Um den Geschäftsbetrieb aufrechtzuerhalten, haben viele IT-Leiter bereits Notfallpläne in Kraft gesetzt. Die meisten sind darauf ausgelegt, kurzzeitige, räumlich begrenzte Auswirkungen der Krise einzudämmen. Auf lange Sicht stoßen die Pläne aber an Grenzen.
Die Berater der Hackett Group haben einen Leitfaden erstellt, der CIOs dabei helfen soll, die Ausnahmesituation in den Griff zu bekommen. Sie schlagen sofortige, mittel- und langfristige Maßnahmen vor, die bestehende Notfallpläne ergänzen.
Sofortmaßnahmen
Bestehende Business-Continuity-Pläne sollten demnach weitergeführt werden. Sie schaffen eine erste Basis für weitere Maßnahmen. Ferner heben die Berater die Bedeutung einer klaren Kommunikation und Lagebeurteilung hervor. Sie empfehlen etwa ein cross-funktionales, virtuelles Krisenzentrum einzurichten. Es diene dazu, die Situation und ihre Auswirkungen auf das Geschäft zu bewerten. Zudem könne dort koordiniert werden, was in welcher Form an die Belegschaft kommuniziert wird. Dabei sei es wichtig, dass die Mitarbeiter verstehen, wie die Geschäftsführung den Krisenverlauf bewertet und welche Continuity-Pläne ergriffen werden.
Entscheidend aus Sicht der Berater ist auch die technische Ausstattung der Mitarbeiter. Dazu zählen unter anderem Laptops, PCs, Bildschirme, VPN und Remote-Zugriff auf Anwendungen, ferner die zugehörigen Lizenzen für Konnektivität und Collaboration-Tools. Da einige Mitarbeiter nicht mit den Anforderungen des Home Office vertraut sein könnten, sei mit einem höherem Schulungs- und Support-Bedarf zu rechnen. Dabei helfen könnten etwa virtuelle (On-Demand-) Trainings zu den Tools und eine Verstärkung des Helpdesks.
Problemfall externe Faktoren
Nehmen Fernzugriffe via VPN zu, können die Server an ihre Kapazitätsgrenzen geraten. Das beeinträchtigt möglicherweise automatisierte Prozesse, die auf den Maschinen laufen. Die IT sollte beispielsweise die via Robotic Process Automation (RPA) ausgeführten Transaktionen laufend auf eine mögliche Überlastung prüfen und Workflows gegebenenfalls auf andere Server migrieren.
Trotz aller Bemühungen ist es möglich, dass externe Faktoren weitere Probleme bereiten. Wichtige Partner können beispielsweise stärker von der Pandemie betroffen sein. Sie sollten für die gesamte Dauer der Ausnahmensituation regelmäßig kontaktiert werden, um zu prüfen, ob sie die Service Level auch in der Krise aufrechterhalten können.
Hinsichtlich des Risikomanagements sollte die IT die Zugriffs- und Nutzungsrichtlinien für Unternehmenssysteme überprüfen und die Mitarbeiter dahingehend schulen. Das gilt etwa für Sicherheitsregeln im Umgang mit Collaboration-Tools oder Phishing-Attacken, die auf COVID-19-Themen setzen. CIOs sollten dabei mit externen und internen Angreifern rechnen, die die Krise für Cyberangriffe ausnutzen.
Mittelfristige Maßnahmen
Mittelfristig ist es Aufgabe der IT, Was-wäre-wenn-Szenarien zu entwerfen und entsprechende Pläne einsatzbereit zu halten. Das betrifft etwa plötzliche Nachfragespitzen nach Services oder einen unerwarteten Personalmangel. Die Hackett Group rät, die Szenarien so anzulegen, als müsse der Geschäftsbetrieb nur mit der Hälfte des IT-Teams aufrechterhalten werden.
Auf der Personalebene sollten vorsorglich Nachfolgeregelungen für unverzichtbare Führungskräfte festgelegt werden, die durch Krankheit ausfallen könnten. Weitere Teile der Belegschaft ließen sich etwa auf unterbesetzte kritische Bereiche und Krisen-Projekte verteilen.
Die bisher ergriffenen Sofortmaßnahmen sollten IT-Verantwortliche immer wieder auf ihre Effektivität prüfen und gegebenenfalls verändern. Hierzu kann es nötig sein, die Kennzahlen für die IT-Performance an die neuen Arbeitsweisen anzupassen. Nutzungsraten von IT-Tools, Zugriffs- und Bearbeitungszeiten und die Ticket-Lösungsrate des Service-Desks sind hier gute Kandidaten. Um den personellen Aufwand zu reduzieren, sollten IT-Manager zudem prüfen, ob sich noch weitere Prozesse automatisieren lassen.
Darüber hinaus müssen Unternehmen ihre Desaster-Recovery-Pläne so verändern, dass sie auch bei flächendeckender Heimarbeit funktionieren. Auswirkungen der Krise auf das Thema Compliance sollte die IT auf globaler Ebene bewerten und Risiken eindämmen. Als Kennzahlen in diesem Zusammenhang nennt die Hackett Group hier etwa die Anzahl der Mitarbeiter, die Geräte nutzen, die nicht mit den Sicherheitsprotokollen kompatibel sind. Auch die Anzahl und Abwehrrate von Phishing-Attacken sowie die Menge an allgemeinen Cybervorfällen sollte das IT-Team mit den Daten vor der Krise vergleichen.
Auf lange Sicht
Auf Grundlage der gesammelten Erfahrungen sollten CIOs die Infrastruktur robuster und widerstandsfähiger gestalten, um besser für kommende Krisen gewappnet zu sein. Zudem rät die Hackett Group, die Automatisierung manueller Prozesse mittels RPA noch weiter voranzutreiben. Um die internen IT-Teams zu entlasten, lohne es sich, Robotics-as-a-Service-Plattformen zu evaluieren.
Darüber hinaus sollten Unternehmen auch das Risikomanagement nachhaltig verbessern. Sicherheits-Policies und Verfahren etwa sind zu aktualisieren. Viele Verträge mit externen Partnern ließen sich verändern, um krisenbedingte Schwankungen besser zu verkraften.
Die IT braucht Weitblick
Nicht zuletzt fordert die Hackett Group von IT-Verantwortlichen, auch längerfristige Auswirkungen im Auge behalten und entsprechende Pläne zum Wederaufbau des Business zu erarbeiten. Im Zuge der IT-Transformation ergeben sich nach Meinung der Berater neue Schwerpunkte: Automatisierung und ein breiteres Partner- und Anbieter-Ökosystem gehörten dazu, aber auch dezentrales Arbeiten und eine verbesserte Agilität des gesamten Unternehmens.