Outsourcing aus Sicht des IT-Sicherheits-Management

Beschreibung

Die Themen

• Outsourcing aus Sicht des Dienstanbieters
• Outsourcing aus Sicht der outsourcenden Firma

Bericht zum Workshop und Details zu den Vorträgen

Peter Berlich (IBM Schweiz, Zürich):
Outsourcing aus Sicht des Dienstanbieters

Der Vortrag basiert auf der persönlichen Erfahrung, wobei Herr Berlich auch die Kundenseite aus eigener Erfahrung kennt. Die generellen Argumente für Outsourcing sind laut Herrn Berlich:

• Kalkulierbare, variable Kosten bei schwankendem Geschäftsvolumen ("on-demand") und abnehmende Kapitalbindung, demzufolge Konzentration der Investitionstätigkeit eines Unternehmens auf sein Kerngeschäft,
• Ein großer Dienstleister kann Nutzen aus den Vorteilen, die sich aus der "Economy of Scale" durch die Bündelung der Aufgaben von mehreren Auftraggebern, ergeben, ausschöpfen. Er hat eine für Sicherheitsinvestitionen nötige, kritische Masse und bietet seinen Kunden ausgereifte Prozesse.

Herr Berlich bringt mehrere Beispiele, wie allfällige Probleme praktisch und pragmatisch gemeistert werden können. Wichtige Erfolgsfaktoren sind:

• Erfolgreiches Outsourcing hängt von der Festlegung geeigneter Service Level Agreements und einem strukturierten Übergang ab.
• Klare Regelung der Verantwortlichkeiten zwischen Dienstanbieter und Kunde, ergänzt um Skills Management, basierend auf einem strukturierten, beherrschbaren Vertragswerk. 

Stefan Keller (Roche, Basel):
Outsourcing aus Sicht des Kunden

Herr Keller unterstrich die Bandbreite der unterschiedlichen Angebote und Bereiche in denen das Thema "Outsourcing" heute am Markt vertreten wird, u.a. als

• volles Outsourcing der bestehenden IT (oder grosser Teile, z.B. Rechenzentren)
• "Managed Services", z.B. Helpdesk, Network Connectivity
• Body Leasing

Zwischen den Anbietern gibt es dabei z.T. starke Unterschiede, die sich u.U. auch auf die Geschichte der jeweiligen Unternehmen zurückführen lassen. ("Start from Scratch", "Grow from existing business with key customers", "Grow through deals and akquisitions"). Für eine erfolgreiche Partnerschaft ist es dabei auch für den Kunden wichtig, die Ursprünge, Kultur, Struktur und eventuell. Probleme seines Anbieters zu verstehen.

Die typischen Zielsetzungen des Kunden an das Outsourcing (Kostenkontrolle, Flexibilität, Abdeckung von besonderen Skills, einfache Kontrolle des Service, einfache effiziente Prozesse und Agilität) können zum Teil im Konflikt mit den verständlichen Zielen von Anbietern (Standardisierung, Kundenbindung, Profit, etc.)stehen.

Einfache Regelungen können den täglichen Umgang mit Outsourcern sehr erleichtern. Dazu zählen durchdachte Prozesse, in denen sich die Partner nicht gegenseitig blockieren, die Definition einer ausreichenden Anzahl von KPIs und SLAs, regelmässige Security Reports und gemeinsame Security Management Meetings sowie das Recht des Kunden, Sicherheits-Audits durchzuführen.

Besonders wichtig erscheint der Aufbau eines Strategischen Outsourcing Frameworks für ein Unternehmen. Dort können IT Security Anforderungen schon weit im Vorfeld möglicher Partnerschaften in ihren Grundzügen festgelegt werden.  

Helmut Stiegler (STI-Consulting, München):
Rolle des Berater, Einzelpunkte für eine Diskussion

Herr Stiegler zitierte einige Punkte (siehe Folien), die er aus der Kommunikation mit einem nicht genannten IT-Berater entnommen hat. Dieser hatte aus seiner Erfahrung mit Kundenprojekten berichtet, wollte aber wegen eventuell möglicher Rückschlüsse diese nicht selbst vorstellen. Die Einzelpunkte wurden so ausgewählt und abstrahiert, dass Rückschlüsse auf Kunde, Dienstanbieter oder Berater ausgeschlossen und uninteressant sind.

Die als das Thema abschließende Diskussion anhand dieser Punkte wurde leider durch das Ende der Veranstaltung begrenzt. Klar war jedenfalls geworden, dass die Erwartung völlig verfehlt ist, die man als naiver Zuhörer hätte haben können, dass man nur einen Satz intelligenter SLAs benötigt, um als Dienstanbieter oder als Kunde erfolgreich Outsourcing betreiben zu können (unter anderem sind 1000-seitige Vertragswerke üblich). Andererseits war gerade einer der Punkte, die sich ein neugieriger Zuhörer, der selbst kein Outsourcing betreibt, erwartet hatte, dass er "intelligente SLAs" erfährt, die sich im Outsourcing bewährt haben und deshalb mit Vorteil auch für die in-house Organisation zu übernehmen sind.

Hierfür benötigen wir vielleicht eine weitere Veranstaltung und vielleicht auch noch eine etwas länger währende Erfahrung mit Outsourcing-Betreibern auf beiden Seiten.