COMPAREX AG
SAM – Compliance durch Risiko-Management (Header)

SAM – Compliance durch Risiko-Management

Wie hängen IT-Compliance, Risiko-Management und Software Asset Management zusammen? Was hat das eine mit dem anderen zu tun? Muss ich im Unternehmen ein Risiko-Management durchführen und kann ich damit auch direkt meine Compliance sicherstellen? Und wo ist dann der Zusammenhang zu SAM? Antworten gibt es in diesem Beitrag.

Ein Blogbeitrag von Barbara Leising, Principal Consultant SAM Processes

Was ist IT-Compliance?

IT-Compliance bezeichnet die umfassende und dauerhafte Einhaltung gesetzlicher und unternehmensinterner Regelungen. Das Risiko-Management ist dabei ein wesentlicher Aspekt.

Die IT spielt im Unternehmensalltag eine nicht mehr wegzudenkende Rolle und dadurch auch die Abhängigkeit vom reibungslosen Funktionieren der IT. Dabei liegen die größten Risiken heute in den Daten. Die Risiken sind vielfältig: Daten können vollständig oder teilweise verloren gehen, Systeme von außen angegriffen werden - etwa mit Viren, Trojanern oder Denial-of-Service-Attacken (DoS). Immer wieder werden Datenleaks bekannt und Daten veröffentlicht. Dies betrifft uns nicht nur als Privatpersonen, sondern auch Unternehmen mit ihren Geschäfts- und Kundendaten. Schon aus rein betriebswirtschaftlicher Sicht haben viele Unternehmen erkannt, dass sie ihre spezifischen, mit der IT verbundenen Risiken aufspüren und geeignete Maßnahmen zur Schadensprävention und -minimierung ergreifen müssen. Erhebliche Risiken schlummern auch in einem mangelhaften Lizenz- und Vertragsmanagement für den IT-Bereich.

Risiko-Management führt zu SAM

Mittlerweile sollte es eigentlich keine neue Erkenntnis mehr sein, dass ein ungenügendes oder sogar fehlendes Lizenz- und Vertragsmanagement erhebliche Risiken für Unternehmen birgt. Durch das Risiko-Management werden die Notwendigkeiten für ein nachhaltiges und kontinuierliches Software Asset Management oder Lizenzmanagement aufgezeigt. Die größten Risiken sind dabei die Verletzung der vertraglich vereinbarten Nutzungsrechte (und damit ein Compliance-Verstoß) und die finanziellen Risiken, die sich aus Fehllizenzierungen ergeben.

Fehllizenzierung bezeichnet einerseits die „klassische“ Unterlizenzierung, aber auch eine (unbekannte) Überlizenzierung, die vor allem mit dem Einsatz von Cloud-Lizenzen immer wichtiger (und teurer) wird.

Aber auch die Bewertung von IT-Risiken wie die Kritikalität von Systemen und Anwendungen für das Unternehmen und die Risiken durch mögliche Unterbrechungen führen zur Notwendigkeit ein Software Asset Management einzuführen.

SAM stützt Risiko-Management

Bei unseren Projekten im Bereich SAM Prozesse steht auch immer ein Anteil Risiko-Management am Anfang des Weges. Bereits im SAM-Basiskonzept wird auf dieses Thema eingegangen. Jedoch bleibt das erste Ziel eines SAM, die notwendige Transparenz herzustellen. Dies geschieht über die erworbenen und aktuell gültigen Nutzungsrechte an der Software und den Einsatz der Software im Unternehmen. Bereits hier werden Risiken sichtbar (oder erahnt), wenn die Lizenz- und Vertragssituation genauer beleuchtet werden und der eingesetzte Software-Zoo den Verantwortlichen bewusst wird.

Daraus ergeben sich oft weitere Projekte in Richtung IT-Standardisierung. Software Asset Management wird somit zum kontinuierlichen Input für ein Risiko-Management.

Auch die Betrachtung der Prozesse und der Prozess-Schnittstellen von SAM führt häufig von Fragen des Lizenzmanagements zu Aspekten des Risiko-Managements. So ist z.B. die Frage, welche Mitarbeiter Zugriff auf Systeme bekommen und wie diese verwaltet werden, nicht nur eine Frage des Lizenzmanagements, sondern auch wichtig für die IT-Security. Wer hat Zugriff? Welche Zugriffe wurden vergeben? Wie werden Zugriffe entzogen? All das sind nicht nur für die Berechnung und ggf. Optimierung von benötigten Zugriffslizenzen relevante Fragen, sondern auch für die IT- und Datensicherheit.

Compliance durch Risiko-Management

Ein Risiko-Management wird also immer auch die Risiken und möglichen Compliance-Verstöße aufzeigen, die durch ein fehlendes oder ungenügendes Software Asset Management entstehen. Und ein nachhaltiges SAM ist ein wichtiger Input für das Risiko-Management.

Sie benötigen Hilfe bei der SAM-Einführung?

Unser Angebot: Ihr individuelles SAM-Basiskonzept: 

  • Eintägiger Workshop zur Ist-Aufnahme (zwei SAM-Consultants vor Ort)
  • Aufbereitung, Erstellung der Ergebnisse eines individuellen SAM Basiskonzepts und internen Reviews
  • Vorabbesprechung der Ergebnisse mit dem Hauptverantwortlichen für den Workshop / Lizenzmanager und Einarbeitung eventueller Änderungen
  • Abschlusspräsentation vor Ort und Diskussion der Ergebnisse

Mehr zum SAM-Basiskonzept erfahren

Diesen Artikel teilen

Artikel vom:
17.01.2019

geschrieben von:

TAGS:
Compliance, SAM

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben