e:ndlich e:ndlich
NEWS

Case Study: Effizientes Configuration Management

Artikel von Manfred Lington

Einführung eines Configuration Management
Prozesses, Rollen und Tools
im regulatorischen Umfeld

Diese Fallstudie behandelt die Implementierung eines Configuration Management Prozesses in einer Bank, nachdem ein internes und externes Audit erhebliche Lücken in der Configuration Management Database (CMDB) und den unterstützenden ITSM-Prozessen aufgedeckt hatte.
Die Hauptprobleme lagen in unvollständigen, falschen und inkonsistenten Daten, unberechenbaren und unkontrollierten Änderungen, sowie die Unmöglichkeit, Risiko- und Schutzbedarfsanalysen durchzuführen.

Management Summary

Hauptziele des Projekts:
  • Bereinigung der CMDB
  • Implementierung eines nachhaltigen Configuration Management Prozesses
  • Identifizierung des Manufacture Product Index (MPI) für alle Hardware- und
    Softwarekomponenten
  • Einrichtung eines Softwareregistrierungsprozesses
  • Implementierung eines automatisierten und kontrollierten IMAC-Prozesses
  • Entwicklung eines Change-Control-Prozesses

Trotz dieser Herausforderungen waren wir in der Lage, alle Projektziele zu erreichen und die identifizierten Probleme erfolgreich zu beheben, wodurch die Datenqualität der CMDB erheblich optimiert wurde. Zusätzlich trugen neue Prozesse und Richtlinien dazu bei, die Kontrolle über Änderungen zu stärken und das Risiko von Fehlern zu reduzieren.
Darüber hinaus haben wir die Möglichkeit geschaffen, Risikoanalysen durchzuführen und den Schutzbedarf zu ermitteln, was zu einer insgesamt verbesserten IT-Sicherheit führte.

Wir empfehlen für zukünftige ähnliche Projekte, genügend Zeit für die Planung und Durchführung der CMDB-Bereinigung einzuplanen, regelmäßige Überprüfungen und Audits durchzuführen und alle Stakeholder kontinuierlich einzubeziehen.

Herausforderungen & Ausgangslage

Im Rahmen interner und externer Audits wurden erhebliche Lücken in der Configuration Management Database (CMDB) der Bank und den unterstützenden ITSM-Prozessen (Change, IMAC etc.) festgestellt.

Grundlegende Schwierigkeiten:
  • Unvollständige, falsche und inkonsistente Daten in der CMDB
  • Unzureichende Dokumentation und Kontrolle der Änderungen an IT-Komponenten
  • Fehlende Risikoanalyse durch Änderungen an IT-Komponenten
  • Fehlende/Mangelhafte Durchführung einer Strukturanalyse zur Bestimmung des Schutzbedarfes
Die größten Herausforderungen der Umsetzung des Projektes:
1. Qualitätskontrolle

Die Aufrechterhaltung der Datenqualität in der CMDB bildete eine ständige Herausforderung, da ständig neue Daten hinzugefügt und bestehende Daten aktualisiert bzw. geändert wurden.

2. Stakeholder-Einbindung

Die Einbindung aller Stakeholder war eine weitere Herausforderung, da verschiedene Teams und Abteilungen unterschiedliche Prioritäten und Anforderungen hatten.

3. Regulatorische Anforderungen

Die Einhaltung der regulatorischen Anforderungen (hier: BAIT und MaRisk) war, insbesondere im Hinblick auf den Schutz von Daten und die Einhaltung von Datenschutzbestimmungen, eine weitere große Hürde.

4. Implementierung von Prozessen

Die Implementierung der neuen Prozesse und Richtlinien erwies sich ebenfalls als schwierig, da hierbei eine Änderung der bestehenden Arbeitsweisen erforderlich war.

Vorgehensweise & Lösungen

Die Zusammenarbeit mit Stakeholdern bildete einen zentralen Aspekt unseres Ansatzes. Gemeinsam wurde ein Kriterienkatalog erstellt, um regulatorische Anforderungen und interne Qualitätsanforderungen für das zukünftige CMDB-Setup zu erfüllen. Basierend auf diesem Katalog und einer Ist-Analyse haben wir ein Soll-Konzept für die Umsetzung entwickelt.

Phasen der Umsetzung des Projekts:
1. CMDB-Bereinigung und Qualitätskontrolle

Nach einer Überprüfung der bestehenden CMDB wurden ungenaue und inkonsistente Daten korrigiert. Es wurden neue Prozesse implementiert, um die Datenqualität zu erhalten und zukünftige Inkonsistenzen zu verhindern.

2. Configuration Management Prozess

Nach der Bereinigung der CMDB wurde ein nachhaltiger Prozess für das Configuration Management eingeführt. Dieser Prozess umfasste Richtlinien und Verfahren zur Steuerung von Änderungen und zur Aktualisierung der CMDB.

3. MPI Identifikation

Der MPI wurde für alle Hardware- und Softwarekomponenten identifiziert. Dies ermöglichte die Zuordnung von Schutzanforderungen und gewährleistete die angemessene Sicherung aller Komponenten.

4. Softwareregistrierungsprozess

Um sicherzustellen, dass nur genehmigte und getestete Software sowie Software-Updates installiert werden, wurde ein Prozess zur Registrierung Dieser eingerichtet.

5. IMAC-Prozess

Ein automatisierter und kontrollierter IMAC-Prozess wurde implementiert, um sicherzustellen, dass Änderungen ordnungsgemäß verfolgt und verwaltet werden.

6. Change-Control-Prozess

Schließlich wurde ein Change-Management-Prozess entwickelt, um sicherzustellen, dass sämtliche Änderungen überprüft, genehmigt und ordnungsgemäß umgesetzt werden.

Projekt – Ergebnisse

Folgende Ergebnisse wurden im Projekt erreicht:
  • Bereinigung der bestehenden CMDB und Sicherstellung der Qualitätskontrolle
  • Konzeption und Implementierung eines nachhaltigen Configuration Management Prozesses
  • Identifizierung des Manufacture Product Index (MPI) für alle Hardware- und Softwarekomponenten
  • Einrichtung eines Software-Registrierungsprozesses
  • Implementierung eines automatisierten und kontrollierten IMAC-Prozesses
  • Entwicklung eines Change-Control-Prozesses (Soll-/Ist-Abgleich)
Allgemein, Configuration Management , , , , , , Von Lea Wagenhäuser
Zurück zu News
WordPress Cookie Hinweis von Real Cookie Banner