IT-Risikomanagement über den gesamten Software Life Cycle - JAXenter

IT-Risikomanagement über den gesamten Software Life Cycle

Annie Combelles, Chief Operating Officer, DNV IT Global Services

Kaum jemand käme heutzutage auf den Gedanken, beim Betrieb einer Server-Plattform etwa auf die Datensicherung oder eine unterbrechungsfreie Stromversorgung zu verzichten. In der Entwicklung von Software und der Steuerung der entsprechenden Projekte werden die grundlegenden Regeln des IT-Risikomanagements jedoch nach wie vor vernachlässigt. Und das, obwohl entsprechende Standards längst existieren.

Effektive und effiziente Software-Entwicklungsprozesse sind mittlerweile für viele Branchen zu einem Schlüsselfaktor auf dem Weg zum agilen, marktorientierten Unternehmen geworden. Wer in globalisierten Märkten Betriebskosten senken und attraktive Margen gewährleisten will, muss sich vom Wettbewerb durch bessere Softwareprozesse und deren kontinuierliche Verbesserung abgrenzen. In sicherheitskritischen Branchen wie der Automobilindustrie, Luft- und Raumfahrt oder dem Energiesektor sind individuell entwickelte IT-Systeme zudem unverzichtbar geworden, wenn es um die Gewährleistung der Sicherheit oder die Überwachung kritischer Prozesse geht.

Ob es um die Sicherstellung effizienter Geschäftsprozesse, die Bereitstellung von Daten für fundierte Management-Entscheidungen oder die Unterstützung und Dokumentation sicherheitsrelevanter Abläufe geht – mit der wachsenden Bedeutung der IT für die Unternehmen wird die Software-Entwicklung zunehmend ausschlaggebend für den Geschäftserfolg. Dabei sollen die IT-abhängigen Prozesse und Systeme einerseits für operative Effizienz und die Entwicklung sicherer Produkte sorgen. Andererseits erhöhen gerade sie aber auch die Gesamtkomplexität und stellen damit eine mögliche Quelle der Verwundbarkeit im Unternehmen dar. Dies trifft vor allem dann zu, wenn sich Geschäftsprozesse verändern, entweder als Antwort auf neue Sicherheitsvorgaben in einer bestimmten Branche oder wenn interne Prozesse an neue Marktanforderungen angepasst werden.

Gravierende Konsequenzen

Fehler in IT-abhängigen Prozessen und Anwendungen können weitreichende Folgen haben. Schon einfache Systemausfälle haben oft erhebliche Konsequenzen für das Unternehmen. Unter den bekannten Beispielen der vergangenen Jahre finden sich zahlreiche Fälle, in denen Teams, die den Zugriff auf Services rund um die Uhr (24/7) benötigen, einen Komplettausfall der IT erleben mussten. Durch Lecks in der Informationssicherheitsstruktur, die zum Verlust von Kundendaten geführt oder Hackern den unberechtigte Zugriff darauf ermöglicht haben, wurde die Integrität manch eines Unternehmens insgesamt in Frage gestellt. Prozessausfälle haben die Anrufvermittlungssysteme von Telekommunikationsanbietern außer Kraft gesetzt und ganze Netzwerke lahm gelegt. In Einzelfällen haben sicherheitskritische Fehler bereits zu schweren Personenschäden geführt – etwa durch den Ausfall eines Fahrzeugairbags oder die fehlerhafte Bestrahlung von Tumorpatienten.

Entsprechend hoch wird im Management führender Unternehmen der Wert einer kontinuierlichen Verbesserung der Software-Entwicklungsprozesse schon seit langem eingeschätzt. Heute liegt der Schwerpunkt nicht mehr nur auf der Verbesserung von Effizienz und sicherheitskritischen Operationen im allgemeinen sondern man sucht vor allem zunehmend nach Möglichkeiten, diese Prozesse vollständig in die sonstigen Geschäftsabläufe zu integrieren und anzugleichen. Auch die Softwarelieferanten werden immer öfter daraufhin überprüft, ob und wie ihre Software-Entwicklungsprozesse vertraglich vereinbarten Vorgaben oder allgemein gültigen Standards entsprechen.

Weiterentwicklung des Software Life Cycles

Um Prozessausfälle zu verhindern, müssen Unternehmen also einen ganzheitlichen Ansatz für ihr Software Life Cycle-Management entwickeln. Dabei genügt es nicht mehr, einzelne Software-Komponenten zu betrachten. Heute geht es vielmehr darum, die „Best Practices“ der Anwendungsentwicklung sowohl im Entwicklungsprozess als auch im Projektmanagement nachhaltig anzuwenden. Wer sich in Qualität und Performance gegenüber global agierenden Mitbewerbern durchsetzen will, muss sich ganz grundsätzlich mit der Art und Weise beschäftigen, wie die IT-abhängigen, hoch integrierten Systeme beschafft, entwickelt und gewartet werden.

Am Markt finden sich verschiedene Ansätze, um diese Prozesse zu formalisieren und zu verbessern. Das unterste annehmbare Qualitäts- und Konformitätsniveau definieren die ISO 9001 und ähnliche marktübliche Standards. Einen stärkeren Praxisbezug und nachhaltigeres Prozessoptimierungsdenken findet sich in Modellen wie dem Capability Maturity Model Integration (CMMI) und der ISO/IEC 15504 (Software Process Improvement and Capability dEtermination, SPICE) für die Applikationsentwicklung oder der ITIL (Information Technology Infrastructure Library) und der ISO/IEC 20000 für den IT-Betrieb wieder. Hier werden nicht nur erforderliche Tools aufgezeigt sondern auch „weiche“ Faktoren wie die interne Neuorganisation und erforderliche Mitarbeiterqualifikation betrachtet. Denn eines ist sicher: Ein hochwertiger Software-Life Cycle zum sicheren Management von IT-Risiken lässt sich nicht über Nacht erreichen sondern erfordert einen permanenten Verbesserungsprozess im Unternehmen.

Geschrieben von
Annie Combelles, Chief Operating Officer, DNV IT Global Services
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.