Meine Welt ist einfach, und so ist meine Definition von Enterprise 2.0:
Enterprise 2.0 ist Web 2.0 hinter der Firewall.
Um Web 2.0 Aspekte (kulturell, organisatorisch und auch technisch) im Unternehmen für ‘mission-critical’ Applikationen einzusetzen, müssen einige wesentliche Hürden genommen werden. Ich wende mich da wieder an meine amerikanischen Kollegen, die die Essenz in einen Satz zusammenfassen können: ‘Whom do I sue, if this thing breaks’. – Wen kann ich also verantwortlich machen, wenn meine Erwartungen nicht erfüllt werden bzw. wie kann ich mein Recht nötigenfalls auch einfordern ? ( – Mit der unausgesprochenen Antwort, dass dies bei Web 2.0 meistens völlig unklar ist).
Auch bei der Einführung von Enterprise 2.0 Technologien müssen die üblichen Betriebs-Kriterien wie:
-
SLA – Service Level Agreements
-
Confidentiality, Priavcy, Security Richtlinien
-
Betriebs-relevante Überlegungen wie backup, 24×7, etc
-
u.v.m.
…erfüllt werden.
Da unterscheidet sich dann Web 2.0 sehr schnell von Enterprise 2.0 wenn z.B ein Google key für ein Mashup nicht mehr funktioniert, weil man mehr als 1.000x pro Tag von einer IP Adresse die Google Map aufruft…( verständlicherweise möchte dann Google auch einen kleinen Obolus für seine Dienste).
Das wichtigste allerdings, das die IT für ein Unternehmen verwaltet, sind die (Unternehmens-)Daten. Diese haben üblicherweise eine viel größere Halbwertszeit als die Applikationen mit denen sie bedient werden (deshalb gibt es ja auch so viele Umstellungs- und Schnittstellenprobleme).
Mit Enterprise 2.0 wird die Fragestellung nach der Datenhaltung aktueller denn je:
Können (wichtige) Unternehmensdaten auch jenseits der Firewall gelagert werden ?
Es liegt im Sinne der Jobsicherung, dass IT Manager und Administratoren diese Frage mit einem strikten ‘NEIN’ beantworten. Meist ist dies auch eine emotionale Reaktion, weil man als Hüter des Datenschatzes kein Risiko eingehen möchte.
Natürlich gibt es im öffentlichen Bereich klare Vorgaben, wie und wo Daten gelagert werden dürfen und die schließen normalerweise einen Betreiberstandort im Ausland aus. Wenn dann noch dazu aus betrieblichen Gründen der US Anbieter des ‘Cloud-Service’ auch den Standort des Servers / Rechenzentrums nicht bekanntgibt, ist es mit dem Auslagern hier schnell zu Ende.
Für Industrieunternehmen gelten allerdings derartige Einschränkungen nicht. Hier sollte es entsprechende Security-Policies mit einer Klassifizierung für ALLE Daten ( elektronisch wie auch herkömmlich) geben, die eine emotionslose und schnelle Entscheidung für die Auslagerung der Unternehmensdaten ermöglicht.
Leider gibt es (nach meiner Erfahrung) in den wenigsten Unternehmen eine derartige Klassifizierung (oder es wird nicht danach gelebt). Bei Entscheidungen wie Datenauslagerung, wird dann der fachliche Eigner zu Rate gezogen, der üblicherweise mit der rechtlichen und technischen Komplexität (vor allem zeitlich) überfordert ist – mit der Konsequenz das alles so bleibt wie bisher.
Das Web 2.0 Paradeunternehmen Salesforce.com ( http://www.salesforce.com/de/ )wirbt mit ISO 27001 Security Zertifizierung und mit seinen fast 60.000 Kunden weltweit hat ‘Force.com’ auch eine ungeheure Verantwortung für die Sicherheit von Kundendaten. – Und eigentlich sind das ja die sensitive Daten, denn es handelt sich um Kundenstock, Marketingpläne, Umsatz und Provisionsplanung, etc.
Es braucht eine Menge Vertrauen, um diesen Schritt zur Auslagerung von Unternehmensdaten zu machen. Ich bin überzeugt, dass viele KMUs mit den Sicherheitsvorkehrungen bei Force.com besser bedient sind, als ihre eigen IT gewährleisten könnte.
Wie ist das bei Großunternehmen – und Enterprise 2.0 ? Ist es Jobsicherung und professioneller Ehrgeiz oder strategische Überlegungen die eine Auslagerung von Unternehmensdaten zur Nutzung von Web 2.0 Funktionen verhindern ?
Die Finanzkrise beschert uns gekürzte IT Budgets, die die IT Verantwortlichen zu alternativen Lösungsansätzen ermutigt. Dies kann zu Innovationen im gesamten Unternehmen führen und sollte an einer Datenhaltung im Web (zb ‘Social Online Storage’ wie bei Wuala http://www.wuala.com/ ) nicht scheitern.
Ich kämpfe mich gerade durch Security-Assessment-Unterlagen sonder Zahl und muss mir auch immer wieder die Frage stellen: Wer soll das entscheiden?
Geht es nur darum, Probleme aufzuzeigen? Die sich natürlich mit 2.0-Perspektiven vervielfachen? Oder streben Security-Richtlinien auch Lösungen an?
Natürlich tun sie das, alles andere sind Unterstellungen. Zur Datenhaltung in Clouds wird es wahrscheinlich trotzdem in vielen Organisationen noch lange ein klares Nein geben.
Auch wenn die Sicherheitsvorkehrungen u.U. besser sind, als man sie selbst machen könnte, taucht immer noch die Frage auf: Wer garantiert das, wem glauben wir?
Damit tauchen neben der technischen Komponente auch noch Vertrauen und Verantwortung in dieser Fragestellung auf, womit (scheinbar) technische Probleme erst wieder zu sozialen, ethischen, organisatorische Fragestellungen, wenn nicht gar zu Glaubensfragen werden.
Treffend formuliert. Es geht in den Sicherheitsthemen immer um die Frage:
Wer trägt welches Risiko ?
Entscheidungen der IT-Sicherheit besitzen, die für Controller negative Eigenschaft, dass diese nicht über eine ROI-Rechnung getroffen werden können.
(…und hoffentlich im nachhinein nicht verifiziert werden können)
Mit IT-Sicherheit kann man einfach Maßnahmen und deren Kosten begründen. Allerdings wird es die 100% Sicherheit nie geben. Sicherheitszertifiezierung sichern Unternehmen bis zu einem bestimmten Grad (z.B. awareness) ab. Ich denke aber, dass der weitaus höhere Beitrag durch ein gesundes Unternehmensklima und Mitarbeiterzufriedenheit erreicht werden kann.Diesen Aspekt decken die ISO27000-Standards wenig ab.
Grundsätzlich spricht nichts gegen ausgelagerte Datenhaltung, wenn die Kosten/Nutzen/Risiko-Analyse entsprechende ENtscheidungen unterstützt. Für solche Entscheidungen ist jedoch mit hohem Aufwand für Meinungsbildungsprozesse der von den Daten Betroffenen zu rechnen.
Die größte Herausforderung stellen aber die Verträge dar. Denn Verletzungen des Datenschutzes oder Vertragsverletzungen haben meist geringe Konsequenzen.
Inwieweit hier die Risikokosten dann den Nutzen die Waage halten, wäre bestimmt eine interessante Studie.