Grundlagen Flashcards
Was sind die drei Aufgabenbereiche eines CIO und was zeichnet sie aus?
○ Run: Operative Aufgaben: Tagesgeschäft, Erhaltung aktueller geschäftlicher Fähigkeiten
○ Grow: Optimierende Aufgaben: Aktuelle geschäftliche Fähigkeiten erweitern
○ Transform: Innovative Aufgaben: Neue geschäftliche Fähigkeiten entwickeln
Außerdem Übergänge zwischen den drei Phasen
Wie unterstützt der IT-Betrieb das Unternehmen bei Run, Grow & Transform?
○ Run: Störungsfreien, sicheren & kostengünstigen Betrieb der IT-Systeme sicherstellen und Service Level Agreements einhalten
○ Grow: Unternehmensziele durch optimierende proaktive Maßnahmen unterstützen und nicht formalisierte Kundenerwartungen erfüllen
○ Transform: Vorbereitende Maßnahmen zur Skalierung des Unternehmens entwickeln und umsetzen
Sichere, nachvollziehbare und dokumentierte Übergabe von IT-Projekten in den Regelbetrieb
Optimierung der Infrastruktur
Was sind mögliche Störungsursachen im IT-Betrieb?
○ Mangelhafte Qualitätssicherung (Entwicklung, Infrastruktur)
○ Konfigurationsprobleme (HW & SW)
○ Kompatibilitätsprobleme (HW & SW)
○ Hardwareausfälle
○ Angriffe
○ Bedienungsfehler
…
Was sind mögliche Auswirkungen von Störungen im IT-Betrieb?
○ Verringerte/verhinderte Auftragseingänge
○ Kundenaufträge oder wichtige Projekte können nicht ordnungsgemäß bearbeitet werden
○ Datenverlust/Offenlegung vertraulicher Daten/ungerechtfertigte Datenänderung
○ Erzeugung fehlerhafter Produkte
○ Fehlentscheidungen aufgrund falscher Daten
○ Vertragsverletzungen
○ Imageschäden
○ Falsche Einschätzung der Liquidität, fehlerhafte Berichterstattung (Bilanz, GuV)
-> Zeitverlust, erhöhte Kosten, Umsatzverlust, Kundenverärgerung oder -verlust
Welche vorgelagerten Probleme können für Störungen im IT-Betrieb sorgen?
Fehlende/ungenügende Organisation der IT oder des IT-Betriebs:
○ Fehlende Kapazitäten, Zuständigkeiten, mangelnde Ausbildung, zu umfangreiche Anforderungen, ungenügende Ausstattung, schnelle Innovationszyklen, steigende Marktanforderungen
Fehlende Harmonisierung IT-Strategie mit Unternehmens-Strategie:
○ Nicht abgestimmte KPIs
Welche Ursachen für Störungen liegen in der operativen Umsetzung?
In der Steuerung von IT-Prozessen, -Dienstleistern oder der IT
○ Mangelnde QS in allen Schritten der Entwicklung und Bereitstellung
○ Mangelhafter Umgang mit Engpässen
○ Unpräzise/lückenhafte Verträge mit Dienstleistern
○ Technische Schulden
In der Kontrolle der IT-Prozesse oder der IT:
○ Umgehen von bestehenden Vorschriften und dokumentierten Prozessen (wissentlich und unwissentlich)
Inwieweit hat die IT Verantwortung in Bezug auf das Unternehmen?
○ IT muss Unternehmen bei Erfüllung von Regularien für Unternehmen unterstützen (SOX)
○ Schlecht organisierte/betriebene IT kann zum Niedergang des Unternehmens führen
○ IT ist Prüfungsbestandteil von Wirtschaftsprüfern und IT-Revisoren
Welche Aufgabe erfüllen regulatorische Vorgaben und wie kann die Einhaltung der Vorgaben sichergestellt werden?
Aufgabe:
○ Interessen der Anteilseigner und Aufsichtsbehörden schützen
Einhaltung:
○ Einrichtung eines Risikomanagement-Systems um Risiken bei Entscheidungen bezüglich IT zu identifizieren und zu bewerten und erforderliche risikominimierende Maßnahmen zu treffen
Was ist IT-Governance?
