DER ULTIMATIVE GUIDE ZU

Technology Risk Management

Technologische Risiken bezeichnen jede Art eines technischen Ausfalls, der Ihrem Unternehmen schaden könnte – wie beispielsweise Vorfälle in der Informationssicherheit oder Dienstausfälle.

Einführung in das Technology Risk Management

Welche katastrophalen Auswirkungen ein nicht vorhergesehener IT-Risikovorfall haben kann, zeigt dieses drastische Beispiel: Bei der Fluggesellschaft Comair, einer Tochtergesellschaft von Delta Air Lines, versagte ausgerechnet im Dezember das Crew-Scheduling-System, da das System nur eine bestimmte Anzahl von Änderungen pro Monat bewältigen konnte. Das System hörte plötzlich auf zu funktionieren und ca. 200.000 Passagiere saßen fest, über die USA hinweg verteilt – und das zur Vorweihnachtszeit! Die Einnahmeverluste durch diesen Vorfall werden auf 20 Millionen US-Dollar geschätzt. Ein stets aktualisiertes EA-Inventar gibt Ihnen Informationen über alle Ihre Anwendungen, einschließlich der Technologien, auf denen sie basieren. So können Sie feststellen, welche verwendeten IT-Komponenten nicht mehr unterstützt werden und dadurch Anwendungen ausfindig machen, die eine potenzielle Gefahr darstellen. Zudem behalten Sie den Überblick über Ihre Technologiestandards. Vorfälle, die aufgrund von nicht unterstützten Technologiekomponenten auftreten, kosten Unternehmen im Durchschnitt etwa 600.000 Euro.

In diesem Guide möchten wir Ihnen zeigen, wie Sie solche Vorfälle vermeiden können.

Kostenloses White Paper - Der ultimative Guide zu Application Rationalization

Was Sie über Technology Risk Management wissen sollten

Die meisten Unternehmen sind besser darin, neue Technologien einzuführen, als alte Technologien abzuschaffen. Die Kosten von eingesetzten Technologien, die nicht mehr unterstützt werden, können allerdings sehr hoch sein. Die Kosten für IT-Ausfälle und Datenschutzverletzungen gehen in die Millionen. Wenn eine Technologie ihr Lebensende erreicht hat, muss sich das IT-Management mit Herausforderungen wie Integrationsproblemen, begrenzter Funktionalität, unterschiedlichen Servicezuständen, Mangel an verfügbaren Ressourcen und fehlender Unterstützung durch die Anbieter auseinandersetzen.

Die 20 größten Technologieanbieter bieten allein über eine Million verschiedener Technologieprodukte an. Die zugehörigen Informationen, wie z.B. die Lebenszyklen, können sich jeden Tag ändern.

Die meisten Unternehmen sind besser darin, neue Technologien einzuführen, als alte abzuschaffen. 67% der CIOs bezeichnen ihr Technology Risk Management als ineffektiv.

Wenn Sie bereits recherchiert haben, wie man ein Technology Risk Assessment durchführt, ist Ihnen die obige Aussage vermutlich geläufig. Wir haben zur Lösung dieses Problems den ultimativen Guide für Technology Risk Assessments erstellt.

Die Technology Risk-Landschaft verändert sich schnell, vor allem durch neu entstehende Technologien wie Blockchain oder neue Methoden wie Microservices. Wird auf diese Veränderungen nicht reagiert, erhöht sich das IT-Risiko und damit das Risiko für das gesamte Unternehmen.

Laut eines Surveys von KPMG muss sich das Technology Risk Management weiterentwickeln, um auf diese neue, schnelllebige und von Veränderungen geprägte Welt vorbereitet zu sein. Viele Unternehmen, die im digitalen Zeitalter agieren, ignorieren die Bedeutung technologischer Risiken und verfolgen weiterhin traditionelle, auf Compliance ausgerichtete Ansätzen. Diese Ansätze bieten jedoch nicht die beste Kontrolle über Technologieassets, Prozesse und Mitarbeiter – hinzu kommen statische qualitative Messungen, reaktive Risikoentscheidungen und mangelnde Innovation.

Wussten Sie, dass 72% der Unternehmen erst dann ein Technology Risk Team an Bord holen, wenn bereits ein Technology Risk-Problem besteht? Und dass 47%  der Unternehmen Technologien wie mobile Anwendungen und Geräte einfach einsetzen, ohne sie überhaupt Teil des Risk Assessments werden zu lassen?

