Prozesse_Blog_5

Security beginnt bei der Organisation: Prozesse sollen den Menschen dienen − Teil 5

Security beginnt bei der Organisation: Prozesse sollen den Menschen dienen − Teil 5

Neben allen technischen Lösungen ist der organisatorische Teil der Cybersecurity ein weiterer Aspekt, der im Fokus stehen muss. In einer Serie von Blogartikeln beleuchten wir verschiedene Aspekte, die die technischen Lösungen ergänzen und deren Wirksamkeit erhöhen sollen.

Nach den Grundlagen, der Configuration Management Data Base (CMDB) sowie dem Change- und Incident-Prozess, geht es nun generell um die «Best Practice» der Prozessimplementierung, so dass auch ein optimaler Nutzen und vor allem Akzeptanz für die Anwendung der Prozesse entsteht.
Prozesse oder strukturierte Abläufe haben heute meist eine Umsetzung in einem Tool und idealerweise eine Dokumentation. Aus diesem Grund betrachten wir Prozesse nicht losgelöst, sondern immer auch im Kontext der Toolumsetzung.

Haben sie sich auch schon folgende Fragen gestellt?

  • Warum muss ich in diesem Formular eine Angabe ausfüllen?
  • Soll ich per Mail anfragen, ein Ticket erstellen oder reicht ein Chat?
  • Warum werde ich nicht rechtzeitig informiert?
  • Braucht es dazu nun eine Change?
  • An wen muss ich mich wenden?
  • Warum muss ich mich um die Weiterleitung der Information kümmern?
  • In welchem Tool soll ich nachschauen?

All dies sind Hinweise auf Prozesse, die nicht praxisorientiert oder unnötig kompliziert sind. Wir werden später auf diese Punkte zurückkommen und sehen, was dahintersteckt und wie man es auch angehen könnte.

Den perfekten Prozess gibt es nicht

In der Vergangenheit haben ganze Abteilungen in Unternehmen Prozesse gestaltet und Beratungsunternehmen haben versucht, die Abläufe zu optimieren. Leider dauert dies oft sehr lange und das Ergebnis widerspiegelt weniger die Praxis als vielmehr theoretische Idealvorstellungen. Zudem sind diese aufwändigen Prozesse dann starr - eine Veränderung ist nur sehr schwer möglich.
Eigentlich sollte es auch nicht das Ziel sein, Prozesse zu perfektionieren. Viel wichtiger ist, dass die Prozesse tatsächlich den Bedürfnissen aller Beteiligten entsprechen, was meist mit Kompromissen verbunden ist. Zudem braucht es ein aktives Change Management, das die Veränderungen auch in der Organisation etabliert.

Werner Lerch
Werner
Lerch
Senior IT Project Manager

Wenn der Prozess zum ******* ist, finden die Menschen andere Wege

Eine ganz wichtige Erfahrung aus vielen Tätigkeiten im Leitungs- und Prozessmanagementumfeld ist, dass Prozesse und Abläufe, die zu kompliziert oder zu aufwändig sind, oft einfach umgangen werden. Das kann damit beginnen, dass man in einem Tool zwar das Minimum erfasst, dann aber nur das pflegt, was zwingend notwendig ist. Wenn zum Beispiel pro Änderung ein Kommentar notwendig ist, dann setzt man einfach ein «.» in das Feld und kann speichern. Nun kann man das natürlich technisch anders lösen, indem man eine Inputvalidierung macht und damit die Leute zwingt, zumindest ein Wort einzugeben. Häufig wird aber auch einfach der Zweck nicht verstanden, warum Informationen eingegeben werden sollen. Hier ist neben guter Benutzerführung auch Hilfe sinnvoll.
Aber: eigentlich sollte man sich fragen: «Warum zwinge ich die Anwendenden zur Eingabe von Informationen, obwohl es offensichtlich in vielen Fällen nicht notwendig ist?» Meist erfolgen die Validierungen zu wenig selektiv, warum muss ich bei jeder Statusänderung einen Kommentar eintragen? Natürlich gibt es Fälle, wo zwingend etwas eingetragen werden muss, wie zum Beispiel beim Abschluss eines Incident, wo die Lösung erfasst werden muss. Beim Abschluss eines Change hingegen braucht es keinen Text: Wenn die Aufgabe erledigt ist, genügt es, den Status auf erledigt zu setzen. Und genau darum geht es mir, wir müssen Prozesse haben, die den Menschen dienen!

