PMO für die Einhaltung von Sicherheitsvorschriften

  1. Home
  2. >
  3. Blog
  4. >
  5. PMO
  6. >
  7. Security Compliance PMO​​

Einführung in das Security Compliance PMO

Während IT-Projekte in der Regel nur einen Teil des Unternehmens betreffen, das einen neuen Dienst oder neue Tools einsetzt, betreffen Sicherheitsprojekte alle, einschließlich der Partner. Der Wandel in der C-Suite hin zu einem Chief Information Security Officer (CISO) stellt eine bedeutende Veränderung dar, und die Entstehung und zunehmende Verbreitung von DevSecOps führt zu einem weiteren Umbruch.

Infolgedessen werden PMOs für die Einhaltung von Sicherheitsvorschriften zur Realität und sind ein grundlegender Bestandteil für das Erreichen erfolgreicher Ergebnisse.

PMOs gibt es bereits seit den 90er Jahren. In den meisten Unternehmen konzentrieren sie sich jedoch nicht auf Sicherheitsprojekte. Unternehmen verfügen zwar über Sicherheitsexperten und -ressourcen, aber nur in den seltensten Fällen auch über die erforderlichen Managementfähigkeiten. Somit fehlt den Sicherheitsprogrammen die notwendige PMO-Struktur.

Der heutige Stand der Cybersicherheit

Unternehmen sind heute einem zunehmenden Cyber-Risiko ausgesetzt, wenn sie von zu Hause aus arbeiten, potenziell ungesicherte Geräte verwenden oder einen veralteten Virenschutz einsetzen. Das Aufkommen von Public-Cloud-Funktionen hat dazu geführt, dass Anbieter neue Kanäle und Möglichkeiten zum Schutz von Daten geschaffen haben, gefolgt von Unternehmen, die viele neue Projekte sponsern. Zwischen den neuen Tools und Diensten, die in einer sich ständig wandelnden Landschaft expandierender Technologieplattformen eingeführt werden, gibt es auch viele Sicherheitsoptionen.

Diese neuen Sicherheitslösungen und -richtlinien können und werden sich massiv auf Unternehmen auswirken, doch oft sind es Lösungen, die nur wenige Menschen verstehen und erklären können. Nicht selten gelingt es hochtechnischen Fachleuten nicht, die geschäftlichen Vorteile einer Sicherheitsänderung, eines Tools oder einer Vorschrift zu erklären.

Wie jede andere Unternehmensumwandlung erfordert auch die Sicherheitsumwandlung einen disziplinierten Projektmanagementansatz, um die erwarteten Vorteile im gesamten Unternehmen zu realisieren. Die Unternehmen von heute müssen den Wert, den diese Sicherheitsprojekte oder -programme bringen, sichtbar machen.

6 Aspectos de una organización ciberresistente
6 Aspectos de una organización ciberresistente

Wie man Sicherheit und Compliance angeht

Sicherheit und Compliance sind miteinander verknüpft, da sich  Anlagen,  Infrastruktur und  Daten nicht in einem einzigen Rechenzentrum vor Ort befinden. Das Organisationsmodell stützt sich auf verschiedene technische Teams, die zusammenarbeiten. Es ist im geschäftlichen Umfeld relevant, weil die Zusammenarbeit zwischen technischen Teams Folgendes ermöglicht:

  • Genaue Sichtbarkeit und Abdeckung, um die Risikolandschaft der digitalen Kommunikation zu verstehen
  • Rationalisierung und Konsolidierung von Toolsets
  • Kosteneffizienz
  • Unternehmenswachstum durch Umstrukturierung

Angesichts der fortlaufenden Remote- und Hybridarbeit ist ein einheitlicher Ansatz unerlässlich, um Schwachstellen wie die Cloud-Nutzung, die Netzwerkinfrastruktur, die Nutzung persönlicher Geräte, konkrete Risiken im Zusammenhang mit ungeprüften Apps/Plattformen und neue Schwachstellen in bestehenden Apps oder Plattformen zu verwalten.

Für weitere Informationen besuchen Sie bitte Safeguard Cyber.

Diese Risiken sind präsent und durchaus real, und sie stellen eine Bedrohung für die Sicherheit und Compliance eines Unternehmens dar. Ein angemessenes PMO für Sicherheit und Compliance kann Unternehmen in die Lage versetzen, die folgenden Grundsätze umzusetzen :

  • Einheitliche Toolsets im gesamten Unternehmen
  • Kommunikation über erwartete Rollen und Verantwortlichkeiten

Eine der Herausforderungen bei der Verwaltung, ist der komplexe Matrixcharakter von Technologieunternehmen; die Zuweisung von Ressourcen für organisationsübergreifende Projekte ist schwierig. Daher ist die Einrichtung eines PMO für Sicherheit und Compliance notwendig, und die Organisationen benötigen außerdem die Unterstützung der Führungsebene, um effizient und effektiv zu sein. In diesem Fall kann das PMO für Sicherheit und Compliance als Bindeglied zwischen der IT-PMO-Organisation und dem Unternehmen fungieren.

Wir stellen fest, dass der Bedarf an sicherheitsorientierten Projektmanagern zunimmt, die eine spezielle PMO-Funktion suchen, um die immer schwieriger werdende IT-Umgebung bei der erfolgreichen Durchführung von Cybersicherheitsprojekten zu unterstützen.

Aufbau eines PMO für Sicherheit und Compliance

Die Definition eines PMO bleibt unverändert – ein PMO ist eine Organisationsstruktur, die dazu dient, portfolio-, programm- oder projektbezogene Steuerungsprozesse zu standardisieren und die gemeinsame Nutzung von Ressourcen, Methoden, Tools und Techniken zu erleichtern.

