PMO für die Einhaltung von Sicherheitsvorschriften

12 Oktober 2023

Home
Blog
PMO
Security Compliance PMO

Einführung in das Security Compliance PMO

Während IT-Projekte in der Regel nur einen Teil des Unternehmens betreffen, das einen neuen Dienst oder neue Tools einsetzt, betreffen Sicherheitsprojekte alle, einschließlich der Partner. Der Wandel in der C-Suite hin zu einem Chief Information Security Officer (CISO) stellt eine bedeutende Veränderung dar, und die Entstehung und zunehmende Verbreitung von DevSecOps führt zu einem weiteren Umbruch.

Infolgedessen werden PMOs für die Einhaltung von Sicherheitsvorschriften zur Realität und sind ein grundlegender Bestandteil für das Erreichen erfolgreicher Ergebnisse.

PMOs gibt es bereits seit den 90er Jahren. In den meisten Unternehmen konzentrieren sie sich jedoch nicht auf Sicherheitsprojekte. Unternehmen verfügen zwar über Sicherheitsexperten und -ressourcen, aber nur in den seltensten Fällen auch über die erforderlichen Managementfähigkeiten. Somit fehlt den Sicherheitsprogrammen die notwendige PMO-Struktur.

Der heutige Stand der Cybersicherheit

Unternehmen sind heute einem zunehmenden Cyber-Risiko ausgesetzt, wenn sie von zu Hause aus arbeiten, potenziell ungesicherte Geräte verwenden oder einen veralteten Virenschutz einsetzen. Das Aufkommen von Public-Cloud-Funktionen hat dazu geführt, dass Anbieter neue Kanäle und Möglichkeiten zum Schutz von Daten geschaffen haben, gefolgt von Unternehmen, die viele neue Projekte sponsern. Zwischen den neuen Tools und Diensten, die in einer sich ständig wandelnden Landschaft expandierender Technologieplattformen eingeführt werden, gibt es auch viele Sicherheitsoptionen.

Diese neuen Sicherheitslösungen und -richtlinien können und werden sich massiv auf Unternehmen auswirken, doch oft sind es Lösungen, die nur wenige Menschen verstehen und erklären können. Nicht selten gelingt es hochtechnischen Fachleuten nicht, die geschäftlichen Vorteile einer Sicherheitsänderung, eines Tools oder einer Vorschrift zu erklären.

Wie jede andere Unternehmensumwandlung erfordert auch die Sicherheitsumwandlung einen disziplinierten Projektmanagementansatz, um die erwarteten Vorteile im gesamten Unternehmen zu realisieren. Die Unternehmen von heute müssen den Wert, den diese Sicherheitsprojekte oder -programme bringen, sichtbar machen.

Wie man Sicherheit und Compliance angeht

Sicherheit und Compliance sind miteinander verknüpft, da sich Anlagen, Infrastruktur und Daten nicht in einem einzigen Rechenzentrum vor Ort befinden. Das Organisationsmodell stützt sich auf verschiedene technische Teams, die zusammenarbeiten. Es ist im geschäftlichen Umfeld relevant, weil die Zusammenarbeit zwischen technischen Teams Folgendes ermöglicht:

Genaue Sichtbarkeit und Abdeckung, um die Risikolandschaft der digitalen Kommunikation zu verstehen
Rationalisierung und Konsolidierung von Toolsets
Kosteneffizienz
Unternehmenswachstum durch Umstrukturierung

Angesichts der fortlaufenden Remote- und Hybridarbeit ist ein einheitlicher Ansatz unerlässlich, um Schwachstellen wie die Cloud-Nutzung, die Netzwerkinfrastruktur, die Nutzung persönlicher Geräte, konkrete Risiken im Zusammenhang mit ungeprüften Apps/Plattformen und neue Schwachstellen in bestehenden Apps oder Plattformen zu verwalten.

Für weitere Informationen besuchen Sie bitte Safeguard Cyber.

Diese Risiken sind präsent und durchaus real, und sie stellen eine Bedrohung für die Sicherheit und Compliance eines Unternehmens dar. Ein angemessenes PMO für Sicherheit und Compliance kann Unternehmen in die Lage versetzen, die folgenden Grundsätze umzusetzen :

Einheitliche Toolsets im gesamten Unternehmen
Kommunikation über erwartete Rollen und Verantwortlichkeiten

Eine der Herausforderungen bei der Verwaltung, ist der komplexe Matrixcharakter von Technologieunternehmen; die Zuweisung von Ressourcen für organisationsübergreifende Projekte ist schwierig. Daher ist die Einrichtung eines PMO für Sicherheit und Compliance notwendig, und die Organisationen benötigen außerdem die Unterstützung der Führungsebene, um effizient und effektiv zu sein. In diesem Fall kann das PMO für Sicherheit und Compliance als Bindeglied zwischen der IT-PMO-Organisation und dem Unternehmen fungieren.

Wir stellen fest, dass der Bedarf an sicherheitsorientierten Projektmanagern zunimmt, die eine spezielle PMO-Funktion suchen, um die immer schwieriger werdende IT-Umgebung bei der erfolgreichen Durchführung von Cybersicherheitsprojekten zu unterstützen.

