lost in translation – ein praktischer wegweiser

IT Management PrinciplesIT Management PrinciplesLost in translation?by Raphael Rues, Digicomp Romandie SA

Digicomp ITIL Day Zürich, 22.3.2012

Raphael Rues, Ascona Ticino� BA degree in economic history, Raphael extends his interest in

computing graduating Wirschaftsinformatiker II at WISS/Zurich and a postgraduate IT security (NDK-NDS) in Lucerne. Opportunities and risks are a culmination of activities within Digicomp. In 2003, he completed his Master MSc in Risk Management - University of Leicester in England.

� Raphael co-directs Digicomp operations in Suisse Romande. Within six � Raphael co-directs Digicomp operations in Suisse Romande. Within six years, turnover has increased fivefold and Digicomp has become synonymous with leadership in service management training.

� Raphael's expertise is both practical (in his capacity as consultant and senior partner of Minimarisk Gmbh in Zug) and academic. Raphael is in other certified ISO 20000 Lead Auditor, ITIL v3 Expert, ITIL v2 Service Manager and he also holds certifications in the areas of security, risk management and project management.

� Hobbys: Travel, Sailing, Flying and circuit driving

Agenda

1. Introduction2. IT Governance3. Frameworks and Models in IT Management

� Value DeliveryRisk Management� Risk Management

� Resource Management� Performance Management� Strategic Alignement

4. Improvement approaches5. Final discussion

Goal of the presentation

� The purpose of this presentation is to understand and know how to apply the right framework (principle, baseline, standard) within the IT management context.

� This presentation “IT Management Principles” offers a state-of-the-artof the main frameworks and IT management models from an holistic of the main frameworks and IT management models from an holistic and “swiss minded” view.

� You will become familiar not only with the frameworks’ challenges, standards and models, but also with their principles, key concepts and the main gains resulting from their implementation. However this may be only the tip of the iceberg, as (too) many standards are today available.

1. ITSM: The Process Puzzle

1.1 ITSM: Tools Wildlife

PC Life-cycle solutions Endpoint Monitoring

ITAM / ITSM Security & Compliance

Discovery & Service & Event Mgt Customer experience Business transactions simulation

Source: Nexthink Digicomp Academy 2012

1.2 ITSM: Topology of IT-related standards

Source: Gartner ITSM Topology Survey 2010

2. Frameworks and models

Source: CobIT 4.1

2.1 Strategic Alignement

� Strategische Ausrichtung� Konzentriert sich auf: die Sicherstellung des

Verbunds von Unternehmens- und IT-Zielen; auf die Festlegung, Beibehaltung und Validierung des Wertbeitrags; den und Validierung des Wertbeitrags; den Abgleich zwischen operativem Betrieb des Unternehmens und jenem der IT

Source: CobIT 4.1

CobIT 4.0 and 4.1

� Control Objectives for Information Technology� New Version 5.0 expected by mid-2012� 4 Domains, 34 Processes� Highlights:

� Process Definition (Prozesseigner, � Process Definition (Prozesseigner, Wiederholbarkeit, Ziele und Vorgaben, Rollen und Verantwortlichkeiten, Performance des Prozesses und Policy, Pläne und Verfahren)

� Balance Score Card (siehe Performance)� Goals and Metrics per Process (Ziele und

Metriken)� Maturity Model (siehe Performance)

Source: CobIT 4.0

IT Assurance Guide

� IT Assurance Guide� Based on CobIT� 4 Domains, 34 Processes� Highlights:

Control Objective (Was) / Control� Control Objective (Was) / ControlPractice (Wie)

� Risk Drivers

Source: ISACA Assurance Guide

ISO 19011 Audit

� ISO 19011 Guidelines formanagement systems auditing

� With ISO pay attention toshall/should

� Highlight audit process:� Highlight audit process:� Establishing the audit programm� Implementing the audit programm� Monitoring and reviewing� Improving

Source: iso.org

2.2 Value Delivery

� Schaffen von Werten/Nutzen� Beschäftigt sich mit der Realisierung des

Wertbeitrags im Leistungszyklus, der Sicherstellung, dass IT den strategisch geplanten Nutzen generiert und geplanten Nutzen generiert und konzentriert sich auf die Kostenoptimierung und die Erbringung des intrinsischen Nutzens der IT.

ISO 20000:1 and ISO 20000:2

� ISO 20000 IT Service Management� With ISO pay attention to shall/should� Formerly known as BSI 15000� Highlights:

Slim processes must-have� Slim processes must-have� Not always easy to implement� Takes into consideration the know-how

of the person doing the task!