○ Regel- und Organisationswerk für effektive Entscheidungsprozesse
○ Obliegt dem Aufsichtsrat und der Geschäftsleitung
○ Integraler Bestandteil der Unternehmensführung
○ Besteht aus Führungs- und Organisationsstrukturen und -prozessen zur Aufrechterhaltung und Erweiterung der Strategien und Ziele der Organisation durch die IT
○ Spezifiziert Rahmen für Entscheidungsrechte und Rechenschaftspflicht
○ Festlegung von Richtlinien, Standards und Prinzipien sowie Priorisierung von Investitionen (Management befasst sich mit Umsetzung)
Was sind Beispiele für IT-Governance Regeln?
○ Controlling-Gespräche, Lenkungsausschüsse
○ Anforderungs-Schablonen, Feedback-Gespräche, automatisierter Deployment-Prozess
○ Schulungen zu z. B. Cyberkriminalität
○ Richtlinien, Kontrollsysteme, Abläufe dokumentieren, ausschließlich Firmengeräte nutzen, Backups aktuell halten
○ Cloud: Service-Anbieter vertraglich verpflichten, nur eigene Server nutzen, gegenseitige Kontrollen, keine vertraulichen Daten speichern
○ Berechtigungen so viel wie nötig, sofort entziehen wenn nicht (mehr) nötig
○ Sicherheitsvorkehrungen beider Seiten, Geheimhaltungsklauseln & Strafen vertraglich festlegen
○ DSGVO einhalten, über Datenverarbeitung aufklären
○ Meldestelle für Missstände
Was ist COBIT?
○ Control Objectives for Information and Related Technologies
○ IT-Governance-Framework für Unternehmen
○ Enthält Best Practices für Implementierung, Überwachung & Verbesserung des IT-Managements
Welche fünf Domänen definiert COBIT?
○ Ausrichtung der IT-Strategie an der Unternehmensstrategie
○ Ermitteln und Messung des Wertbeitrags der IT
○ Zielgerichteter, effizienter Einsatz aller Ressourcen
○ Risikomanagement und Risikovorsorge
○ Leistungsmessung
Wie lässt sich der Wertbeitrag der IT messen?
z. B. mit einer Balanced Score Card
○ Betrachtet auch immaterielle Werte für die Ermittlung des Wertbeitrags
○ Finanzen/Wertbeitrag: Auftreten gegenüber Shareholdern für finanziellen Erfolg/Wie wird IT-Abteilung vom Management wahrgenommen?
○ Interne Geschäftsprozesse/Exzellenter Betrieb: In welchen Prozessen müssen wir die Besten sein?/Sind IT-Prozesse effizient und effektiv?
○ Lernen und Entwicklung/Zukunftsorientierung: Wie können wir unsere Fähigkeit zum Wandel und zur Verbesserung beibehalten?/Sind wir in der Lage zukünftige Anforderungen zu erfüllen?
○ Kunden/Nutzer: Auftreten gegenüber Kunden/Wie nehmen Anwender die IT-Abteilung wahr?
Welche Fragen ergeben sich bei der Steuerung kritischer Ressourcen?
○ Werden IT-Betrieb-Budgets regelmäßig überschritten? Wie oft und wie hoch?
○ Gibt es Mittelfristige Kapazitätsplanung für kritische IT-Ressourcen?
○ Sind Notwendige IT- und Fachkenntnisse vorhanden?
○ Sind IT-Kapazitäten und -Infrastruktur ausreichend und geeignet, gegenwärtige und zukünftige geschäftliche Anforderungen zu unterstützen?
Was sind übergreifende Fragen im Zusammenhang der Einschätzung des Risikomanagements in der IT?
○ Gibt es eine Aufstellung relevanter IT-Risiken?
○ Gibt es vorbeugende und risikobegrenzende Maßnahmen um relevante IT-Risiken bewältigen und überwachen zu können?
○ Arbeiten IT und Geschäftsbereich bei Wiederanlaufplanung eng zusammen?
○ Gibt es eine Verbindung zwischen Identifizierung & Bewältigung von IT-Risiken zu übergreifendem Management operationeller Risiken?
○ Welche Bedeutung hat Informationssicherheit im Unternehmen?
Aus welchen Ebenen besteht das Schichtenmodell zur IT?
Welche Faktoren müssen bei der Ausfallsicherheit der Ebenen berücksichtigt werden?