Einbezug aller Stakeholder in die Prozessentwicklung

Im Rahmen meiner Tätigkeit hatte ich die Möglichkeit, an einem Kai-Zen (改善) Workshop unter der Leitung eines japanischen Kai-Zen Moderators von Toyota teilzunehmen. Ziel war es, den Change Prozess zu optimieren, was in der Terminologie von Kai-Zen eben ganz anders verstanden wird als in anderen Ansätzen. Ganz wichtig war der Einbezug aller Stakeholder, und damit sind wirklich alle, auch die indirekt Beteiligten gemeint. Danach wurde, ganz der Methodik folgend, zuerst der tatsächliche Ist-Zustand erhoben und danach der Soll-Zustand sowie ein möglicher Weg dorthin erarbeitet. Ich kann nur empfehlen, wenn die Gelegenheit besteht, einmal an einem solchen Workshop teilzunehmen.
Es gab einige interessante Aspekte, insbesondere kamen viele Inputs aus der Praxis, da eben wirklich alle Stakeholder, unter Auslassung der hierarchischen Regeln, direkt miteinander diskutieren konnten. Diese Ideen waren eigentlich alle schon vorhanden, nur gingen diese bisher im Weg durch Hierarchie und Organisation verloren.
Zudem war genügend Zeit, auch völlig alternative Vorgehensweisen auszuprobieren, und der Moderator machte immer wieder völlig disruptive Vorschläge, indem er genau das in Frage stellte, was von allen als zwingend notwendig verstanden wurde.
Als generelle Erkenntnis kann man mitnehmen, dass Prozesse immer systematisch unter Einbeziehung aller Beteiligten verbessert werden sollten. Auch das Vorgehen, den Ist-Zustand zu erheben und wie dieser aktuell verstanden wird, führt zu realistischeren Arbeitsweisen, als wenn nur die Dokumentation betrachtet wird. Ein weiterer wichtiger Aspekt ist immer auch die Management Attention, was sich in den Unternehmen unter anderem darin ausdrückt, dass der Chief Process Officer (CPO) in der erweiterten Geschäftsleitung Einsitz nimmt.

Den Anwendenden entgegenkommen

Nachfolgend einige Beispiele, wie man Prozesse so umsetzt, dass sie auch genutzt werden. Im Prinzip ist jeder Mitarbeiter eine Art Egoist der vor allem daran interessiert ist, dass seine eigenen Aufgaben möglichst effizient und einfach umsetzbar sind. Niemand macht gerne viel Aufwand für Dinge, die nur jemand anderem Nutzen bringen. Aufwand und Nutzen müssen sich also für die einzelnen Mitarbeitenden die Waage halten, sonst scheitert die Umsetzung. Aber es kostet viel Kraft, die Mitarbeitenden immer wieder zu motivieren.

Automatisieren, wo immer es geht

Heute spricht jeder von AI und KI und dem immensen Potenzial, das in diesen Technologien steckt. In der Praxis werden dann aber nicht einmal einfachste Entscheidungsbäume automatisiert umgesetzt. Wir sehen hier immer wieder eine grosse Lücke zwischen dem, worüber gesprochen wird und dem, was tatsächlich umgesetzt wird.
Voraussetzung für eine effektive Automatisierung ist zunächst die Eliminierung von Medienbrüchen. Nur wenn die Daten medienbruchfrei fliessen, kann auch effizient und sinnvoll automatisiert werden. Es muss nicht sein, dass eine eingehende E-Mail automatisch beantwortet wird, es würde zunächst schon ausreichen, wenn die E-Mail anhand vorhandener Merkmale in das richtige System importiert und dem richtigen Kunden und Prozess zugeordnet wird. Fangen wir mit dem Einfachen an – man kann es dann immer noch weiterentwickeln. Denn die Erfahrung zeigt, dass sich die so genannten Fleissarbeiten mit wenig Aufwand perfekt automatisieren lassen - und dafür braucht es erst einmal keine KI!

Workflow und Systeme, die führen und entlasten

Wie bereits erwähnt, sind Medienbrüche eines der Themen, die zu unnötiger Arbeit oder inkonsistenten Daten führen. Ein anderes Thema sind «gute» Workflows. Mit den heutigen Werkzeugen lassen sich Prozesse leicht in einem Workflow-Tool abbilden. Eine Abbildung des Workflows hat gegenüber einer reinen Dokumentation grosse Vorteile, da bei passender Toolintegration eine optimale Führung der Anwender, Kunden, als auch internen Benutzer erfolgen kann. Kundenspezifische Besonderheiten können so abgebildet werden, ohne dass die Mitarbeitenden davon wissen müssen. Ein Änderungsprozess beispielsweise, bei dem nur in bestimmten Fällen eine Genehmigung notwendig ist, kann so systemtechnisch so abgebildet werden, dass alle Mitarbeitenden immer konform handeln.
Wichtig ist auch, von Anfang an die sogenannte Omnichannel-Fähigkeit der Umsetzung zu berücksichtigen, d.h. dass eine Reaktion per Mail, Chat, Telefon oder im Portal erfolgen kann, ganz so, wie es dem Kunden am besten dient. Die Zeiten, in denen man dem Kunden den Kommunikationskanal vorschreiben konnte, sind vorbei.

