Keine IT – Keine Guetzli

By Nathalie Hertig In IT No comments
Ein IT Audit bei der HUG AG

Zu den Aufgaben eines IT Business Partners gehört nicht nur die Vermittlung zwischen IT und Business. Wir gestalten Prozesse oder bewerten IST Situationen. Wir sind in erster Linie Berater von aussen, Prüfer von Bestehendem und manchmal einfach die kritische Stimme. Ein konkretes Beispiel ist die Durchführung eines IT Audits.

Einen solchen durften wir bei der HUG AG in Malters durchführen. Die HUG AG hat eine interne Informatikabteilung die punktuell von externen Partnern unterstützt wird. “Die in den letzten Jahren voranschreitende Vernetzung von IT-Systemen, Produktionsstätten und –anlagen, bis hin zu den Mobilen Devices wird durch den Trend Industrie 4.0 noch weiter beschleunigt. Mit dieser rasant zunehmenden Vernetzung wächst einerseits die Angriffsfläche für Cyberattacken, andererseits aber auch die Abhängigkeit in eine gut funktionierende und sichere IT-Infrastruktur. Als typisches KMU sehen wir uns tagtäglich mit dieser Herausforderung konfrontiert,” sagt Thomas Gisler, Leiter Supply Chain und Mitglied der Geschäftsleitung bei HUG AG.

In den letzten Jahren wurde bei der HUG AG viel in die Informatik investiert. Sie lässt zudem ihre IT regelmässig von externen Fachspezialisten prüfen. In diesem Zusammenhang hat die Cybertastic GmbH (Gründungsmitglied der IT Dolmetscher Beratung GmbH) einen Audit durchgeführt. Folgende Themenfelder standen dabei in Vordergrund:

  • Ist die IT-Infrastruktur optimal ausgelegt?
  • Funktioniert die IT sicher und zuverlässig?
  • Arbeitet unsere IT wirtschaftlich?
  • Bringt die IT nötige/geforderte Unterstützung?

Mit diesen Fragen als Ausgangslage wurde der IT Audit in folgenden drei Schritten durchgeführt.

  • Der erste Schritt war die Sichtung der vorhandenen Dokumentationen. Diverse Prozesse sind in der Regel dokumentiert, andere sind mündlich vereinbart oder gehören einfach zu den Hausregeln dazu. Was schriftlich festgehalten ist, wird zur Vorbereitung angeschaut und dient als erster Überblick
  • Danach folgte ein Audit Tag vor Ort. Das interne IT Team hat uns den ganzen Tag begleitet und konstruktiv unterstützt. Die HUG AG hatte in unseren Augen verstanden, dass wir nicht da waren um zu bevormunden oder zu kritisieren – wir waren da um zu hinterfragen und um mitzuhelfen, die interne IT zu verbessern. Unsere Fragen an diesem Tag beruhten auf den Themen, die bei der Sichtung der Dokumentationen auftauchten oder unbeantwortet blieben.
  • Der Abschluss bildete die Erstellung eines Audit Berichts und eines Massnahmenkatalogs. Wir fassten unsere Erkenntnisse zusammen und bewerteten diese nach Risiko. Uns ist wichtig, dass wir nicht nur aufzeigen, wo Handlungsbedarf besteht, sondern auch zeigen, wie Folgemassnahmen aussehen könnten.

Es war ein spannender Auftrag. Die konstruktive Zusammenarbeit, die wir erfahren durften, die Offenheit von Seiten der Hug AG zuzuhören und Anregungen anzunehmen, machten diesen Audit zu einem Erfolgserlebnis. Thomas Gisler sagt dazu:

«Der Audit fand in einer äußerst angenehmen und konstruktiven Atmosphäre statt. Die kompetenten Auditoren haben sich in kurzer Zeit einen guten Überblick über unsere IT-Infrastruktur und die damit verbundenen Sicherheitsvorkehrungen verschafft. Unsere IT-Spezialisten empfanden den Audit als Hilfestellung und lehrreich zugleich… so wie es eigentlich sein sollte. Tipps und mögliches Verbesserungspotential wurde auf einer Massnahmenliste zusammengefasst und uns zusammen mit einem Abschlussbericht zur Verfügung gestellt. An dieser Stelle nochmals ein herzliches Dankeschön für die konstruktive und wertvolle Zusammenarbeit.»

Diesen Dank geben wir gerne zurück! Ein IT Audit stellt in erster Linie Fragen und sucht Antworten. Eigentlich eine ganz simple Sache. Die behandelten Themen sind einerseits klassische IT Themen wie Change-Management, Problem Management oder Access Policy. Andererseits geht es auch um «Nicht-Informatikfragen». Zum Beispiel um die Zutrittsregeln am Empfang (kann einfach jemand in unsere Büros reinspazieren?), erhalten unsere Mitarbeiter regelmässige Schulungen, oder Fragen zu Notfallszenarien (was ist, wenn die «Hütte» brennt? im wörtlichen Sinne, nicht im übertragenen).

Uns bleibt die Erinnerung an eine konstruktive Zusammenarbeit. Was bereits weg ist, sind die feinen Guezli … die waren viel zu gut um sie aufzusparen!