Ein PMO für Sicherheit und Compliance hat viele wichtige Vorteile, wie z. B.:

  • Strukturierte Führung mit verbesserter Transparenz und Kommunikation.
  • Sorgfältig organisierte Daten, um Projekte auf Kurs zu halten und über den Status zu berichten.
  • Relevante Tools für die Berichterstattung und die Verwaltung gemeinsamer Ressourcen.
  • Strategie mit Kundenfokus.
  • Menschliche und kulturelle Sensibilität.
  • Klare Prozesse.
  • Verbesserung der Gesamterfolgsquote von Projekten durch Ausrichtung auf die Unternehmensstrategie.

Außerdem muss es mit einem Verständnis von Cyber Security Frameworks (CSF) wie NISTISO27001 und ITIL arbeiten.

Weitere Informationen finden Sie auf  US CyberSecurity Net und im US Cybersecurity Magazine.

Ein Cybersecurity PMO umfasst sechs Hauptkomponenten: Risikomanagement, Compliance, Richtlinien- und Verfahrensmanagement, Schwachstellenmanagement, Sicherheitsprojektmanagement und Wissensmanagement.

6 Elemente eines PMO für Cybersicherheit
6 elementos de una PMO de ciberseguridad

Zusätzlich zu diesen Komponenten muss die Einrichtung eines PMO für Sicherheit und Compliance einem etablierten Ansatz folgen. Zu Beginn sollten Sie eine Bestandsaufnahme der für das Unternehmen wichtigen Anlagen durchführen und das Risiko für diese Anlagen verstehen. Wenn das Sicherheitsteam mit den täglichen Problemen überfordert ist und der Vorstand nur darüber berichtet, wie die Probleme des Monats gelöst werden, sollten Sie ein PMO für Cybersicherheit einrichten, das bei der Umstrukturierung und Verwaltung des Programms hilft.

Insbesondere bietet das PMO für Cybersicherheit die Möglichkeit, die zentralen Elemente Verantwortung, Rechenschaftspflicht, Transparenz, Integrität, Sensibilisierung, Verfügbarkeit, Vertraulichkeit, Leistung und Authentizität zu gewährleisten.

Setzen Sie sich mit uns in Verbindung, um weitere Informationen über die Einrichtung Ihres Security & Compliance PMO zu erhalten. Wir werden Ihnen weitere Einzelheiten zu unserem vorgeschlagenen Ansatz mitteilen:

  • Cyber Security PMO Maturity Assessment (Bewertung des aktuellen Zustands)
  • PMO-Strategie für Cybersicherheit (Offensiv vs. Defensiv)
  • Cyber-Risikoanalyse (für Dashboards zu KPIs)
  • Cyber Security Operations Management (Beschaffung, Wiederherstellung, Aufbewahrung, SLA-Service Level Agreements, Benutzer-/Zugangsmanagement)

Das Betriebsmodell für Sicherheit und Compliance

Das CSF (Cyber Security Framework) konzentriert sich auf die Entscheidungsfindung im Bereich Cybersicherheit als Funktion des Geschäftsrisikos und definiert die Hauptfunktionen eines Cybersicherheitsprogramms als Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Sobald die Unternehmensressourcen und -risiken bekannt sind, können Maßnahmen ergriffen werden, um die der Betriebsumgebung innewohnenden Geschäftsrisiken zu mindern. Zu den Schutzmaßnahmen gehören Aktivitäten wie:

  • Beschränkung des Zugangs auf autorisierte Benutzer, Prozesse oder Geräte und auf autorisierte Aktivitäten und Transaktionen.
  • Festlegung von Sicherheitsrichtlinien, Prozessen und Verfahren/Richtlinien.
  • Schulung von Verfahren und Richtlinien zur Cybersicherheit.
  • Sicherstellen, dass Informationen im Einklang mit der Risikostrategie des Unternehmens verwaltet werden.

Ein Beispiel für Projekte, die durch das PMO für Sicherheit und Compliance verwaltet werden, sind die folgenden:

  • Programm für Sicherheitsmanagement
  • Programm für Schwachstellenmanagement
  • Reaktion auf Vorfälle und gewonnene Erkenntnisse
  • Hochwertige Vermögenswerte
  • Produktsicherheit
  • Cloud-Sicherheitsstrategie
  • Sorgfaltspflicht bei Fusionen und Akquisitionen sowie Übergangsplanung

Das Betriebsmodell für Sicherheit und Compliance wird mit dem IT-Betriebsmodell verknüpft, um das Unternehmenswachstum zu unterstützen.

 

Fazit

Unabhängig von der Größe, benötigt jedes Unternehmen ein Cybersicherheitsprogramm, das auf den Geschäftserfolg ausgerichtet ist. Durch die Strukturierung auf der Grundlage des NIST CSF und die Verwendung des PMO-Organisationsmodells für Cybersicherheit kann jedes Unternehmen Cybersicherheit von einem unbekannten Geschäftsrisiko zu einem Geschäftswert umgestalten.

Warten Sie nicht bis nach einer bedeutenden Sicherheitsverletzung, um über die Struktur Ihres Programms nachzudenken. Für große Unternehmen kann es sehr kostspielig sein, untätig zu bleiben, weil dies zu Gewinn-, Produktivitäts- und Reputationsverlusten führt.

Dieser Artikel wurde auf Englisch von Alf Raju, Commercial Director bei MIGSO-PCUBED USA, verfasst.

Share on Linkedin

Our website is not supported on this browser

The browser you are using (Internet Explorer) cannot display our content. 
Please come back on a more recent browser to have the best experience possible