Das fordert der Beraterkollege Winfried Materna in der Computerwoche. Gut – im Artikel selbst klingt das nicht so reißerisch, wie in der Überschrift:

Heute werden Outsourcing-Entscheidungen aus einer defensiven Haltung her- aus gefällt, Kostengründe spielen eine zentrale Rolle. Mit den anzubietenden Services beschäftigt man sich zu wenig. Ich würde als CIO sagen: Meine Fachabteilung bekommmt von mir die Services, die sie braucht. Die definiere ich, und ich bin imstande, sie schnell zu liefern, schneller als ein außenstehendes Unternehmen.

Er sieht dies vor dem Hintergrund des Wandels hin zu einem verstärkten (abteilugnsübergreifenden) Prozessdenken, das vermehrt fachspezifische Services erfordert.

Microsoft bietet selbst mit LIVE eine Office Cloud Lösung, jetzt aber preist Google eine Cloud Lösung für das Microsoft Office an: Google CloudConnect oder wie es Markus Baersch formuliert: Sharepoint Extralight.
Direkt zu  Google geht es hier und zu einem ersten Testbericht von Markus Baersch hier. Des weiteren berichten Heise und Computerwoche.

Auch wenn das eine oder andere Thema auf schlossBlog aufgrund der Scrum-Konferenz etwas untergegangen ist, hier eine Nachlese aus dem Feedreader:

• Auf den 9. Hamburger IT-Strategietagen darf Deutsche Bank CIO Wolfgang Gartner über die IT Transformation in seinem Haus referieren. Das CIO-Magazin berichtet.
• Symantec stellt fest, dass viele Mittelständler blank sind in Sachen IT-Notfall-Planung. Nach ihrer Berechnung kostet ein IT-Ausfall pro Tag 2.300,-€. Das scheint mir fast schon ein Schnäppchen, da könnte man doch glatt… Wieder das CIO-Magazin.
• In der Computerwoche stellen die Kollegen von Campana & Schott fest, dass oftmals vorhandene Sharepoint-Installationen nur rudimentär genutzt werden und das ihr Potential oft nicht erkannt wird.
• Heise online berichtet über die „Kill Switch“-Debatte zur Abschaltung des Internets durch Staaten.
• Aus der Computerwoche ein Fragenkatalog zu Datenschutz und Datensicherheit in der Cloud.
• Und noch einmal die Computerwoche über Intransparenz und Qualitätsmängel im IT-Outsourcing.

In Beitrag #435 von der Scrum-Konferenz bin ich noch die Inhalte von Jutta Ecksteins Podcast schuldig geblieben:

Die Zeiten eines Outsourcing und Offshoring in der Software-Entwicklung aus reinen Kostengründen sind aus ihrer Sicht vorbei, denn Spezifikationsaufwand, kulturelle Unterschiede und die erforderliche Kommunikation bergen erhebliche Risiken. Wer rein aus Kostengründen outsourct, wird vom Ergebnis in der Regel enttäuscht sein, so ihr Fazit.

Gründe, die auch heute dafür sprechen sind Personal-/Skill-Mangel und marktliche Anforderungen, etwa bei der Erschließung neuer Märkte oder um Kundennähe zu gewährleisten.

Die Entscheidung für verteilte Teams in der Software-Entwicklung ist in der Regel aus einer Notwendigkeit heraus geboren und keine „Liebesentscheidung“.

Den ganzen Beitrag lesen…

Tag 2 mit einem Beitrag von Stefan Roock über das Spannungsfeld Architektur und Agilität:

• Was ist Architektur? – Sicherstellung von Änderungsfähigkeit (nach Tom DeMarco)
• Empfiehlt die Arbeit mit einer Architekturvision („technischer Kumpel der Produktvision“) >> vor dem Start der Entwicklungsarbeit
• In Scrum braucht das Team Architekturwissen, ggf. Integration von Architekten in die Teams
• Ein Architekt darf nicht „hierarisch“ eingebunden sein. Dies widerspricht dem agilen Manifest >> Rolle als Coach
• Untermauerung von Architekturvision mit Prototypen
• Die Architekturvision soll Änderungen unterstützen, dann müssen wir auch keine Angst vor Änderungen haben
• Die Architekturvision soll möglichst schlank sein, weil jede Vorgabe das Projekt weiter einschränkt
• Architekturaufgaben sind Sache des Teams und nicht des Product Owners
• Architektur kann ganz am Anfang mit der Entwicklung  eines „Tracer Bullet Features“ ohne großen Mehwert für den Product Owner getestet werden. Dieses Vorgehen ist einem anfänglichen Architektur-Sprint vorzuziehen. Solche Architektur-Sprints produzieren häufig nur Luftnummern.
• Architektur-Vermittlung funktioniert nur in Face-to-Face-Kommunikation
• Dokumentation, wo erforderlich, möglichst aus dem System heraus (damit sie auch mit dem System übereinstimmt und der Aufwand sich in Grenzen hält)
• …

Lesenswertes zum Thema Datenschutz:

• Die Computerwoche beschäftigt sich mit Datenschutz am Arbeitsplatz: BDSG und andere Normen
• Und insbesondere in der Cloud wird es dann schnell knifflig mit dem Thema Datenschutz – wieder die Computerwoche
• Wo bleibt denn da der Datenschutz möchte man bei dem Beitrag von Blick Log über FACTA fragen. US-Compliance-Vorschriften zwingen weltweit zur Überprüfung aller Bankkunden und umfassenden Datenlieferungen in die USA (incl. Dokumentation)
• Die Computerwoche über Geolokalisierung und Datenschutz
• Zunächst hat sich der Hamburger Datenschutzbeauftragte mit Google in Sachen Google Analytics angelegt und musste dabei lernen, dass seine eigenen Seiten nicht rechtskonform gestaltet waren. Konsequenterweise nahm er sie darauf hin vom Netz. Jetzt erklärt uns sein Berliner Kollege, warum Google Analytics in Deutschland illegal ist. Nachzulesen auf Golem

Neulich auf Facebook spricht mich mein Namensvetter an – also nicht nur ein Herr Schloß, sondern ein Bernhard Schloß, Maler und Rentner aus Chemnitz. Wir unterhalten uns kurz und es stellt sich heraus, dass wir uns eine Zeit lang eine digitale Identität geteilt haben und das kam so:

In einem Kundenprojekt bekam ich Zugriff auf diverse IT-Systeme. Im Entitlement-Service wurde mir dafür eine ID zugewiesen. Eigentlich funktionierte alles wunderbar, bis durch einen Zufall herauskam, dass in einem Kommunikationsverzeichnis mein Namensvetter mit der gleichen ID aufgeführt war. Das gab erst mal einen Aufschrei. Das kann gar nicht sein! Das darf nicht sein! Die ID ist aus dem falschen Nummernband!

Wir sind uns nicht einmal in die Quere gekommen, da meine Namesdoublette zu jenem Zeitpunkt schon in Altersteilzeit war und sein eintrag nur ruhte. Nichtsdestotrotz bekam ich eine neue ID und durfte alle Systemzugänge neu beantragen…

Jahre später komme ich wieder zu diesem Kunden, aber in in einen komplett anderen Bereich und bekomme wieder meine (nicht seine) ID zurück, ohne dass die Identität geprüft worden wäre. Die Historie im Entitlement-Service war noch erhalten. Ich konnte sogar auf meine alten Zertifikate zugreifen. Ich hatte also meine eigene digitale Identität gekapert!

P.S.: Gestern meldet sich Bernhard wieder bei mir. Er hat am 05.02.2011 ab 15 Uhr eine Vernissage im Schloss Altenhain – Herrenhaus. Leider ist auf dem Flyer zur Veranstaltung meine Internetadresse (.de) gedruckt worden, statt seiner (.com). Sieht fast aus als würden wir weiter mehr teilen als nur unseren Namen – auch noch unsere digitale Identität!

 🙂

It is important to start the BI process by determining what questions youwant answered instead of trying to implement a solution that can answer any possible question.

Ken Withee, Microsoft Business Intelligence for Dummies, Hoboken NJ, 2010, S. 82

Kosten und Aufwand für Compliance Aktivitäten wachsen und wachsen. Kein Wunder also, wenn die Kosten der Compliance immer mehr in den Vordergrund rücken.

Hamid Nouri hat sich bereits in einem Beitrag aus dem Jahr 2005 mit dem Thema auseinander gesetzt. Er fragt nach den Auswirkungen der Compliance-Anforderungen auf die IT und weist darauf hin (auch wenn Compliance eine fachliche und keine IT-spezifische Anforderung ist), dass die IT durch Aktivitäten wie Business Continuity Management, IT Service Continuity und Project Portfolio Management Initiativen bereits mit ähnlichen Anforderungen konfrontiert ist.

Nouri liefert möglicherweise den Schlüssel für erfolgreiche Compliance-Aktivitäten und identifiziert die Voraussetzung hierfür:

„… if they are combined or coordinated with IT process and service transformation initiaitves using industry best practrices.“ (p. 8 )

Folgerichtig plädiert er für die Anwendung einer Compliance Management Architecture – also den Einsatz von ITIL & Co. Eine zentrale Rolle fällt dem ITIL Change und Release Management zu. Allerdings attestiert er hierzu treffend:

„Today, in many organizations, the process for handling change requests and change deployment for application systems and infrastructure are very much an inconsistent, manual and laborious set of processes. Most IT organizations are overwhelmed with the volume of changes thrown at them continuously. …“ (p. 15)

Zusammengefasst könnte man also sagen, dass sich Compliance Anforderungen sinnvollerweise im Rahmen der bestehenden Betriebsprozesse umsetzen lassen. Nouri argumentiert weiter, dass sich hier durch Automatisierung und den Einsatz entsprechender prozess-unterstützenden Tools Compliance-Kosten senken lassen.

Unabhängig von dieser letzten Hypothese, scheint mir der Ansatz dieser Compliance Management Architecture zielführend. Es bedarf keiner eigenen zusätzlichen Organisation, keines zusätzlichen Metaprozesses zur Umsetzung der Complianceanforderungen, wenn man diesen Weg konsequent zu Ende denkt. Allerdings muss die Service-erbringede Organisation dazu ertüchtigt werden, aber das muss sie eigenlich in jedem Ansatz. Service-Verantwortliche brauchen eine Awareness für Compliancethemen.

Weitere Beiträge zu Compliancethemen auf schlossBlog.

Dezentralität, das ist das Fazit, das auf netzpolitik.org aus den aktuellen Vorgängen um Wikileaks gezogen wird. Dies konsequent für Firmenarchitekturen zu Ende gedacht ergibt eine Konterrevolution.