In meiner Zertifikatsarbeit habe ich mich mit dem Thema befasst, ob die neuen agilen Entwicklungsmethoden die klassischen Aufwandschätzverfahren ausbremsen. Dabei kam ich zum Schluss, dass die klassischen Schätzverfahren nicht einfach so verwendet werden können, wenn die Softwareentwicklung im Anschluss nach agilen Methoden gemacht wird.
Sie können die gesamte Arbeit kostenlos herunterladen. Download.
Die Arbeit wurde mit der Bestnote bewertet. Meiner Ansicht nach wird dem Thema Aufwandschätzung bei agilen Methoden zurzeit noch zu wenig Beachtung geschenkt. Hier braucht es neue Ansätze und Denkweisen.
 |
| (Quelle: Wikipedia) |
IT-Forensic hat wo möglich mehr mit Compliance zu tun, als manchen Compliance-Officern lieb ist. Aber alles der Reihe nach.
IT-Forensic ist ein Teilgebiet der Forensik und befasst sich mit der Ermittlung von Tatbeständen und Täter über Vorfälle, welche sich in einem oder mehreren IT-Systemen zugetragen haben. Dazu kommt in aller Regel ein Standard-Prozess zum Einsatz, welcher die vier Schritte Identifikation, Sicherstellung, Analyse und Präsentation beinhaltet.
Dazu wurden in den letzten Jahren zahlreiche Programme entwickelt. Noch schwieriger als in der realen Welt ist es in der IT-Welt, Spuren zu sichern ohne diese vorgängig zu verändern. Nicht selten kommt es zu Zielkonflikten, die man fast nicht lösen kann. So können Sie beispielsweise nur Daten einer Festplatte konform sicherstellen, wenn das System abgeschaltet ist. Läuft das System noch, können Sie nur über dieses System auf die Daten zugreifen. Hat dieses Fehler oder einen Virus, können Sie so beschaffte Daten nicht vor Gericht als Beweise vorbringen, da es sich nicht beweisen lässt, dass die Daten nicht beispielsweise vom vorhandenen Virus bei der Beschaffung verändern wurden. Schalten Sie das System hingegen ab, so gehen all die flüchtigen Informationen verloren. Dabei wären vielleicht gerade die Informationen im RAM interessant gewesen. Genutzte oder offene Netzwerkverbindungen, welche nicht persistiert werden und so weiter.
Es gibt nun mehrere Gründe, weshalb es nicht schadet, wenn ein Compliance Officer eine gewisse Ahnung von IT-Forensic hat.
Erkenntnisse und Lösungen nutzen
Erkenntnisse und Lösungen von Softwareanbietern in diesem Bereich könnten auch für einen Compliance Officer nützlich sein. Beispielsweise, wenn man überprüfen will, ob es illegale Dokumente auf den Fileservern der Unternehmung gibt. Haben Mitarbeitern Dokumente dort abgelegt, welche heikel sind und durch deren Besitz das Unternehmen womöglich verurteilt werden könnte (insbesondere auch im Ausland)? Oder werden Kundendaten wie Namen über das Internet veröffentlicht, beispielsweise weil Kundenberater diese Zwecks Suche Google anvertrauen? Werden Kundenlisten ausgedruckt per E-Mail versendet, obwohl dies streng verboten ist? Welche Daten können auf dem Filesystem gelöscht werden, welche müssen zwingend wegen gesetzlicher Vorschriften behalten werden? Dies sind alles Fragen, welche heute mit verschiedenen günstigen und weniger günstigen Softwareprodukten beantwortet werden können und es sind alles Fragen, welche auch für Compliance von Interessen sind oder sein sollten.
Vorbereitet sein
Weiter muss man als Unternehmen auch vorbereitet sein. Es kann gut sein, dass auch das eigene Unternehmen einmal von einer IT-Forensic-Untersuchen betroffen ist, weil jemand das Unternehmen verklagt hat. Da ist es gut, wenn man für solche Fälle vorbereitet hat und das Risiko zum einen in der Kategorie von Rechtsrisiken, wie auch in der Kategorie der operationellen Risiken (OR, ORM) führt und aktiv bewirtschaftet. Wie werden E-Mails abgelegt? Wie können wir diese effizient überwachen? Wie gehen wir im Falle einer IT-Durchsuchen vor, wie ermitteln wir im Anschluss, welche Daten wir haben und was die Gegenpartei allenfalls herausfinden könnte? In solchen Fällen muss es erfahrungsgemäss sehr schnell gehen - gut positioniert ist, wer sich entsprechend vorbereitet hat.
Wollen Sie mehr über IT-Forensic für Compliance Officer wissen? Schreiben Sie mir.
In meiner Zertifikatsarbeit habe ich mich mit dem Thema befasst, ob die neuen agilen Entwicklungsmethoden die klassischen Aufwandschätzverfahren ausbremsen. Dabei kam ich zum Schluss, dass die klassischen Schätzverfahren nicht einfach so verwendet werden können, wenn die Softwareentwicklung im Anschluss nach agilen Methoden gemacht wird.
