Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management
Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.
Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.
Aber jetzt lassen wir das Spiel beginnen.
Der Ball ist im Spiel und die Youngster BCM haben Anspiel.
Runde 1: BCM für die IT-Prozesse
Wenn im Zuge der Durchführung der Business Impact Analyse die IT-Verantwortlichen angesprochen werden, sorgt dies manches Mal für Überraschung und Überzeugungskraft. “Wir machen doch bereits Notfallvorsorge im Rahmen das ITSCM, wir benötigen keine zusätzliche BIA”, schallt es dann aus der IT. Ich habe bereits viele Gespräche mit IT-Verantwortlichen führen dürfen, um sie vom Gegenteil zu überzeugen. Es war nicht immer einfach. Bei der IT liegt der Fokus auf IT-Anwendungen, IT-Systemen, Netzwerken und deren Entwicklung sowie internen und externen Betrieb. Schnell wird darüber vergessen, dass die IT hierfür auch Geschäftsprozesse mit verschiedenen Ressourcen benötigt. Neben den Prozessen der Anwendungsentwicklung und dem IT-Betrieb, die noch sehr techniknah sind, sind dies auch organisatorische Prozesse wie das Servicemanagement, Incident- und Problem-Management, User Help Desk, Change-Management, Berechtigungsmanagement, Provider- und SLA-Management. Um nur einige Beispiele zu nennen. Diese IT-Prozesse sind zum Teil auch in einem Notfall notwendig und benötigen neben der IT die klassischen Ressourcen Personal, Arbeitsplätze, techn. Ausstattung, Dienstleister und Dokumente. BCM-Szenarien wie ein Personal- oder Dienstleisterausfall können zu einer Unterbrechung dieser Geschäftsprozesse führen, ohne dass die Ursache in der IT-Technik liegt. Die IT-Prozesse unterscheiden sich daher nicht von Geschäftsprozessen der anderen Fachbereiche. Neben dem ITSCM muss es daher in der IT auch eine Notfallvorsorge, sprich BCM, für die kritischen IT-Prozesse geben. Die IT-Prozesse durchlaufen daher die Business Impact Analyse und alle nachfolgenden BCM-Phasen. Tests und Übungen berücksichtigen neben IT-Wiederherstellungsprozeduren auch BCM-Szenarien wie Personal- oder Gebäudeausfälle.
Ich bin auf diese Schnittstelle bereits in einem früheren Beitrag eingegangen.
BCM kann den Ball sehr gut in den eigenen Reihen halten und lässt ITSCM zunächst nicht zum Zug kommen. ITSCM hält sich in der eigenen Hälfte und scheint an der eigenen Technik zu feilen.
Runde 2: Identifikation der kritischen IT-Services in der BIA
In der Business Impact Analyse (BIA) werden die zeitkritische Geschäftsprozesse identifiziert und für diese Geschäftsprozesse alle Ressourcen ermittelt, die für den definierten Notbetrieb erforderlich sind. Eine der wesentlichen Ressourcen, die in nahezu allen Geschäftsprozessen zu betrachten sind, ist die IT. Geschäftsprozesse sind meist hochgradig abhängig von der Verfügbarkeit der IT-Services. Dies können inhouse entwickelte und betriebene IT-Anwendungen, Cloud- oder Web-Anwendungen, aber auch individuelle Datenverarbeitung auf Basis von Office-Lösungen oder Netzwerkanbindungen an externe Partner sein. Damit die IT-Anwendungen den Geschäftsprozessen eindeutig zugeordnet werden können sollte die IT hierfür ein hoffentlich gut gepflegtes IT-Anwendungsverzeichnis zur Verfügung stellen. Dies verhindert, dass IT-Anwendungen unter verschiedenen Bezeichnungen geführt und SW-Module einheitlich modelliert werden. Im Gegenzug erhält die IT eine bessere Sicht auf die in den Fachbereichen eingesetzte IT, indem durch die BIA Licht auf die Schatten-IT geworfen wird.
In der BIA werden für die IT-Services prozessbasiert die Verfügbarkeitsanforderungen in einem Notfall identifiziert. Diese auch als Recovery Time Objective (RTO) bezeichnet die maximal tolerierbare Zeitdauer, die ein IT-Service ausfallen darf bevor schwere Schäden für das Unternehmen entstehen. Die RTOs eines IT-Services werden über alle Geschäftsprozesse betrachtet und der kleinste Wert gibt für die IT die Anforderungen an die Verfügbarkeit vor.
Der Ball wird jetzt aus dem Spielfeld des BCM in das Spielfeld des ITSCM gespielt. ITSCM hat sich warmgespielt und die Initiative im Spiel übernommen. BCM scheint nach dem stürmischen Auftakt etwas erschöpft und zufrieden zu wirken. Hoffentlich hält die Verteidigung!
Runde 3: Identifikation und Bewertung der Anforderungen an die IT-Services durch die IT
Der Ball ist im ITSCM gelandet und hier wird erst einmal im eigenen Feld gedribbelt und es werden ein paar nett anzusehende Ballkunststückchen gezeigt. Die Technik schein zu stehen, aber hält sie auch, was sie verspricht?