Ebenen:
○ Infrastruktur aus Gebäuden
○ Hardware-Infrastruktur
○ Backup- & Recovery-Infrastruktur
○ Software-Infrastruktur
Ausfallsicherheit:
○ Menschliche Eingriffe (geplante & ungeplante Downtimes, Fehler, organisatorische Mängel)
○ Technisches Versagen
○ Betriebsbedingungen (Temperatur, Feuchtigkeit, Stromstabilität)
○ Höhere Gewalt
Welche Herausforderungen treten bei Backup- & Restore-Prozessen in der IT auf?
○ Zu sichernde Datenmengen wachsen
○ Anforderungen an Verfügbarkeit wachsen -> Backup-Fenster wird Engpass
○ Zunehmend unstrukturierte Daten durch Big Data
○ Heterogene Sicherungsmethoden (Zugriffsmethoden, Geschwindigkeiten)
○ Notwendige Backup & Restore Geschwindigkeit steigt
○ Unabhängigkeit vom Ursprungssystem, Auslagerung Datenbestände, Redundanzen
○ Cloud-Lösung unter Kontrolle der IT im Recovery-Fall ggf. hilfreich
Welche Aspekte sind bei Backup- & Restore-Prozessen bezüglich der IT-Landschaft wichtig?
○ Betriebssystem, Konfiguration, DBs & Anwendungen trennen
○ Definitive Media Library (DML) & Configuration Management BD (CMDB) wichtige Tools
○ Abstimmung mit Kunden für Backup-Intervalle (Full, Delta, Inkrementell) sowie Speicherzeitraum
○ Schnellverfahren für Rücksicherung einzelner Datenbestände
○ Backup & Restore von Systeme regelmäßig proben
○ Herausforderung: Datenkonsistenz unterschiedlicher vernetzter Applikationen mit logisch verknüpften Datenbeständen
Wie lässt sich die Einhaltung des Service Levels bestimmen?
○ Über die Verfügbarkeit des Services in Prozent
○ Hängt von der Servicezeit und der Ausfallzeit ab
○ Einhaltung der Servicezeit ist ein Qualitätskriterium
○ Messung der Ausfallzeit muss im Vorfeld festgelegt werden
○ Geplante Ausfallzeiten müssen frühzeitig geplant werden
Wie lässt sich die Verfügbarkeit eines Systems berechnen?
Über Service- und Ausfallzeit:
Verfügbarkeit= (Servicezeit −Ausfallzeit)/Servicezeit
Über mittlere Zeiten:
MTBF: Mean Time Between Failures
MTTR: Mean Time To Recovery
Verfügbarkeit= MTBF/(MTBF+MTTR)
Wie werden Vereinbarungen festgehalten?
○ Durch ein hierarchisches Vertragswerk
○ Dieses besteht aus einem Master Agreement, auch SLA genannt
○ Enthält abhängige Statements of Work, die IT-Services spezifizieren und in denen die Vereinbarungen des SLA gelten
Welche Kategorien und Unterkategorien von Vereinbarungen enthält das SLA?
○ Allgemeine Vereinbarungen (Vertragsstruktur, Begriffe, zusätzliches):
- Definitionen & Interpretationen
- Vertragslaufzeiten & Administration
- Verwendung von Namen & Logos
- Kündigung & Übergang
○ Organisatorische & finanzielle Aspekte (Kommunikation mit Management, Änderung des Rahmenvertrags):
- Servicemanagement & Reporting
- SOW Änderungen & Change-Request-Verfahren
- Performanceverbesserung
○ Finanzielle Vereinbarungen:
- Vergütung
- Abrechnung & Steuern
○ Informationssicherheit & technische Fragen:
- Geheimhaltung/Datenschutz & Zugang zu Systemen/Informationen
- Käufer-Equipment
- Netzwerkverbindung
- Sicherheit, Business Continuity & Disaster Recovery
- Softwaregrundsätze
○ Rechtsfragen (Gesetzliche Regelungen betroffener Länder, Regelungen zu Streitigkeiten):
- Gewährleistung, Haftung & Entschädigung
- Visa & Arbeitserlaubnis
- Versicherungen & höhere Gewalt
- Abwerbeverbote
- Streitbeilegungsverfahren
- Auditzugang
○ Leistungen:
- Vertragliche Resultate & deren Verwendung