Source: AFNOR / iso.org

2.3 Resource Management

� Ressourcenmanagement� Kümmert sich um die Optimierung von

Investitionen in IT-Ressourcen und ein geregeltes Management derselben. IT-Ressourcen sind Applikationen, Ressourcen sind Applikationen, Information, Infrastruktur und Personal. Wesentlicher Bestandteil ist auch die Optimierung von Wissen und der Infrastruktur.

ITIL v3 2011� ITIL V3 2011 Information Technology

Infrastructure Library� Die IT Infrastructure Library (ITIL) ist eine

Sammlung von Best Practices in einer Reihe von Publikationen, die eine mögliche Umsetzung eines IT-Service-Managements (ITSM) beschreiben und inzwischen (ITSM) beschreiben und inzwischen international als De-facto-Standard hierfür gelten.

� In dem Regel- und Definitionswerk werden die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge beschrieben. Die ITIL orientiert sich an dem durch den IT-Betrieb zu erbringenden wirtschaftlichen Mehrwert für den Kunden.

MOF 4.0

� Microsoft Operation Framework 4.0� 4 domains (Plan, Deliver, Operate and

Manage)� Highlights:

� Very Microsoft minded, much� Very Microsoft minded, muchoperational minded

Source: Microsoft Operations Framework 4.0

Prince 2 and PMBOK 4.0

� Prince2 (Project in ControlledEnvironments)

� and PMBOK (Project Management Body of Knowledge)

� Highlights:� Highlights:� Prince2: more strategic, emphasis

on business case, planning andmanaging of stages (directing a project)

� PMBOK: more tactical – proceduralway of doing projects.

Source: PMI.org / apmg.co.uk

2.4 Risk (and Security) Management

� Risikomanagement� Erfordert eine Risiko-Awareness bei der

Unternehmensleitung, ein klares Verständnis über die Risikobereitschaft (engl: risk appetite) ein Verständnis für (engl: risk appetite) ein Verständnis für Compliance-Erfordernisse, Transparenz über die für das Unternehmen wichtigsten Risiken und die Integration der Verantwortlichkeit für Risikomanagement in der Organisation.

M_o_R Management of Risk

� Management of Risk (M_o_R)

� The M_o_R guide is intended to help organisations put in place an effective framework for taking informed decisions about the risks that affect decisions about the risks that affect their performance objectives across all organisational activities, whether these be strategic, programme, project or operational.

� "The term 'management of risk' incorporates all the activities required to identify and control the exposure to risk which may have an impact on the achievement of an organisation'sbusiness objectives.“Source: M_o_R - OGC.org.uk

ISO 27001, ISO 27002, ISO 27005

� ISO 27001 (formerly BS 7799) is an information security “shall” standard providing requirements on a range of controls for implementing security. ISO 27002 provides “should” guidance.

� ISO 27001 contains following domains:� ISO 27001 contains following domains:� Security policy and Organization of information

security � Asset management and Human resources security � Physical and environmental security � Communications and operations management� Access control � Systems acquisition, development and

maintenance � Security incident management � Business continuity management � Compliance

Source: iso.org

Grundschutzhandbuch

� Das "IT-Grundschutzhandbuch" heißt seit der Version 2005 "IT-Grundschutz-Kataloge".

� Die IT-Grundschutz-Kataloge beinhalten die Baustein -, beinhalten die Baustein -, Maßnahmen- und Gefährdungskataloge .

� Die Vorgehensweise nach IT-Grundschutz, Ausführungen zum Informationssicherheitsmanagement und zur Risikoanalyse finden Sie nun unter den BSI-Standards.

Source: bsi.de

Standard: BS 25999 (formerly PAS 56)� BS 25999 is a Business Continuity

Management (BCM) standard (albeit not recognized by ISO) in two parts.

� The first, "BS 25999-1:2006 Business Continuity Management. Code of Practice", takes the form of general “should ” guidance and seeks to “should ” guidance and seeks to establish processes, principles and terminology for Business Continuity Management.

� The second, "BS 25999-2:2007 Specification for Business Continuity Management", specifies “shall ” requirements for implementing, operating and improving a documented Business Continuity Management System (BCMS), describing only requirements that can be objectively and independently audited.

Source: bsi.org.uk

BCI Good Practice Guidelines� „Good Practice Guidelines” (GPG) published by the

Business Continuity Institute (BCI) is a further Best Practice Standard. BCI was established in 1994 with the scope of leveraging the competences and know-how within Business Continuity Management. The „Good Practice Guidelines“ appeared for the first in 2002 and, is yearly updated. The GPG 2008 is in the following six sections developed:updated. The GPG 2008 is in the following six sections developed:

� Section 1: BCM Policy & Programme Management,� Section 2: Understanding the Organisation,� Section 3: Determining BCM Strategy,� Section 4: Developing and Implementing BCM

Response,� Section 5: Exercising, Maintaining & Reviewing

BCM arrangements� Section 6: Embedding BCM in the Organisation’s

Culture.