- Welche IT-Services und IT-Architekturkomponenten werden benötigt, um die Verfügbarkeit der jeweiligen IT-Services zu gewährleisten? Dies können eigene IT-Systeme oder Fileserver bei IT-Anwendungen im Eigenbetrieb sein, im häufiger jedoch Internet- und Netzwerkanbindungen für Web- und Cloudservices sowie IT-Service Provider.
- Gibt es bereits für alle kritischen IT-Services eine IT-Notfallvorsorge im ITSCM? Durch den Fachbereich beschaffte IT-Services sind zum Beispiel im ITSCM nicht betrachtet worden, neue IT-Anwendungen sind in der BIA hinzugekommen oder die Anforderungen haben sich verändert.
- Passt die bestehende IT Notfallvorsorge an die aktuellen geschäftlichen Anforderungen? Im Rahmen der GAP-Analyse werden Differenzen zwischen Anforderungen und IST-Verfügbarkeit identifiziert. Identifizierte GAPs müssen aufgelöst werden:
- Die Anforderungen der Fachbereiche werden durch IT und BCM hinterfragt und durch den anfordernden Fachbereich reduziert (Bsp. Fehleinschätzungen)
- Ist dies nicht möglich, analysiert die IT Kosten und Aufwände für eine Verkürzung der IST-Verfügbarkeit. Dies können Investitionen in eine redundante Absicherung oder aber auch Anpassung von Dienstleisterverträgen sein
Das ITSCM spielt nun dem Ball aus dem eigenen Feld zum Schiedsrichtergespann (Management) in die Mitte:
Runde 4: Schließen der identifizierten GAPs
Der Ball ist nun im neutralen Bereich gelandet und es gibt eine kleine Spielunterbrechung, um die Videoaufzeichnungen zu prüfen und über den weiteren Spielverlauf zu entscheiden. Alle Spielführer, Trainer und Schiedsrichter kommen zusammen.
- Es erfolgt eine fachliche Risiko-Kosten-Abwägung durch die Fachbereiche, das BCM und die Geschäftsführung. Wie verhalten sich die zu erwartenden Kosten für die Verbesserung der Verfügbarkeiten zu den zu erwartenden Schäden aus der Geschäftsprozessunterbrechung?
- Ergebnis kann eine Investition in die IT-Notfallvorsorge, das Tragen des Risikos oder einer Mischung beiden Optionen sein. Im Ergebnis müssen alle GAPs mittels einer der Optionen geschlossen sein.
- Nicht geschlossene Risiken müssen in das Risikoportfolio aufgenommen werden.
Der Ball ist wieder freigegeben landet erst einmal wieder im Spielfeld der IT. Der Ball geht jetzt fleißig hin und her:
- im ITSCM werden die Entscheidungen umgesetzt und die Verfügbarkeiten für die IT-Services realisiert.
Ein beherzter Abstoß des IT-Torhüters in das Feld des BCM (nicht “gegnerisch”! – es ist ein Freundschaftsspiel!)
- Im BCM werden die BCM Planung entsprechend der aktualisierten IT-Notfallvorsorge des ITSCM beschrieben.
Das Spiel geht mit einem fairen Unentschieden zu Ende. Es werden Trikots getauscht. Das Team ITSCM geht in die technisch hochgerüsteten Behandlungsräume während das Team BCM sich noch ein bisschen mit seinen Fans am Spielfeldrand vergnügt.
Die Schiedsrichter sind schon lange weg, da auf einem anderen Platz ein Spiel in einer höheren Liga zu pfeifen ist.
Runde 5: Gemeinsames Testen und Üben
Damit in einem entscheidenden Endspiel Alles reibungslos läuft, wird fleißig trainiert. Jeder auf seinem eigenen Trainingsplatz aber auch zusammen in wechselnder Besetzung an unterschiedlichen Standorten zu jeder Witterung drinnen und draußen.
Nur im Zusammenspiel mit der anderen Mannschaft kann die eigene Leistungsfähigkeit richtig beurteilt werden. Harmonische Spielzüge erfreuen Spieler wie Zuschauer. Aufstellfehler und Fehlpässe werden wahrgenommen und im Training speziell berücksichtigt.
BCM und ITSCM sind zwei Mannschaften auf dem gleichen Spielfeld, doch alleine macht das Spiel keinen Spaß. Das geht natürlich nicht immer ohne Rempler oder gar Verletzungen ab, doch faires Zusammenspiel mit ordentlich Sportsgeist lässt dies schnell vergessen. Noch eine Dusche in der Kabine und dann geht’s zur Belohnung auch mal gemeinsam auf die Piste. Bis die Lostrommel uns unvorhergesehen wieder zusammenbringt um ein echtes Match zu bestreiten.
Sportliche Grüße und be prepared
Matthias Hämmerle MBCI
0 Responses