Microsoft Flow und Powerapps – Umgang mit für das Business kritischen Anwendungen

Nach Außen ist Microsoft Teams das Topthema und auch in vielen Unternehmen wird das Werkzeug als Adoptionexcelerator oder als das Kommunikationsmittel 2019 gesehen. Wenn wir jedoch tiefer in die Prozesse schauen und in die Unternehmen unserer Community, dann sehen wir, dass Microsoft Flow und PowerApps die eigentlichen Helden sind. Sie verbinden Orte, Personen, Dateien oder auch Räume mit Usern so schnell und leicht, das der Anwender hierfür nicht viel Zeit und vor allem kaum Programmierkenntnisse benötigt. 

Business kritische Anwendungen – eine Herausforderung

Wer mit Flow schnell und effektive schicke und neue Workflows baut, merkt schnell, dass diese nicht nur dazu dienen Anhänge aus Emails, sondern auch oft für das Business des Unternehmens kritisch werden können, wenn diese ausfallen. Die für das Business kritischen Anwendungen haben erhöhte Anforderungen, so dass diese redundant und überwacht sind. Ein Ausfall eines Systems kann durch ein Zweites und ggf. Drittes abgefangen werden.

Flow – Microsoft Vision und was die Kunden machen

Microsoft Flow ist zunächst gedacht gewesen, dass Mitarbeiter ohne Programmierkenntnisse in die Lage versetzt werden ihren Arbeitsalltag mit kleinen Workflows zu unterstützen und sich wiederholende Tätigkeiten durch Automatisierung zu begeben.

Wenn wir unsere Community und deren Unternehmen fragen, wird Flow natürlich auch für den angedachten Zweck genutzt, aber immer mehr auch für das Business kritische Anwendungen. Dies passiert, wenn Flow einerseits für komplexere und vor allem allgemeine Workflows eingesetzt wird und andererseits kommt es immer häufiger vor, das Mitarbeiter oder auch Abteilungsleiter bewusst oder unbewusst für die Abteilungen wichtige Prozesse mit Flow und auch PowerApps digitalisieren.

Diese werden über das Konto eines einzelnen Mitarbeiters gemacht und wenn dieser das Unternehmen verlässt, vergessen zu übertragen oder wenn der Mitarbeiter eine andere Lizenz erhält oder weiteres, dann hören die Flows auf und es gibt ein mittleres bis größeres Problem

Herausforderungen mit Flow und kritischen Workflows

Folgende Herausforderungen können eintreten und Themen, die wahrscheinlich nicht eruiert worden sind:

  • Lizenzen
  • Dokumentation
  • Redundanz
  • Überwachung und Analyse
  • Keine Kommunikation mit der IT Abteilung
  • Kein Risikomanagement
  • Datenschutzbereich (z.B. Verfahrensverzeichnis/Verarbeitungsverzeichnis)

Lösungsansätze

Sensibilisierung – Kontrolle – Vertrauen

  • zentrale Community auf Teams/Yammer
  • Zentralisiertes Wiki für MitarbeiterInnen mit Flow-Führerschein & Vorlagen mit Schema für die Dokumentation
  • Update der IT Abteilung
  • Mitarbeiter schulen und sensibilisieren (Flow/PowerApps – Führerschein)
  • PowerApps und Flow Hackathon veranstalten im Unternehmen (praktische Übung)
  • Flow des Monates in der Abteilung
  • Flow – Liste als DIN A0 Plakat zur Visualisierung
  • App Prüfung
  • Prozess: Einbeziehung des Datenschutzbeauftragten und des Betriebsrates
  • technische Lösungswege
    • zentrale Flow Kontrolle per Auditierung im Security und Compliance Center
    • Berichte und Reports
    • automatische Redundanzen schaffen

Ihr habt Ideen? Schreibt uns an ichbinein@office365hero.de

Mitarbeiterstrukturen

  • Mitarbeiter wird zum: Risiko Manager, Techniker und IT Manager in einer Person
  • IT Abteilung sollte 1-2 Mitarbeiter als Ansprechpartner beauftragten
    • 1-2 Mitarbeiter
    • Aufgaben
      • technische Fragen beantworten
      • kritische Anwendungen dokumentieren
      • TOMs definieren und umsetzen
      • Redundanzen bauen für kritische Anwendungen
      • Überwachung von Flows und PowerApps

Mitarbeiter wird zum Risikomanager/IT Manager

Wer Flows bauen kann, muss neben den technischen Fertigkeiten nun auch ein Risikomanagement betreiben. Die Personen müssen zumindest einschätzen können ob es sich a) um eine eigenen Workflow für sie handelt oder b) um einen Workflow, welcher eine kritische Anwendung ist oder werden kann. Bei der Entscheidung b, sollte dann die IT-Abteilung informiert werden und natürlich eine Dokumentation vorgenommen werden. Gemeinsam mit der IT-Abteilung wird dann erörtert, wie der Workflow abgesichert werden kann und eine Warnmeldung (Flow läuft nicht mehr) , die per Email an den Mitarbeiter und IT Abteilung geht wird eingerichtet. In Absprache wird dem Mitarbeiter eine Flow P2 Lizenz zugeordnet und ein Backup im zentralen Account der IT Abteilung erstellt.

Gerade bei für das Unternehmen kritischen Flows muss der Mitarbeiter selbstständig prüfen, das Risiko in einem ersten Schritt einschätzen. Er darf nicht alleine gelassen werden und sollte von der IT Abteilung Angebote bekommen, um ihn, die Abteilung und das Unternehmen vor Schaden zu bewahren.

Betriebsrat und Datenschutz

In einigen Flows und PowerApps werden personenbezogene Daten verarbeitet, Umfragen und mitbestimmungspflichtige Eingaben gemacht (Arbeitnehmerüberwachung). Dies kann also zur Folge haben, dass einige Flows vor der Nutzung erst durch den Betriebsrat und den Datenschutzbeauftragten müssen. Dies sollte durch den Abteilungsleiter gemeinsam mit dem Mitarbeiter erfolgen. Es lohnt sich Parameter abzusprechen und für die „Einwilligung“ (vorher!) der Stellen ein kleines Formular entwickeln mit Genehmigungsprozess. Genau dies ist wunderbar mit Flow umsetzbar.

Beispiel Entscheidungshilfen mit Beispielen

Indizien für eine kritische Anwendung können sein:

  • Verarbeitung personenbezogener Daten
  • Verarbeitung von sensiblen Daten
  • Zielgruppe: Unternehmen, für sensible Bereiche des Unternehmens (Produktion, Geschäftsführung)
  • große Zielgruppe
  • zentraler Workflow und nicht „bloß für mich“