Aufbau eines PMO für Sicherheit und Compliance

Die Definition eines PMO bleibt unverändert – ein PMO ist eine Organisationsstruktur, die dazu dient, portfolio-, programm- oder projektbezogene Steuerungsprozesse zu standardisieren und die gemeinsame Nutzung von Ressourcen, Methoden, Tools und Techniken zu erleichtern.

Ein PMO für Sicherheit und Compliance hat viele wichtige Vorteile, wie z. B.:

Strukturierte Führung mit verbesserter Transparenz und Kommunikation.
Sorgfältig organisierte Daten, um Projekte auf Kurs zu halten und über den Status zu berichten.
Relevante Tools für die Berichterstattung und die Verwaltung gemeinsamer Ressourcen.
Strategie mit Kundenfokus.
Menschliche und kulturelle Sensibilität.
Klare Prozesse.
Verbesserung der Gesamterfolgsquote von Projekten durch Ausrichtung auf die Unternehmensstrategie.

Außerdem muss es mit einem Verständnis von Cyber Security Frameworks (CSF) wie NIST, ISO27001 und ITIL arbeiten.

Weitere Informationen finden Sie auf US CyberSecurity Net und im US Cybersecurity Magazine.

Ein Cybersecurity PMO umfasst sechs Hauptkomponenten: Risikomanagement, Compliance, Richtlinien- und Verfahrensmanagement, Schwachstellenmanagement, Sicherheitsprojektmanagement und Wissensmanagement.

Zusätzlich zu diesen Komponenten muss die Einrichtung eines PMO für Sicherheit und Compliance einem etablierten Ansatz folgen. Zu Beginn sollten Sie eine Bestandsaufnahme der für das Unternehmen wichtigen Anlagen durchführen und das Risiko für diese Anlagen verstehen. Wenn das Sicherheitsteam mit den täglichen Problemen überfordert ist und der Vorstand nur darüber berichtet, wie die Probleme des Monats gelöst werden, sollten Sie ein PMO für Cybersicherheit einrichten, das bei der Umstrukturierung und Verwaltung des Programms hilft.

Insbesondere bietet das PMO für Cybersicherheit die Möglichkeit, die zentralen Elemente Verantwortung, Rechenschaftspflicht, Transparenz, Integrität, Sensibilisierung, Verfügbarkeit, Vertraulichkeit, Leistung und Authentizität zu gewährleisten.

Setzen Sie sich mit uns in Verbindung, um weitere Informationen über die Einrichtung Ihres Security & Compliance PMO zu erhalten. Wir werden Ihnen weitere Einzelheiten zu unserem vorgeschlagenen Ansatz mitteilen:

Cyber Security PMO Maturity Assessment (Bewertung des aktuellen Zustands)
PMO-Strategie für Cybersicherheit (Offensiv vs. Defensiv)
Cyber-Risikoanalyse (für Dashboards zu KPIs)
Cyber Security Operations Management (Beschaffung, Wiederherstellung, Aufbewahrung, SLA-Service Level Agreements, Benutzer-/Zugangsmanagement)

Das Betriebsmodell für Sicherheit und Compliance

Das CSF (Cyber Security Framework) konzentriert sich auf die Entscheidungsfindung im Bereich Cybersicherheit als Funktion des Geschäftsrisikos und definiert die Hauptfunktionen eines Cybersicherheitsprogramms als Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Sobald die Unternehmensressourcen und -risiken bekannt sind, können Maßnahmen ergriffen werden, um die der Betriebsumgebung innewohnenden Geschäftsrisiken zu mindern. Zu den Schutzmaßnahmen gehören Aktivitäten wie:

Beschränkung des Zugangs auf autorisierte Benutzer, Prozesse oder Geräte und auf autorisierte Aktivitäten und Transaktionen.
Festlegung von Sicherheitsrichtlinien, Prozessen und Verfahren/Richtlinien.
Schulung von Verfahren und Richtlinien zur Cybersicherheit.
Sicherstellen, dass Informationen im Einklang mit der Risikostrategie des Unternehmens verwaltet werden.

Ein Beispiel für Projekte, die durch das PMO für Sicherheit und Compliance verwaltet werden, sind die folgenden:

Programm für Sicherheitsmanagement
Programm für Schwachstellenmanagement
Reaktion auf Vorfälle und gewonnene Erkenntnisse
Hochwertige Vermögenswerte
Produktsicherheit
Cloud-Sicherheitsstrategie
Sorgfaltspflicht bei Fusionen und Akquisitionen sowie Übergangsplanung

Das Betriebsmodell für Sicherheit und Compliance wird mit dem IT-Betriebsmodell verknüpft, um das Unternehmenswachstum zu unterstützen.

Fazit

Unabhängig von der Größe, benötigt jedes Unternehmen ein Cybersicherheitsprogramm, das auf den Geschäftserfolg ausgerichtet ist. Durch die Strukturierung auf der Grundlage des NIST CSF und die Verwendung des PMO-Organisationsmodells für Cybersicherheit kann jedes Unternehmen Cybersicherheit von einem unbekannten Geschäftsrisiko zu einem Geschäftswert umgestalten.

Warten Sie nicht bis nach einer bedeutenden Sicherheitsverletzung, um über die Struktur Ihres Programms nachzudenken. Für große Unternehmen kann es sehr kostspielig sein, untätig zu bleiben, weil dies zu Gewinn-, Produktivitäts- und Reputationsverlusten führt.