BS-25999 finden Sie unter folgenden Links:

www.thebci.org
www.bs25999.com
www.bsi-global.com/bs25999

Continuity-Lösungen müssen nicht einfach nur Standby-Installationen sein, welche ungenutzt auf die, hoffentlich nie eintreffende, Katastrophe warten. Intelligente Konzepte sorgen schon bei der Verteilung der Systeme für bessere Auslastungen und können als Test- respektive Entwicklungsumgebungen sinnvoll genutzt werden.

Die Glenfis AG ist spezialisiert in BCM-Lösungen und unterstützt Sie gerne in der Analyse, Konzeption und Umsetzung Ihrer BCM-Strategie. Nehmen Sie doch einfach Kontakt mit uns auf und lassen Sie sich von unserer Expertise überzeugen.

2. Outsourcing - wie sichere ich mir ich die Management Kontrolle?

"Outsourcing a mess is an outsourced mess"! Viele Organisationen welche ihre IT oder Teile davon ausgelagert haben, können ein Lied davon singen. Mit dem Outsourcing werden Probleme nicht zwingend gelöst - oft höchstens verlagert. Kostengünstiger wird es in den seltensten Fällen.

Dies soll nun nicht ein Beitrag gegen das Sourcing allgemein sein. Nein, viel mehr geht es uns darum, Organisationen zu sensibilisieren, ihre Sourcing-Strategie sorgfältig zu überprüfen,  zu planen und zu pflegen. Wenn ich als CEO existentiell abhängig bin von der Verfügbarkeit und Weiterentwicklung der IT Services, kann ich nur klar abgrenzbare Funktionen auslagern - die Verantwortung muss immer bei mir bleiben. Das heisst im Klartext,  dass  die Managementkontrolle über den Sourcing-Partner im eigenen Unternehmen bleiben muss, um  nicht eine einseitig existentielle Abhängigkeit von einem externen Unternehmen zu riskieren, auf dessen Entwicklung und Bestehen kein oder nur beschränkt Einfluss genommen werden kann.

Was heisst es nun konkret, die Managementkontrolle über den Sourcing-Partner ausüben zu können? Die Beantwortung ist nicht immer einfach. Die grundlegende Frage, welche gestellt werden muss, ist: Habe ich Einfluss auf die Geschäftsabläufe der IT - oder verlasse ich mich einfach darauf - mit allen Konsequenzen! 

Folgende Kontroll-Fragen können als Orientierungshilfe herangezogen werden:

• Hat die interne Organisation die  Kenntnis und die Kontrolle über den  Input der Service Management Prozesse? Das heisst am Beispiel des Incident Prozesses, weiss die interne Organisation, wie und durch wen dieser Prozess angestossen wird - und hat sie Einfluss und genügend Kontrolle?
• Hat die interne Organisation Kenntnis über den Output der Prozesse und ist sie selber Nutzniesser dieser Prozess-Ergebnisse, respektive führt sie die Interpretationen und Entscheidungen auf Basis dieses Outputs  selber aus? Am Beispiel des  Capacity Management Prozesses erläutert heisst dies, dass kostenwirksame Kapazitätserweiterungen aufgrund von Performance-Messungen nur durch die interne Organisation veranlasst werden darf - und  nicht durch den externen Partner, welcher die Infrastrukturen hostet.
• Ist die interne Organisation zuständig für Definition und Durchführung der Prozess- und Service-Metriken. Darin eingeschlossen sind die Festlegung der Messmethoden, Messpunkte und Messhäufigkeiten.
• Ist die interne Organisation in der Lage, für jeden Prozess einen objektiven Nachweis zu erbringen, dass sie die Verantwortung der Prozess-Funktionalität innehat? Gerade diese Anforderung ist im Rahmen eines Outsourcings zu überprüfen, weil die Delegation dieser Verantwortlichkeiten oft Grund einer externen Auslagerung war.
• Ist die interne Organisation für die Definition, das Messen und Überprüfen der Prozess- und Service Verbesserungen selber zuständig? Für sämtliche Prozesse und Services müssen die Verbesserungsmassnahmen in der Verantwortung des Unternehmens bleiben, um auch wirklich sinnvolle und wirtschaftliche Optimierungen anzustossen.

Je transparenter die Verantwortlichkeiten beider Seiten sind, desto weniger Überraschungen müssen in Kauf genommen werden. Das heisst nicht zwingend, dass die Sourcing-Strategie gescheitert ist - aber sie wird in aller Regel um einiges teurer.

Eine erfolgreiche Outsourcing-Strategie erfolgt normalerweise in folgenden 4 Stufen:

Stufe 1: Desicion Making: Die Machbarkeit einer Sourcing-Strategie muss auf Basis folgender Kriterien nachgewiesen werden:

• Business Case für das Oursourcing
• Service-Paketisierung und damit Kopplung von Funktionen und Prozessen mit klarer Definition der Schnittstellen, Kommunikationswege und -Medien
• Sind die internen Kapazitäten zur Durchführung des Outsourcings vorhanden? (- oder überlasse ich das Heft dem neuen Partner?)
• Sind die internen Kapazitäten zur Kontrolle und Überwachung des Outsourcings vorhanden?
• Wie gehen wir mit gesetzlichen und regulatorischen Anforderungen um (SOX,  Basel II, IKS)? - Sind wir bereit, Geschäftsdaten extern zu vergeben und wie ist der Datenschutz gewährleistet?

