Mittwoch, 30. Dezember 2009

Anforderungen an geschäftskritische Webapplikationen

Darf man geschäftskritische Webapplikationen überhaupt über das offene Internet zugänglich machen?
Nein sagen die Einen, das ist zu unsicher, Mißbrauch sind Tür und Tor geöffnet und Kontrolle nicht gewährleistet.
Ja, sagen die Anderen, die Sicherheit ist heute kein Problem mehr, vor Missbrauch ist auch die klassische IT nicht geschützt und wer hat bisher schon eine Kontrolle von IT-Kosten und Nutzerverhalten gemacht?

Für jedes Unternehmen, dass Daten zu verarbeiten hat, sind Verhaltensrichtlinien mit den Daten und den Systemen, die diese Daten verwalten notwendig. Im Grund sehen sie auch für webbasierte geschäftskritsche Anwendungen nicht wesentlich anders aus, als für interne IT:
  1. Jeder Mitarbeiter, der browserbasiert auf Unternehmensdaten und -anwendungen zugreift, hat dieses über seinen Benutzernamen und Passwort, welches regelmässig aktualisiert werden muss, zu tun.
  2. der Betreiber der Anwendung muß für jedes Unternehmen einen eigenen Mandanten betreiben und ein differenziertes Rollen- und Rechtemanagement bieten.
  3. Der Betreiber der SaaS stellt sicher, dass jeder Kunde seinen Mandaten selber konfigurieen kann ohne die anderen Mandanten zu beeinflussen.
  4. Jede genutzte geschäftskritische Anwendung wird im Unternehmen einem Prozessverantwortlichen klar zugeordnet, der auch für die Anpassung der Anwendung an die Anforderungen verantwortlich ist.
  5. Jeder Anwender soll in der Lage sein, sich seine Sicht auf die Anwendung so anpassen zu können, dass er seine Aufgaben gemäss den Ablaufdefinitionen erfüllen kann.
  6. Der Betreiber der Anwendung hat sicherzustellen, dass der Austausch von Daten geschützt und entsprechend den betrieblichen Anforderungen des Kunden erfolgen kann. Erstellt dazu Datenaustauschschnittstellen zur Verfügung, die auf allgmein üblichen Standards beruhen.
  7. Der Betreiber stellt sicher, dass die Anwendung in dem Masse und Umfang der betrieblichen Nutzungsanforderungen zur Verfügung steht. Das muss nicht 24X7X52 sein, aber es muss klar definiert sein.
  8. Kunde und Betreiber müssen sich auf einen unabhängigen Beobachter der Verfügbarkeit und Nutzung einigen können, sozusagen auf eine Clearingstelle für SaaS.
Werden diese Punkte beachtet sind die Grundlagen für eine sichere und effiziente und transparente Nutzung von geschäftskritischen Prozessen über das Web gewährleistet. Allerdings erhebt diese Liste keinen Anspruch auf Vollständigkeit.