Wiederverwendung von Informationen

Das Thema Medienbrüche wurde bereits angesprochen, noch wichtiger ist jedoch die Wiederverwendung bereits vorhandener Informationen. Auch hier ist zu überlegen, wie wiederkehrende Fälle identifiziert werden können. Vielfach geht es darum, eine Wissensdatenbank zu füllen, so dass bereits erarbeitetes Wissen leicht gefunden und wiederverwendet werden kann. Seien es Lösungen, die bereits angewandt wurden, oder Informationen, was bereits unternommen wurde, um wiederum Ressourcen möglichst effizient zu nutzen und Wiederholungsarbeiten zu vermeiden.


Schnittstellen

Innerhalb einer Organisation können Medienbrüche mit wenig Aufwand vermieden oder beseitigt werden. Sowohl im CRM-, ERP- als auch im ITSM-Bereich gibt es heute gute Tools, die «out of the box» eine grosse Funktionsvielfalt bieten und auch die integrale Datenverarbeitung effizient machen. Dennoch braucht es an der einen oder anderen Stelle Schnittstellen. Auch hier hilft es, die Akzeptanz der Systeme zu erhöhen, wenn diese Schnittstellen leistungsfähig, aber auch transparent und schnell sind. Das Zeitalter der Batchoperation ist längst vorbei, gefragt sind Online-Systeme und Datenaufbereitung «on the fly».
Auf zwei spezielle Themen im Bereich der Automatisierung muss hier eigegangen werden:

Schnittstellen zwischen Systemen

Gerade im Bereich Security Operations ist es notwendig, eine Automatisierung zwischen den operativen IT-Systemen und dem Betrieb der Sicherheitssysteme in möglichst vielen Bereichen von der Analyse über die Reaktion bis hin zur Mitigation zu erreichen. Gerade im Bereich der Mitigation sind die Durchlaufzeiten eigentlich immer zu lang. Daher muss auch hier so viel wie möglich automatisiert werden, um sicherzustellen, dass Massnahmen so schnell wie möglich umgesetzt werden. Unsere «SOAR as a Service» Lösung ist hier ein wichtiger Baustein im Gesamtrahmen.

Schnittstellen zwischen Unternehmen

Wichtig ist auch eine strukturierte Kommunikation zwischen den Unternehmen. In unserem Konzept des hybriden SOC leben wir eine Kultur, in der jeder die Aufgaben wahrnimmt, die er am besten erfüllen kann. Unsere Analysten erkennen Bedrohungen und schlagen Massnahmen und Abklärungen vor, auf der Kundenseite werden diese dann umgesetzt und die Informationen fliessen zurück. Um dies möglichst strukturiert und effizient durchführen zu können, sind Schnittstellen zwischen den ITSM-Tools notwendig, so dass jede Organisation in ihrem Tool und vor allem mit ihren eigenen Prozessen und Workflows arbeiten kann. Die Praxis hat schon oft gezeigt, dass das Onboarding von SOC-Mitarbeitenden auf Kundentools oder von Kunden auf Anbieterportalen nicht skalierbar und ineffizient ist. Zudem ist es bei den Mitarbeitenden unbeliebt.


Analyse der Fälle aus der Einleitung

In der Einleitung haben wir uns einige Fragen gestellt. Wir greifen sie hier noch einmal auf, mit einigen Hinweisen, wie und was getan werden kann.

Warum muss ich in diesem Formular eine Angabe ausfüllen?

Wichtig ist es Formulare kontextsensitiv zu gestalten: nur diejenigen Felder sind «mandatory» die auch wirklich benötigt werden. Das Ganze erfolgt am besten adaptiv, das heisst sobald ein Feld ausgefüllt ist, das gewisse andere Informationen ausschliesst, wird die nicht mehr benötigte Information auch nicht mehr abgefragt. Idealerweise werden Pflichtfelder auch farblich anders dargestellt und nicht erst beim Speichern auf fehlende Informationen hingewiesen. Eigentlich alles nur Grundsätze eines guten UI-Designs.

Soll ich da nun per Mail anfragen, ein Ticket erstellen oder reicht ein Chat?

Eigentlich sollte es für den Kunden keine Rolle spielen, eine Organisation und ihre Tools sollten heute Omnichannel-fähig sein. Ob Teams, WhatsApp, Mail oder Anruf, alle Medien und Kanäle müssen zusammengeführt werden und die Antwort sollte möglichst auf dem gleichen Kanal erfolgen wie die Frage.

Warum werde ich nicht zum richtigen Zeitpunkt informiert?