Stufe 2: Supplier-Selection: Der Sourcing-Partner muss sorgfältig evaluiert werden. Die Anforderungen müssen detailliert aufgelistet und im Rahmen eines Request-For-Proposals (RFPs) an potentielle Anbieter verschickt werden. Mittels Due Dilligence Verfahren wird schlussendlich der geeignetste Partner auserwählt. Der ursprüngliche Business Case muss hierzu immer wieder verifiziert werden.

Stufe 3: Transition: Nachdem die Verträge unterschrieben sind, geht es um die Lieferung der Service-Leistungen durch den neuen Sourcing-Partner. Dabei sind zwei Schritte zu unterschieden:

• Transfer: das Übergeben der Asssets, Verträge,  Lizenzen und allenfalls auch der Mitarbeiter an die neue juristische Einheit. Dies muss in einem gemeinsam abgestimmten Prozess zwischen Sourcing-Partner und internern Organisation erfolgen. Ein strikt überwachtes Risikomanagement ist hier unerlässlich
• Transformation: Die Umsetzung des eigentlichen Sourcing-Entscheides muss hier vollzogen werden: Die Überführung der "as-is"-Services in den "future-mode". Gilt es einfach einen organisatorischen Transfer durchzuführen, oder sollen Kosten- und/oder Qualitäts-Ziele erreicht werden?

Stufe 4: Contract Completion: Der Lifecycle des Vertrages endet mit dessen Erfüllung. Dieser kann jedoch laufend verlängert oder erweitert werden.  Wichtig hierzu ist, dass die interne Organisation einen ausgeprägten Supplier Management Prozess eingerichtet hat und die Leistungen des Service Providers laufend hinsichtlich Vertragserfüllung überwacht, kontrolliert und Leistungstrends analysiert.

Die Glenfis AG berät Sie gerne in dieser strategischen Fragestellung und hilft Sourcing-Partner auf Herz- und Nieren zu überprüfen. Auch wenn die Entscheidung dazu schon gefällt wurde,  kann eine Standortbestimmung hilfreich sein. Nehmen Sie einfach mit unserem Herrn Martin Andenmatten Kontakt auf.  

3. Glenfis Academy News:  Der direkteste Weg zum ITIL©V3 Diploma

Die bestehenden und bewährten ITIL© Zertifizierungsprogramme werden voraussichtlich noch bis Ende 2008 verfügbar sein.  Aber macht es Sinn, sich auf eine bereits seit über sieben Jahre alten Version des Service Management Frameworks ausbilden zu lassen, wenn bereits seit bald einem halben Jahr eine neue Version V3 auf dem Markt  ist?

Diese Frage ist mit einem deutlichen "Jein" zu beantworten. Die neuen Inhalte sind aktueller und viele ungelöste Gaps der alten Version sind adressiert worden. Andererseits besteht zwischen der Veröffentlichung der neuen ITIL Version 3 und der Umsetzung dieser neuen Inhalte bei den Prüfungsanforderungen, Prüfungen sowie Trainingsunternehmen ein etwas zeitraubender Schritt.

Unabhängig von den Trainingsunternehmen, welche ebenfalls den mentalen und inhaltlichen Schritt zu vollziehen haben,  sind bis heute erst die ITIL©  V3 Foundation Prüfungen verfügbar. Die Anforderungen, respektive die Prüfungen der Intermediate Lifecycle Streams der Intermediate Capability Streams oder gar des ITIL© Diplomas sind noch nicht definiert oder erst im Draft vorhanden. Die Verfügbarkeit wird wohl erst im Q1 im neuen Jahr Realität.

Und zudem: Sämtliche Prüfungen sind zuerst nur in Englisch verfügbar. Auch die heute bereits buchbaren Foundation V3 Prüfungen gibt es vorläufig nur in dieser Sprache. Wir hoffen,  dass bis Ende 2007 eine deutsche Version erscheinen wird. 

Soll also mit der Ausbildung auf ITIL© V3 zugewartet werden?  Dies ist natürlich eine Möglichkeit. Es  gibt eine Alternative, welche bezüglich Kosten und Zeitaufwand äusserst attraktiv aber nur für eine begrenzte Zeit möglich ist: Erlangung des Service Manager  V2 Zertifikats und Absolvierung der Service Manager Bridge-Ausbildung inklusive Prüfung: Dies ist heute wohl der schnellste und kostengünstigste Weg,  die höchste Auszeichnung in ITIL zu erlangen:  das  ITIL© V3 Diploma. Denn: die Bridge-Seminare und Prüfungen sind heute bereits verfügbar - allerdings auch nur mit englischen Multiple-Choice-Prüfungen.