Der Enterprise Architect von morgen [White Paper]: Erhalten Sie praktische  Einblicke, wie man datengesteuert, agil und zukunftsorientiert wird. »

Die Vorteile von Technology Risk Assessments

Technology Risk Assessments bieten viele Vorteile. Dazu gehören:

Kostensenkung

Bewerten Sie die funktionale Passung und Geschäftskritikalität jeder IT-Komponente, um so herauszufinden, welches die besten Technologien sind. So können Sie sich für einen regionen- oder büroübergreifenden Standard entscheiden und redundante Anwendungen und Technologien reduzieren. Warum sollten Sie zum Beispiel Oracle und MySQL verwenden?

Sie bezahlen für beide, auch wenn eine Software für das gesamte Unternehmen ausreichen würde. Lesen Sie hier mehr dazu.

Risikominimierung

Was passiert, wenn eine Software noch nicht auf die aktuellste Version upgedated ist? Oder noch schlimmer – warum werden fünf verschiedene Versionen derselben Software benutzt? Ein Grund dafür wäre, dass die Software mit anderen Technologien verknüpft ist. Anwendungen, die von dieser Anwendung abhängig sind, könnten schließlich einen Schneeballeffekt von Fehlern im gesamten Unternehmen auslösen. Deswegen ist es wichtig, die genutzten Technologien, ihre Lebenszyklen und jegliche Software-Abhängigkeiten zu identifizieren und zu verstehen.

techrisk-apps-at-risk-8-Col-XL@3x

Abbildung 1: IT-Komponenten-Matrix, die den Lebenszyklus von IT-Komponenten in Bezug auf ihre Anbieter und Technologie-Stacks zeigt.

Erhöhte Agilität

Ein Thema, womit die meisten Unternehmen zu kämpfen haben, ist die Standardisierung. Werden keine klaren Standards definiert, kann es sehr schnell chaotisch werden. Sind Standards definiert, müssen wir sicherstellen, dass diese auch eingehalten werden. Idealerweise sollten Sie nicht viel Zeit aufwenden müssen, um beispielsweise beurteilen zu können, wie gut alle Stakeholder die IT-Sicherheitsstandards einhalten. Um das zu gewährleisten, empfehlen wir die Verwendung von Surveys. Sie können entweder ein Tool wie SurveyMonkey oder die LeanIX Survey-Funktion nutzen. Letztere importiert automatisch alle Antworten in das Tool, sodass diese direkt bewertet werden können.

create-survey-8-Col-XL

Abbildung 2: LeanIX Survey zeigt, wie eine IT-Sicherheitsbewertung effizient durchgeführt werden kann.

Die Kosten einer selbst entwickelten Enterprise-Architecture [Whitepaper]: Finden Sie heraus, welche Vorteile ein Enterprise Architektur Management Tool im Vergleich zu Excel, Powerpoint und visio besitzt. »

Technology Stacks – Best Practices

Poster

Technology Stacks – Best Practices

Die ideale Vorlage zur Gestaltung eines modernen IT-Management-Stacks.

Technology Stacks für kleine, mittlere & große Unternehmen – Best Practices

Presentation

Technology Stacks für kleine, mittlere & große..

Die Kategorisierung von IT-Komponenten kann intelligentere Analysen und Prioritäten ermöglichen. Organisieren Sie Ihre Technologie mit diesen drei Vorlagen.

Verbinden Sie EA und ITSM mit der LeanIX ServiceNow-Integration

Poster

Verbinden Sie EA und ITSM mit der LeanIX..

  • Integrationsübersicht
  • Anwendungsfälle
  • Technologie Roadmaps
  • Wichtige Berichte
Die LeanIX Technopedia-Integration

Presentation

Die LeanIX Technopedia-Integration

Wie Sie die Technopedia-Integration von LeanIX einrichten und nutzen, plus die fünf besten Anwendungsfälle.

Wie Sie Technology Risk Assessments durchführen

Jetzt kenne Sie die Vorteile und möchten sicher wissen, wie Sie ein sorgfältiges Technology Assessment erstellen.

Wir empfehlen folgenden Ablauf:

Erstellen Sie eine vollständige Liste Ihrer verwendeten Anwendungen

Hoffentlich haben Sie Ihre verwendeten Anwendungen über die letzten Jahre hinweg dokumentiert. Falls nicht, empfehlen wir Ihnen unsere Anleitung "9 Rules and Guidelines for Application Rationalization". Ohne eine Übersicht Ihrer aktuellen Anwendungslandschaft macht es keinen Sinn, ein Technology Assessment durchzuführen.

Finden Sie die Software-Versionen, die genutzt werden

Im nächsten Schritt müssen Sie alle Software-Versionen auflisten, die aktuell genutzt werden. Wir empfehlen die Verwendung eines Technologie-Stacks, um Ihre Software zu gruppieren. Sie können Ihre Software auch mit Tags versehen (manuell oder durch Verwendung der bereits vorgegebenen LeanIX-Tags), um sie in Zukunft zu referenzieren. Im unteren Beispiel können Sie sehen, wie wir sie mit dem Candidate, Leading, Exception und Sunset-Modell getaggt haben.