Dieser Punkt steht und fällt mit einer guten Workflow-Implementierung. Viel zu oft sieht man Notifikationen die zu spät kommen. Oft ist es sinnvolle eine Information dann auszulösen, wenn es noch Optionen für eine Reaktion gibt und nicht erst, wenn der Zieltermin überschritten ist.

Braucht es dazu nun einen Change?

Wenn ein System etabliert ist, in dem ein Standard-Change mit wenigen Klicks erfasst werden kann, also praktisch das Eröffnen des Changes nicht mehr Aufwand gibt, als eine Mail zu schreiben, was spricht dagegen?

An wen muss ich mich wenden?

Es spricht nichts dagegen dem Kunden transparent zu zeigen, wer am anderen Ende dran ist. Auf der anderen Seite muss aber sichergestellt sein, dass Informationen bei Abwesenheiten nicht ins Leere laufen.

Warum muss ich mich um die Weiterleitung der Information kümmern?

Ja, das sollte nicht sein. Auch hier helfen Transparenz in den Prozessen und gute Tools, um den Informationsfluss optimal zu steuern.

In welchem Tool soll ich nachsehen?

Eine gute Frage: Wir empfehlen, alle Informationen an einem zentralen Ort zu konsolidieren, so dass der Überblick erhalten bleibt.


Vorgehensweisen:

Change Management zur Etablierung der Veränderungen

Wir alle kennen den Change-Management-Prozess aus der IT-Operation. Hier ist aber etwas anderes gemeint. Es reicht nicht aus, Dokumentationen oder Prozesse anzupassen, die Mitarbeitenden müssen auch motiviert und geschult werden, diese anzuwenden. Es ist wichtig alle Stakeholder jeweils mit ins Boot zu holen und die Veränderungen zu erklären, zu schulen und deren Etablierung aktiv zu begleiten. Den Teamleitern kommt dabei eine besondere Bedeutung zu, da sie als Vorbilder fungieren und die Qualitätssicherung übernehmen sowie den Prozessverantwortlichen und Prozesseignern Feedback geben müssen, wenn sich die Umsetzung in der Praxis nicht bewährt.

Empowerment

Noch so gute Prozesse allein reichen nicht aus, es braucht auch das Empowerment der Mitarbeitenden. Empowerment bedeutet, dass die Handlungs- und Entscheidungsspielräume der Mitarbeitenden erweitert werden. Im Idealfall hat immer die Person die Entscheidungskompetenz, die auch das Wissen hat. Kombiniert mit der oben erwähnten Automatisierung und Optimierung wird die Arbeit immer interessanter und es bleibt mehr Zeit für die anspruchsvolleren Themen. Dies sollte dann auch die viel kritisierten Generationen Y und Z motivieren und einbinden.

2nd Opinion

Zusammen mit dem Empowerment, das naturgemäss mehr Verantwortung bedeutet, soll eine Möglichkeit geschaffen werden, sich mit Peers auszutauschen und im Zweifelsfall eine Zweitmeinung einzuholen. Dies sollte nicht der Teamleiter sein, sondern idealerweise jemand aus dem Team, damit dies skalierbar ist. Dieses Vorgehen sollte in guten Prozessmodellen tatsächlich vorgesehen und dokumentiert sein und aktiv gefördert werden.

Eskalation

Auf das Thema Eskalation und Krise werden wir in einem weiteren Blogbeitrag gesondert eingehen.


Fazit

Wir können davon ausgehen, dass die Mitarbeitenden effizient arbeiten wollen und ihre Zeit am liebsten in anspruchsvolle Aufgaben investieren. Aus diesem Grund müssen wir die Organisation so gestalten, dass wir die Mitarbeitenden mit Prozessen und Arbeitsabläufen so weit wie möglich unterstützen und entlasten und ihnen helfen, ihre Arbeit qualitativ hochwertig, zeitgerecht und effizient zu erledigen. Dadurch steigt auch die Motivation der Mitarbeitenden, was schlussendlich wiederum die Leistung verbessert und sich positiv auf die Kosten auswirkt.

Wie kann die Swiss Post Cybersecurity AG Sie unterstützen?

Wir unterstützen und beraten Sie gerne bei der Optimierung Ihrer Prozesse und Vorgehensweisen, insbesondere im Hinblick auf sicherheitsrelevante Aspekte.
Darüber hinaus unterstützt Sie unser Audit- und Consulting-Team bei der Optimierung Ihrer Sicherheitsinfrastruktur und dem Aufbau der Cyber-Resilienz.
In den nächsten Blog-Beiträgen werden wir auf einzelne Aspekte der Organisation eingehen. Typische Prozesse wie das Eskalations- und Krisenmanagement werden im Detail betrachtet und in den Kontext der Cyber Security gestellt.