Da die  V2-Prüfungen nur noch bis Ende 2008 verfügbar sind,  ist  diese Möglichkeit zeitlich begrenzt. Selbstverständlich können alle, welche heute bereits stolze Besitzer eines Service Manager Zertifikats sind, die Service Manager  Bridge Ausbildung auch noch nach 2008 absolvieren und damit  das ITIL© V3 Diploma erlangen.

Die Glenfis AG erweitert ihr Angebot,  um  allen Interessierten die Entscheidung etwas leichter zu machen: Mit dem Angebot ITIL© Diploma Package V2-V3 haben Sie zwei Vorteile auf einen Schlag:

• Absolvieren Sie die ITIL© Service Manager Ausbildung und Prüfung auf dem bekannten und bewährten Weg (Informationen zum ITIL© Service Manager Lehrgang)
• Lernen Sie die Unterschiede zu ITIL© V3 im  Rahmen des "Service Manager Bridge" Kurses, und erlangen Sie  mit der Prüfung die höchste Ausbildungsauszeichnung: ITIL© Diploma (Info zum Service Manager  V3 Bridge Lehrgang)
• Wir schenken allen, welche dieses Package buchen die beiden Service Management Klassiker Service Support und Service Delivery, sowie sämtliche 5 neuen Bände der ITIL© Version 3.

Buchen Sie also noch heute dieses Kombi-Package und starten Sie den ITIL© Service Manager Lehrgang.  Die Terminierung des Service Manager Bridge Kurses können Sie nach erfolgreicher Service Manager Zertifizierung nach Ihren Bedürfnissen vornehmen.

Für Information zu unseren Schulungskonzepten wenden Sie sich vertrauensvoll an Herrn Adrian Müller.

Auch diesmal dürfen wir Sie auf zwei äusserst interessante Events mit Glenfis aufmerksam machen:

A) Lifecycle Management für IT-Projekt- und Prozessmanagement
Glenfis ist Hauptsponsor dieser Euroforum-Seminarreihe, welche drei unabhängige und einzeln buchbare Update-Seminare für Manager anbieten:

1. Tag: Projektziele setzen - Risiken minimieren
2. Tag: Gelungenes Change Management - den Projekterfolg absichern
3. Tag: Erfolgreiches Projektcontrolling - Folgekosten verhindern

Diese Seminarreihe findet zweimal statt:

21. bis 23. November 2007 (erster Termin)
14. bis 16.  Januar 2008 (zweiter Termin)

Wenn Sie näheres zu den Seminarinhalten erfahren möchten,  dann lesen Sie dazu unseren Informations-Flyer.

B) Am 4. und 5. Dezember 2007 findet der 7. itSMF Kongress in Berlin statt. Das diesjährige Motto lautet: "IT Changes - Change IT!". Es sind auch dieses Jahr wiederum sehr viele interessante Fachvorträge vorgesehen.

Die Glenfis AG wird als Aussteller am Kongress vertreten sein.  Nehmen Sie dort die Gelegenheit wahr, um im direkten Gespräch mit unseren Experten Ihre individuellen Fragestellungen zu diskutieren. Sehr gerne demonstrieren wir Ihnen unser  neuestes Produkt: die eLearning Module ITIL© V3 Essentials. Der gesamte Stoff von ITIL© V3 gemäss Prüfungsanforderungen ist kompakt als interaktives Learning Module aufbereitet worden. Eine einfache,  schnelle und vor allem auch kostengünstige Möglichkeit, ihre Mitarbeiter hinsichtlich der Neuerungen von ITIL© V3 zu schulen und auf den neuesten Stand zu bringen.

Wenn Sie heute schon Interesse an unseren eLearning Produkten und unseren Blended-Learning-Konzeption haben,  dann setzen Sie sich doch einfach mit uns in Verbindung.

Weitere Informationen zum itSMF-Kongress finden Sie hier.

5. Internationale News: Das deutsche ITIL V3 Glossar ist verfügbar

1. Glossary und  Akronyms in Deutsch verfügbar

OGC als Owner von ITIL© hat das neue Glossary von ITIL© in mehreren Sprachen veröffentlicht. Neben deutsch sind auch französische,  portugiesische, spanische und sogar japanische Übersetzungen aus dem Englischen frei verfügbar.

Download des Glossary von der  offiziellen OGC Best Practice Management Web-Site.

2) Die ITIL© Foundation - und ITIL© V3 Service Manager Bridge Qualifikationen sind definiert und freigegeben.

Die für bestehende Besitzer von Foundation oder Service Manager Zertifikaten möglichen Bridge-Kurse und Prüfungen sind nun definiert worden.  Die Foundation-V3-Bridge Prüfung kann ab sofort im  Rahmen eines Upgrade Kurses bei Glenfis gebucht werden.

Die  Service Manager Bridge Prüfungen werden bis Ende November 2007 erwartet. Glenfis bietet den ersten öffentlichen Service Manager Bridge Kurs im  Februar 2008 an.


Wir bleiben dran -  bleiben Sie's auch!