� GPG is freely available under this URL: http://www.thebci.org/gpgdownloadpage.htm

� Stage 1 Initiation: Scope; Terms of Reference; roles and responsibilities; resource allocation; project organisationand control structure; agreed quality and project plan;

� Stage 2 Requirements and Strategy: BIAs; Risk Analysis; Risk Response Measures;

Quasi-Standard: Service Design ITILV3 ITSCM

Risk Analysis; Risk Response Measures; ITSCM recovery options;

� Stage 3 Implementation: Business Continuity Plans; Change Management and Configuration Management;

� Stage 4 Requirements and Strategy: Education, awareness and training; regular review; test programme; Change Management;

Empfehlungen für das Business Continuity Mgmt

� The Federal Banking Commission (SFBC) considers that a Business Continuity Management is appropriate for a bank, a prerequisite for authorization to carry on business within the meaning of art. 3 of the Bank Act.the Bank Act.

� With respect to this document, it includes in principle the recommendations with which compliance is not mandatory, except as regards the establishment of an impact assessment (Chapter 5.4.1) and the definition of a Business Continuity strategy (chapter 5.4.2). These two elements are considered essential by the SFBC as a minimum standard required of a point of view of surveillance.

Source: SwissBanking,

http://www.swissbanking.org/11107_d.pdf

CH Obligationsrecht

� IKS OR Art. 728a seit Januar 2008.

� Risikobeurteilung OR Art. 663b z12 (RiskManagement) seit July 2007 – anycaseoverall responsability for RM is on VR

� Who (Wer) ? Public „economic“ companies, which fulfill at least two of the threecriterias:� Balance sheet > CHF 10 Mio;� Turnover >CHF 20 Mio;� Employees > 50;

2.5 Performance Measurement

� Messen von Performance� Verfolgt und überwacht die Umsetzung der

Strategie, Umsetzung von Projekten, Verwendung von Ressourcen, Prozessperformance und Leistungserbringung (engl: Service Delivery). Leistungserbringung (engl: Service Delivery).

� Es wird beispielsweise eine BalancedScorecard verwendet, um die Strategie in Aktivitäten zu übersetzen und diese messbar zu machen, die für die Zielerreichung notwendig sind. Die Messung geht hierbei über die Anforderungen des Rechnungswesens hinaus.

Reifegradmodel (Capability Maturity Model)

� Folgende Ebene:� 0—Management Prozesse werden nicht angewandt� 1—Prozesse sind ad-hoc und unorganisiert� 2—Prozesse folgen einem regelmäßigen Muster� 3—Prozesse sind dokumentiert und kommuniziert� 4—Prozesse sind gemonitort und gemessen� 5—Good Practices werden angewandt und automatisiert

Source: CobIT 4.0 Deutsch

Balance Scorecard� Die Balanced Scorecard dient als

Führungsinstrument zur Ausrichtung der Organisation an strategischen Zielen. Im Gegensatz zu Unternehmensleitbildern und anderen unscharfen Formulierungen versucht die Balanced Scorecard die Erreichung die Balanced Scorecard die Erreichung von strategischen Zielen messbar und über die Ableitung von Maßnahmen umsetzbar zu machen.

� Im Gegensatz zu klassischen Kennzahlensystemen lenkt die BSC den Blick über die unterstellten Ursache-Wirkungs-Zusammenhänge aber auch auf nicht-finanzielle Indikatoren.

Source: CobIT 4.0 Deutsch

Demingkreis

� Demingkreis oder auch Deming-Rad (Plan-Do-Check-Act )

� PDCA-Zyklus beschreibt einen iterativen vierphasigenProblemlösungsprozess, der seine Ursprünge in der Qualitätssicherung Ursprünge in der Qualitätssicherung hat.

� PDCA steht für Plan–Do–Check–Act, was auch als Planen-Tun-Überprüfen-Umsetzen oder Planen-Umsetzen-Überprüfen-Handeln übersetzt wird.

� Der PDCA-Zyklus findet ebenfalls Anwendung beim kontinuierlichen Verbesserungsprozess beziehungsweise Kaizen.

Improvement approaches

� Reifegradmodel (Capability Maturity Model)� Balance Scorecard

� Ziele und Metriken� Demingkreis

Vielen Dank

� Raphael Rues (Digicomp Academy)phone direct: +41 21 321 65 00email: raphael.rues@digicomp.ch

Appendix - Quellen� Strategic Alignement

� CobIT 4.1 and IT Assurance Guide� ISO Standards:

� Value Delivery� SECO ITSM CH-Firmen� MOF 4.0� MOF 4.0� ITIL V3 2011

� Resource Management� Prince2

� Risk Management� OR 728 und OR 663� Enisa Risk Management� M_o_R� SECO ISO27k CH-Firmen