Fehler bei der Konfiguration des „Approval-Prozess“ führen dazu, dass Informationen in falsche Hände gelangen können. Darauf sollten Sie achten.
Herausforderungen bei der Auswahl von Freigebern im Jira Service Management
Jira Service Management ist die Antwort von Atlassian auf die Frage: „Mit welchem Tool sollten wir unsere Service-Desk-Anwendungsfälle bearbeiten?“.
Jira Service Management baut auf den Grundfunktionalitäten von Jira auf und wird von vielen Unternehmen eingesetzt.
Ein interessantes Feature im Jira Service Management ist die Möglichkeit, Freigaben von Tickets durch den Kunden in den Workflow mit wenig Aufwand einzubauen.
Das Problem – die Auswahl des Freigebers
Im Kern funktioniert dieses Feature recht gut. Aktuell weist es jedoch eine kleine Unschärfe auf, welche durchaus unangenehme Folgen nach sich ziehen kann.
Im Ticket wählt der Operator eine Person aus, die den Vorgang im nächsten Schritt freigeben muss. Sie erhält eine E-Mail mit den Ticketdaten und der Aufforderung, diesen Vorgang freizugeben.
Zur Freigabe nutzt der Operator eine Dropdown-Liste, indem ihm sämtliche User des Jira Service Management Systems zur Auswahl angeboten werden. Der Operator kann also Benutzer für die Freigabe auswählen, die nicht zum Kundenprojekt gehören.
Im besten Fall führt das zu Verwirrung. Im weniger guten Fall erhält eine Person die Aufforderung, den Vorgang eines Mitbewerbers freizugeben.
Lösungsmöglichkeiten
Aus Sicht des Risikomanagements existieren hier zwei Möglichkeiten:
Akzeptieren
Bei dieser Strategie wird das Risiko bewusst eingegangen. In diesem Fall sollten Sie darauf achten, dass der Operator exakt arbeitet und den richtigen Approver auswählt.
Vermeiden
Mit ein wenig Know-How kann diese Unschärfe mit Bordmitteln von Atlassian vermieden werden. Dem Operator werden nur User angezeigt, die auch für die Freigabe dieses Vorgangs zuständig sind. Der Operator kann keine falsche Person als Approver auswählen.
Der Weg zur Vermeidung des Worst-Case- Szenarios
Nachfolgend wird ein möglicher Lösungsansatz skizziert, der mit Sicherheit von einem erfahrenen Jira-Administrator umgesetzt werden kann.
1. Rollen im Projekt
Im ersten Schritt ist es wichtig, sich über die Rollen im Jira-Projekt Gedanken zu machen.
Bezogen auf diesen konkreten Fall nutze ich im Jira-Projekt die Rolle Service Desk Customer und weise ihr die von mir erstellte Gruppe Customer (des Kundenprojekts) zu.
Ich stelle sicher, dass sich in der Gruppe der Customer nur die User des Kundenprojekts befinden.
2. Custom Field Approver
In jedem Jira-System können Custom Fields angelegt werden. Der Standard bietet die Möglichkeit, Felder vom Type User Picker zu erstellen. Hier lege ich das Feld JSM Approver mit dem entsprechenden Typen an. In der Konfiguration unter User Filtering konfiguriere ich das Feld so, dass nur die User eines Jira-Projekts angezeigt werden, die der Rolle Service Desk Customer zugewiesen sind.
3. Screens
4. Workflows
Im letzten Schritt muss der Workflow zum Jira-Projekt angepasst werden. Ich konfiguriere den Status Permission Pending und setze den Haken bei add approval. Unter Conifgure wähle ich bei Get approvers from field: das Feld Approver aus.
Nachdem der Workflow zum Jira-Projekt angepasst wurde, müssen die Änderungen noch mit publish aktiviert werden.
Herausforderung erfolgreich umschifft
Fazit
Alles hat seinen Preis. Für dieses Stückchen zusätzliche Sicherheit und Benutzerergonomie kommt man um ein Rollenkonzept nicht umhin. Abgesehen davon, dass ein entsprechendes Konzept weitere Vorteile bietet und in jedem Jira-Projekt zum Einsatz kommen sollte.
Zusätzlich muss berücksichtigt werden, dass vom Administrator pro Jira-Kundenprojekt eine weitere Gruppe zu pflegen ist.
Um dieses sicherzustellen, sollte es einen klaren Prozess für die Userverwaltung geben. Im Idealfall existiert bereits ein Benutzer und Berechtigungskonzept, in dem entsprechende Schritte definiert sind.
Letztendlich erfordert ein professionell betriebenes Jira-System ein gewisses Maß an Konzeption und Prozessen. Dieser Zugewinn an Sicherheit, und sei es nur, dass man keinen DSGVO-Fall hat, übersteigt den überschaubaren Aufwand für diese Lösung.