Verwendete Server und Rechenzentren finden

Der nächste Schritt ist dem vorangegangenen ähnlich. Wir empfehlen auch hier die Verwendung von Technologie-Stacks zur Gruppierung von Servern und Rechenzentren. In diesem Schritt sollte auch die Überprüfung der Daten stattfinden. Sie können zum Beispiel über einen Standort-Report für IT-Komponenten feststellen, wo genau sich Ihre Server befinden.

ia-countrymap-8-Col-XL

Abbildung 3: Report über den geografischen Standort von IT-Anwendungen.

Verknüpfen Sie Software und Server mit den Anwendungen

Nachdem Sie alle Daten aus den vorangegangenen Schritten gesammelt haben, ist es nun an der Zeit, Software, Server und Anwendungen zu verknüpfen. Dadurch können Sie später die Abhängigkeiten zwischen diesen Objekten nachvollziehen und so Transparenz schaffen.

Finden Sie heraus, wie Technologie Ihr Unternehmen beeinflusst

Sie haben es fast geschafft! Im letzten Schritt finden Sie nun heraus, was Technologie-Risiken tatsächlich für Ihr Unternehmen bedeuten. Es ist Zeit, die Puzzleteile zusammenzusetzen – so können Sie zum Beispiel herausfinden, wo Anwendungen mit einer bestimmten Software-Version gehostet werden.

Microservices – was Sie als Enterprise Architect wissen müssen [White Paper in  EN]:Erfahren Sie, wie man von einer Monolithen IT-Architektur zu einer  Architektur mit Microservices übergeht - einschließlich bewährter Verfahren zur  Einführung von Microservices. »

Deep Dive: End-of-Life Management

Einer der wichtigsten Faktoren beim Technology Risk Management ist das End-of-Life Management.

Aber was bedeutet das? Unternehmen, die nicht darauf achten, ob die verwendete Technologie veraltet ist, sehen sich mit einer höheren Anzahl von Sicherheitsrisiken und Schwachstellen konfrontiert als Unternehmen, die den Lebenszyklus der Komponenten in ihrer IT-Landschaft genau beobachten. Zudem führt die Verwendung nicht unterstützter Hard- oder Software dazu, dass Cyberkriminelle einfacher in Ihr System eindringen und auf Ihre Daten zugreifen können.

Dieses entscheidende Thema, vor dem auch Regierungsbehörden nicht sicher sind, wird häufig vernachlässigt. Wirtschaftsprüfer der US-Regierung haben die US-Bundessteuerbehörde (IRS) 2015 wegen versäumter Aktualisierungsfristen von Windows XP-Computern und Rechenzentrumsservern mit Windows Server 2003 – die beide von Microsoft in den Ruhestand geschickt wurden – lahmgelegt. Neun Monate nachdem Windows XP nicht mehr von Microsoft unterstützt wurde, konnte die Behörde immer noch nicht über 1.300 Computer Rechenschaft ablegen (etwa 1% der gesamten Anzahl an Computern)  und somit nicht sagen, ob diese vom alten Betriebssystem bereinigt wurden. Die IRS musste zudem Microsoft für zusätzliche Supportverträge bezahlen, um mit Sicherheitsupdates versorgt zu werden.

Screen%20Shot%202017-09-06%20at%2015.16.51

Abbildung 5: Auswirkungen alter Technologien auf Unternehmen.

Deep Dive: Compliance

Unternehmen müssen viele Vorschriften einhalten. Compliance kostet zwar Geld und erfordert einen genauen Überblick über die genutzten Anwendungen und Technologien, aber die Kosten der Non-Compliance  sind in der Regel höher. Als Faustregel sagen Experten, dass die Kosten der Non-Compliance 2,5 Mal höher sind als die Kosten der Compliance.

Ein stets aktuelles EA-Inventar liefert Ihnen nicht nur zuverlässige Daten, mit denen Sie die Compliance überprüfen können. Das LeanIX Survey Add-On kann Ihnen zudem bei der spontanen oder regelmäßigen Erstellung von Surveys für die entsprechenden Mitarbeiter helfen, um genaue Informationen zu erhalten– z.B. über die Nutzung sensibler Daten durch Anwendungen.

Ein aktueller Fall wäre hier z.B. die DSGVO. Wir können unsere Daten bewerten, um festzustellen, inwieweit sie für den Datenschutz sensibel sind, und sie als öffentlich/nicht klassifiziert, sensibel, eingeschränkt oder vertraulich einstufen. Wenn Sie ein professionelles Enterprise Architektur Management Tool wie LeanIX verwenden, können Sie Ihren Anwendungen oder Datenobjekten mit Tags weitere Attribute (z.B. „DSGVO eingeschränkt“) hinzufügen. Dies wird in der Regel bereits Teil Ihrer internen Sicherheitsprozesse sein, bei denen Sie den Daten Attribute wie Vertraulichkeit, Integrität oder Verfügbarkeit zuweisen.

Hier können Sie mehr darüber erfahren.

Deep Dive: Komplexität

Komplexität ist der größte Feind der Sicherheit. CIOs müssen stetig dafür sorgen, dass der IT-Betrieb reibungslos läuft. Häufig lautet die Maxime: "Was nicht kaputt ist, muss nicht repariert werden“. Dies trifft jedoch nicht auf die digitale Transformation zu. Es steckt natürlich auch etwas Wahrheit in diesem Grundsatz, denn ein Upgrade auf neuere Technologien ist normalerweise mit Unterbrechungen verbunden. Aber dennoch: Die Beibehaltung des Status quo geht auf Kosten einer erhöhten Komplexität.

landscape-techrisk-7-Col-XL

Abbildung 6: Das LeanIX-Dashboard veranschaulicht, welche Anwendungen gefährdet sind, da die verknüpften IT-Komponenten nicht mehr im Lebenszyklus sind.

Veraltete Hardware, Hardware-Wartung und Sicherheit gehören zu den gravierendsten Problemen der Informationstechnologie, mit denen sich Unternehmen heute konfrontiert sehen. Nicht für die Zukunft der Technologie zu planen gehört bei weitem zu den kostspieligsten IT-Fehlern, die ein Unternehmen machen kann.

Fazit

Die meisten Unternehmen sind besser darin, neue Technologien einzuführen, als überholte abzuschaffen. Die Kosten eingesetzter Technologien, die nicht mehr unterstützt werden, können sehr hoch sein. Die Kosten für IT-Ausfälle und Datenschutzverletzungen gehen in die Millionen. Technology Risk Management ist ein breites und komplexes Thema, das nicht durch manuelle Datenpflege gelöst werden kann – unabhängig von der Größe Ihres Teams. Mithilfe der LeanIX-Software können Enterprise Architekten aktuelle Technologie-Produktinformationen schnell einsehen. Diese Informationen sind unerlässlich für die Risikobewertung der Anwendungslandschaften sowie für die intelligente Planung, Verwaltung und Abschaffung von Technologiekomponenten.

Kostenloses White Paper - Neun typische Anwendungsfälle für Enterprise Architecture

Antworten auf häufig gestellte Fragen zu Technology Risk Management

Was bedeutet Technology Risk Management?

Technology Risk Management ist die Anwendung von Risikomanagementmethoden auf die IT, um dementsprechend das IT-Risiko zu minimieren oder zu verwalten. Technology Risk Management geht mit dem Application Portfolio Management einher, berücksichtigt aber noch mehr Faktoren, wie beispielsweise Business Criticality, Functional Fit und Technical Fit.

Was sind die Vorteile von Technology Risk Assessments?

Durch die Durchführung von Technology Risk Assessments profitiert Ihr Unternehmen direkt von reduzierten Kosten, verminderten Risiken und erhöhter Agilität Ihres Unternehmens. Dies erhöht Ihre Wettbewerbsfähigkeit in einem digitaleren und sich schnell bewegenden Markt.

Wie führen Sie am besten Technology Risk Assessments durch?

  1. Erstellen Sie eine vollständige Liste Ihrer verwendeten Anwendungen
  2. Finden Sie die Software-Versionen, die genutzt werden
  3. Verwendete Server und Rechenzentren finden
  4. Verknüpfen Sie Software und Server mit den Anwendungen
  5. Finden Sie heraus, wie Technologie Ihr Unternehmen beeinflusst
Resource-Page-WP-Nine Use Cases

Gratis White Paper

Neun typische Anwendungsfälle für Enterprise Architecture

Download

Jetzt kostenlos herunterladen

Neun typische Anwendungsfälle für Enterprise Architecture

check-alt

Welchen Wert hat Enterprise Architecture? Noch vor drei Jahren war die Nachfrage nach Enterprise Architects rückläufig. Jüngste Berichte zeigen, dass Enterprise Architecture zu der am schnellsten wachsenden und gefragtesten Fähigkeit in der Technologie-Branche geworden ist - ein Zuwachs von 26% gegenüber den Vorjahren.

check-alt

Die digitale Transformation zeigt den wahren Wert von Enterprise Architecture. Mit dem richtigen Enterprise Architecture Management können Unternehmen eine ganzheitliche Sicht auf ihre Strategie, Prozesse, Informationen und IT-Ressourcen erstellen, um die effizienteste und sicherste IT-Umgebung zu unterstützen.